- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Sie sind hier: Home » Markt » Hinweise & Tipps

Angemessene technische Maßnahmen


TÜV Süd gibt Hilfestellung für Kritische Infrastrukturen
Vernetzung bedeutet höhere Gefährdung für KRITIS-Betreiber

- Anzeigen -





Digitalisierung und die zunehmende Vernetzung aller Versorgungsbereiche stellen den modernen Lebensstandard sicher. Aber so modern die Systeme auch sind, so verletzlich sind sie auch. Als kritische Infrastrukturen (KRITIS) werden Betreiber bezeichnet, die mehr als 500.000 Personen versorgen. TÜV Süd informiert darüber, dass ein Betreiber, der unter die BSI-Kritisverordnung fällt, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen treffen muss. Zudem besteht alle zwei Jahre Nachweispflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Es ist nur ein Szenario unter vielen möglichen, aber die Auswirkungen wären gravierend, wenn beispielsweise die Infrastruktur eines Stromanbieters angegriffen wird und in allen deutschen Großstädten über eine längere Dauer keine Elektrizität verfügbar wäre. Der Verfassungsschutz warnt regelmäßig vor Cyberkriminellen, die kritische Infrastrukturen in Deutschland im Visier haben. Diese Angriffe können möglicherweise von ausländischen Kräften für propagandistische Zwecke in der Informationstechnologie genutzt werden oder mittels eines Sabotageaktes in der Infrastruktur für Verunsicherung in der Bevölkerung sorgen. Unternehmen werden seitens des Gesetzgebers hier in die Pflicht genommen.

Kritische Infrastrukturen
Unter kritischer Infrastruktur werden Anlagen oder Systeme verstanden, die für die Gesellschaft von zentraler Bedeutung sind, wie die Strom- und Wasserversorgung. Das IT-Sicherheitsgesetz legt seit 2015 fest, welche Wirtschaftsbereiche als kritische Sektoren gelten, bei deren Ausfall es also zu empfindlichen Einschnitten des Gemeinwohls kommen würde. Zudem sind weitere Branchen gelistet: Gesundheit, IT, Telekommunikation, Transport und Verkehr, Finanzen/Versicherung und Ernährung.

Betroffene Betreiber müssen dem BSI Nachweise vorlegen, dass sie angemessene technische und organisatorische Maßnahmen ergriffen haben, um ihre Systeme gegen Angriffe und Sabotage zu schützen. Das Bundesamt liefert Orientierungshilfen, welche Themenbereiche bearbeitet werden sollten. Dazu gehört beispielsweise die Umsetzung eines Informationssicherheitsmanagementsystems nach dem international anerkannten Standard ISO/IEC 27001. Die getroffenen Maßnahmen müssen dem „Stand der Technik“ genügen. Die entsprechenden Nachweise sind durch speziell ausgebildete Prüfer zu erbringen. Betreiber sollten die Zeitschiene genau im Auge haben, da entsprechende Projekte je nach Ausgangslage sechs bis 24 Monate dauern können. (TÜV Süd: ra)

eingetragen: 31.07.18
Newsletterlauf: 22.08.18

TÜV Süd: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Datenschutz als Wettbewerbsvorteil

    Seit dem 25. Mai 2018 gilt in allen Ländern der EU ein einheitliches Datenschutzrecht (Datenschutz-Grundverordnung - DSGVO). Für kleine und mittlere Unternehmen (KMU) haben sich mit der Verordnung neue Anforderungen an den Datenschutz gestellt. Um die Übersicht zu verbessern, stellt Deutschland sicher im Netz e.V. (DsiN) im Verbund mit seinen Mitgliedern und Unterstützung des Bundesdatenschutzbeauftragten den Datenschutz-Navigator.org als neues Hilfsangebot bereit. Der Onlinecheck führt durch sämtliche praxisrelevante Themen rund um Datensicherheit und zeigt, wie Betriebe Datenschutz praxisgerecht umsetzen können.

  • Elektronische Rechnungen & EU-MwSt.-Richtlinie

    Nach der Verkündung der EU-Kommission vom 18. April 2019 wissen Unternehmen nun zumindest theoretisch dass die Richtlinie für elektronische Rechnungen gültig ist. "Theoretisch", weil es sich dabei auf den ersten Blick nicht unbedingt um Neuigkeiten von großer Bedeutung handelt. Vor allem, da Unternehmen höchst wahrscheinlich schon seit einiger Zeit ein System für ihre Rechnungsstellung nutzen. Dieser Beitrag fasst zusammen was Unternehmen beachten müssen um den Richtlinien zu entsprechen und weist zusätzlich auf einige Fälle hin, bei denen Unternehmen möglicherweise schon seit geraumer Zeit die EU-MwSt.-Richtlinie missachten.

  • Praxishilfe zur EU-Verordnung elDAS

    Mit elDAS ist seit Mitte 2016 eine EU-Verordnung wirksam, auf deren Basis die elektronische Identifizierung und die Erbringung von Vertrauensdiensten innerhalb des Europäischen Wirtschaftsraums neu geregelt wurde. Sie zeigt bereits deutliche Erfolge, allerdings verbirgt sich hinter der Umsetzung für Diensteanbieter und Anwender ein fachlich komplexer Prozess. TÜV Trust IT hat deshalb hierzu eine umfangreiche Praxishilfe herausgegeben. Mit elDAS ist erstmals die digitale Kommunikation von Wirtschaft, Verwaltung und Bürgern rechtsverbindlich, grenzüberschreitend, vollständig medienbruchfrei und sicher möglich. Dass diese Verordnung tatsächlich schon zu einer deutlichen Zunahme der qualifizierten Vertrauensdienste in Europa geführt hat, lässt sich an dem durch die EU geführten Verzeichnis der qualifizierten Anbieter ablesen: EU Trusted List of Trust Service Providers (TSL). Zudem wird die Nutzung von Vertrauensdiensten nach eIDAS in immer neuen Anwendungsbereichen zur Pflicht. Dies gilt beispielsweise im Finanzwesen, wo zur Erfüllung der Anforderungen der Payment Services Directive 2 (PSD2) die Nutzung von sogenannten Qualifizierten Siegeln und Zertifikaten (QWACS) zur Absicherung der Maschinenkommunikation vorgegeben wurde.

  • Was effektive Verschlüsselungsstrategie ausmacht

    Simon Keates, Business Development Director, EMEA bei Thales eSecurity, erläutert wie man eine effektive Verschlüsselungsstrategie am besten umsetzt und wie man die dazu notwendige Kommunikation mit der Führungsebene verbessert. "Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den Vorstandsetagen angekommen. Neben den unmittelbaren wirtschaftlichen Folgen einer Datenschutzverletzung gibt es ein breit gefächertes Arsenal an weiteren, potenziell verheerenden Auswirkungen.

  • Die Hölle sind die anderen

    Konflikte am Arbeitsplatz sind keine Seltenheit. Schließlich treffen hier täglich verschiedene Charaktere und Standpunkte aufeinander. Besonders unterschiedliche Erwartungen an die Gestaltung von Arbeit, mangelhafte Kommunikation und der Umgang mit Stress sorgen oftmals für Probleme. Dabei können schon kleine Missverständnisse eskalieren - Sticheleien, Witze hinter dem Rücken von Kollegen oder ein frustrierter Mitarbeiter, der sich im Ton vergreift. "All das erzeugt Stress und ist anstrengend. Solche Konflikte lenken nicht nur von den eigentlichen Aufgaben ab, sondern wirken sich auf lange Sicht negativ auf die Atmosphäre im gesamten Team aus", weiß Kommunikationsexperte und Konfliktmanager Robert Häckl von der Executive Mediation GmbH. Damit sich der Arbeitsplatz nicht dauerhaft in eine Kampfarena verwandelt, kann jeder Einzelne einen Beitrag zu einem harmonischen Miteinander leisten.