Seit dem 25.07.2015 ist das neue „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG) in Deutschland in Kraft.

Die Bedeutung und Auswirkungen für das eigene Unternehmen beschäftigt sicherlich gerade eine Reihe von Geschäftsführern und IT-Sicherheitsbeauftragte in den unterschiedlichsten Unternehmen, sowie in Behörden.

Im Kern geht es darum, die Sicherheit von Infrastrukturen in besonders kritischen Unternehmen zu erhöhen und dauerhaft sicher zu stellen.
Dazu wird versucht, ein Mindestmaß an Sicherheit vorzuschreiben und auch eine Regelung, die vorsieht, dass diese Unternehmen Sicherheitsvorfälle dem BSI melden müssen.

Wir als IT-Systemhaus sehen uns da in einer Beraterrolle, die den Unternehmen helfen kann, diese Erfordernisse abzubilden. Wir verfügen über technisches Know-How und können Ihnen helfen, die entsprechenden Anforderungen abzubilden und ein System zu implementieren, das eine laufende Überprüfung dieser Anforderungen ermöglicht. So können Sie der Dokumentationspflicht ohne große Vorbereitungen laufend nachkommen.

Unser Augenmerk liegt dabei auf mittleren und auch auf kleineren Unternehmen, denn es kann durchaus sein, dass der Kreis der Unternehmen noch erweitert wird in Zukunft. Unserer Meinung nach sollten auch kleinere Betriebe, wie z.B. Online-Shops eine grundlegende Sicherheit haben. Denn auch dort gibt es sensible Daten, die gespeichert werden. Und es sind gerade diese kleineren Unternehmen, denen oft das Know-How fehlt, da man sich keine große eigene IT-Abteilung leisten kann.

Wer ist betroffen? Welche Unternehmen gehören zur kritischen Infrastruktur?

Es geht um Betriebe aus den Branchensektoren Informationstechnik, Energie, Telekommunikation, Verkehr, Wasser, Gesundheit, Ernährung, Finanz- und Versicherungswesen.

Es wird davon ausgegangen, dass ein Ausfall dieser Unternehmen eine große Beeinträchtigung für das Gemeinwesen nach sich zieht durch Versorgungsengpässe.

Man sieht hier schon, dass die Kreise doch recht weit gezogen sind und abstrakt gehalten sind. Aus diesem Grund sollten sich auch alle Unternehmen mit der IT-Sicherheit beschäftigen und eine gewisse Grundsicherung einführen.

Welches Mindestmaß an Sicherheit ist nun erforderlich?

Es wurde festgelegt, dass zwei Jahre nach Inkrafttreten des Gesetzes angemessene organisatorische und technische Maßnahmen ergriffen werden sollen.

Details wurden auch hier nicht vorgeschrieben, es wird auf den Stand der Technik verwiesen.
Außerdem soll alle zwei Jahre ein Nachweis erbracht werden durch Sicherheitsaudits, Prüfungen oder Zertifizierungen.

Was sind meldepflichtige Sicherheitsvorfälle?

Gemeldet werden müssen unerwünschte Ereignisse mit Auswirkungen auf die Informationssicherheit, die in der Folge große Schäden nach sich ziehen können.

Hier gehören also wohl nicht kleinere Ereignisse, wie ein Virenbefall einiger Rechner dazu, oder der Ausfall von Hardwarekomponenten. Wohl aber größere Probleme wie ein Einbruch durch Hacker mit Datenverlust.

Was nun? Ein Fazit.

Man ist grundsätzlich gut beraten, die „typischen“ IT Basics umzusetzen, wie z.B:

  • aktuelle Firewalls
  • getrennte Netze
  • Patchverwaltung
  • Monitoring
  • automatisierte Audits
  • aktueller Malwareschutz
  • IT-Dokumentation inkl. Notfallpläne
  • Zertifizierungen bzw. Prüfungen nach ISO 27001, ISO 27002 und BSI
  • ggfls. Branchenspezifische Zertifizierungen wie z.B. ISO 27019 für Energieversorger nutzen

Gerne beraten wir Sie ausführlich und helfen Ihnen, ein System zu installieren, welches einen Großteil der Erfordernisse automatisiert in Echtzeit für Sie erledigt. Solch ein IT-Automationstool kann relativ einfach ausgerollt werden, und hilft auch kleineren Unternehmen schnell die Sicherheit erheblich zu steigern.

Außerdem empfiehlt sich ein IST-Aufnahme, in der ausgelotet wird, was Ihre sensiblen Bereich sind, was überhaupt bei Ihnen zu schützen ist, wie Bedrohungen aussehen könnten, ob die bereits bei Ihnen vorhandenen Sicherheitsmaßnahmen ausreichend sind, ob man gewisse Lücken tolerieren kann, ob Mitarbeiter geschult werden sollten, wie oft regelmäßige IT-Audits Ihrer Systeme durchgeführt werden sollten.

Sprechen Sie uns doch einfach an.

Kommentarbereich geschlossen.