Sie sind hier: Home » Markt » Hinweise & Tipps

Integrität & Vertraulichkeit der IT-Systeme


Energieversorger müssen der Bundesnetzagentur kurzfristig einen Ansprechpartner für IT-Sicherheit nennen
TÜV Trust IT GmbH Unternehmensgruppe TÜV Austria weist auf die Probleme bei der Auswahl der Mitarbeiter für diese Funktion hin

(18.09.15) - TÜV Trust IT weist darauf hin, dass alle Energieversorger der Bundesnetzagentur bis zum 30. November 2015 einen Ansprechpartner für das Thema IT-Sicherheit benennen müssen. Dies wird zudem im nächsten Jahr auch im Rahmen des IT-Sicherheitsgesetztes vom BSI gefordert. Unklar ist in den Unternehmen jedoch häufig noch, wer diese Funktion übernehmen soll. Der Mitte August 2015 von der Bundesnetzagentur (BNetzA) veröffentlichte IT-Sicherheitskatalog verpflichtet die Energieversorger dazu, durch umfassende Maßnahmen die Verfügbarkeit, Integrität und Vertraulichkeit ihrer Systeme und Daten zu gewährleisten und die Wirksamkeit durch ein Zertifikat nachzuweisen. Zwar bleibt den Unternehmen für diesen Nachweis noch bis spätestens Januar 2018 Zeit, doch bereits zum 30. November dieses Jahres müssen die Unternehmen einen Ansprechpartner für die IT-Sicherheit benennen. Zu den vornehmlichen Aufgaben dieser Rolle gehört, die BNetzA über den Status der Umsetzung der Anforderungen aus dem IT-Sicherheitskatalog in Kenntnis zu setzen, sie aber auch über aufgetretene Sicherheitsvorfälle einschließlich deren Ursachen zu informieren.

"Damit stellt sich zwangsläufig die Frage, wer für die Besetzung dieser Position am besten geeignet ist", erläutert Thomas Kochanek, Principal Consultant und Lead Auditor bei der TÜV Trust IT. Auf den ersten Blick könnte der IT-Leiter des Energieversorgers diese Rolle übernehmen. Dies erscheint mit Blick auf die fachlichen Kompetenzen naheliegend, weil er über alle Themen am besten informiert ist. Damit können die im IT-Sicherheitskatalog aufgestellten Anforderungen an die fachlichen Kompetenzen in der Regel einfach erfüllt werden, da er auch über Lageberichte, Warnmeldungen und die Auswirkungen von Sicherheitsproblemen sowie Maßnahmen zu deren Behebung informieren muss.

"Der Nachteil kann jedoch in einem zukünftigen Interessenskonflikt liegen", verweist Kochanek darauf, dass der Ansprechpartner IT-Sicherheit vermutlich auch der Informationssicherheitsbeauftragte werden soll. Im Rahmen der vom IT-Sicherheitskatalog geforderten Zertifizierung des Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 ist das aber ein unzulässiger Rollenkonflikt, da der IT-Leiter nicht ISB sein sollte.

Andererseits verfügen andere Mitarbeiter oftmals nicht über ausreichende fachliche Kompetenzen, um als Ansprechpartner IT-Sicherheit und ggf. zukünftiger ISB erfolgreich arbeiten zu können. Außerdem füllt die Rolle des ISB nur ca. 10 bis 20 Prozent der Arbeitszeit eines Mitarbeiters, womit sich die Frage stellt, welche Aufgaben ein Mitarbeiter parallel wahrnimmt.

Einen Ausweg aus diesem Problem bietet ein Modell mit externer Unterstützung, wie es auch Unternehmen anderer Branchen nutzen. Dabei kann seitens der TÜV Trust IT sowohl ein externer Informationssicherheitsbeauftragter als auch ein Ansprechpartner für IT-Sicherheit gestellt werden. Dies kann auch durch temporäre Unterstützung erfolgen, indem diese Rollen während des Aufbaus des ISMS übernommen werden. "Dies reduziert den zeitlichen Druck und lässt alle Möglichkeiten offen, später in Ruhe zu entscheiden, ob man eigene Kräfte ausbilden oder die Funktion weiterhin extern besetzen möchte", erläutert Kochanek die Vorteile. (TÜV Trust IT: ra)

TÜV Trust IT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Tipps für Security-Audits mit Mehrwert

    NIS2, die aktuelle Richtlinie zur Netzwerk- und Informationssicherheit, verfolgt das Ziel, EU-weit das Cybersicherheitsniveau zu steigern. Auf die betroffenen Unternehmen kommen infolgedessen neue Rechenschaftspflichten über ihre Sicherheitslage zu.

  • Wie werden Aktien und Fonds besteuert?

    Als Anlegerin oder Anleger sollten Sie bei Ihren Finanzentscheidungen auch steuerliche Aspekte berücksichtigen. Sie müssen aber nicht selbst aktiv werden: Die auf Kapitalerträge entfallenden Steuern werden von Ihrer Depotbank bei der Auszahlung einbehalten und an das Finanzamt abgeführt. Wichtig ist, dass Sie einen Freistellungsauftrag bei Ihrer Bank einreichen, um den Sparer-Pauschbetrag nutzen zu können.

  • Geordnet gegen Chaos beim Cyberangriff

    Mit der neuen EU-Direktive NIS2 stehen Unternehmen vor der Herausforderung, ihre Cybersecurity-Strategie zu überarbeiten. Um den Anforderungen der Richtlinie gerecht zu werden, ist es entscheidend, ein Kernteam für Sicherheitsbelange zusammenzustellen. Wie Unternehmen dabei vorgehen sollten, erklärt Dirk Wocke, IT Compliance Manager und Datenschutzbeauftragter bei indevis.

  • Die fünf wichtigsten Auswirkungen von eIDAS 2.0

    Starke Identifizierung ist entscheidend für den Aufbau von Vertrauen und die Gewährleistung sicherer Transaktionen in einer zunehmend digitalen Welt. Die jüngste Überarbeitung der eIDAS-Verordnung durch die EU, mit der digitale ID-Wallets für alle Bürger eingeführt werden, kommt zur rechten Zeit.

  • Crowdfunding: Worauf ist zu achten?

    Ob es sich um eine innovative Geschäftsidee, ein neues Produkt oder ein spannendes Projekt handelt: Eine gute Idee braucht Startkapital! Das Crowdfunding bzw. -investing ist eine von vielen Möglichkeiten, an dieses Startkapital zu gelangen und dadurch ein Projekt an den Markt zu bringen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen