Informationssicherheit in Deutschland
Aktuelle Themen zur Cyberkriminalität sollte jedes Unternehmen, unabhängig von seiner Größe, ernst nehmen.
„Bis heute denken viele mittelständische Unternehmen, dass sie für Cyberangriffe nicht interessant sind“, berichtet Tatjana Brozat, Auditorin für Informationssicherheit. Tatsächlich entstehen viele Sicherheitsvorfälle aus Unkenntnis oder gar mangelndem Problembewusstsein.
Im Zuge der zunehmenden Digitalisierung ist es daher unabdingbar, dass jedes Unternehmen seine Organisation und Prozesse inklusive zugehöriger Informationen sowie seine technische Sicherheitsarchitektur kennt und sie hinsichtlich der aktuellen Gefährdungslage anpasst. Hierzu sollte ein ganzheitliches Informationssicherheitsmanagement-System (ISMS) aufgebaut werden.
Das sollten Unternehmen in Deutschland hinsichtlich der Informationssicherheit berücksichtigen:
- Das Problembewusstsein für Informationssicherheit sollte über alle Ebenen geschärft werden
- Der VdS-Standard 10000 „Informationssicherheitsmanagementsystem für KMU" bietet KMU einen pragmatischen Ansatz
- Der BSI IT-Grundschutz bietet ein mehrstufiges Modell sowie Vorschläge zur Implementierung eines ISMS
- Rechtliche Rahmenbedingungen wie das IT-Sicherheitsgesetz und die EU-DSGVO erfordern eine ganzheitliche Betrachtung aller Informationen
Wissen zur Informationssicherheit im Unternehmen
In einer immer stärker vernetzten digitalen Welt sehen sich Unternehmen mit zunehmend strikteren gesetzlichen Regelungen konfrontiert. Dazu gehören das im Juli 2015 verabschiedete IT-Sicherheitsgesetz, das 2016 und 2017 um die Verordnungen zu den Kritischen Infrastrukturen (KRITIS) ergänzt wurde, sowie die seit Mai 2018 europaweit geltende Datenschutzgrundverordnung (EU-DSGVO).
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Februar 2018 erstmalig das IT-Grundschutz-Kompendium veröffentlicht und kann durch seinen methodischen Ansatz Unternehmen bei der Umsetzung der rechtlichen Anforderungen unterstützen. Hierin benennt das BSI konkrete Vorgehensweisen zur Implementierung eines ISMS.
Tipps für effektive IT-Sicherheitsstrategien
IT-Grundschutz-Kompendium des BSI
Artikel von A - Z
- Business Continuity Management
- Cybersecurity beim Cloud-Computing
- Die Einführung von Prozessen
- Gesetze und Normen zur Informationssicherheit
- Informationssicherheit im Krankenhaus
- IT-Sicherheit in Unternehmen
- ISO 27001 oder BSI IT-Grundschutz
- IT-Grundschutz-Kompendium des BSI
- IT-Notfallmanagement nach BSI und ISO
- IT-Sicherheit in kleinen und mittelständischen Unternehmen (KMU)
- NIS2- Richtlinie
- Rollen & Aufgaben in der Informationssicherheit
- Sicherheitskonzept nach BSI-Grundschutz
- Was ist ein Sicherheitskonzept?
Interview mit dem Informationssicherheit-Experten Dr. Dennis-Kenji Kipker
Dr. Dennis-Kenji Kipker: „In der Fachsprache findet sich Cybersecurity in den unterschiedlichsten Begriffen wieder: IT-Sicherheit; OT-Security, Informations-, Daten- und Netzwerksicherheit. Gemeint sind proaktive Maßnahmen zur Erkennung oder Abwehr von Bedrohungen und Vermeidung von Cyberangriffen. Diese dienen dem Schutz von Informationen und IT-/OT-Systemen vor Diebstahl, Beschädigung, Störungen, Manipulation, Spionage oder Missbrauch.“
Dr. Dennis-Kenji Kipker: „Als erstes sollte zum optimalen Schutz der wichtigen Unternehmenswerte ein strategisches Sicherheitskonzept, die Identifikation der wirklich wichtigen, schützenswerten Geschäftsprozesse, Daten und Systeme sowie die Überprüfung der bereits getroffenen Sicherheitsmaßnahmen stehen. Bei der Umsetzung müssen sämtliche Technologien, Arbeitsabläufe, Kommunikationswege und externe Schnittstellen eines Unternehmens einbezogen werden.“
Dr. Dennis-Kenji Kipker: „Jedes Unternehmen welches ein Informationssicherheitsmanagement nach ISO/IEC 27001 oder BSI IT-Grundschutz betreiben möchte, muss die umzusetzenden Maßnahmen in einer Leitlinie zur Informationssicherheit beschreiben. Damit die vorgegebenen Ziele und Strategien verfolgt werden können, werden diese im IT-Sicherheitskonzept definiert. Ein solches Sicherheitskonzept hat immer einen festgelegten Geltungsbereich.“
Dr. Dennis-Kenji Kipker:
- "Computersysteme sollten hinter Firewalls mit Antiviren-Software und in sicheren WLAN- oder LAN-Netzwerken eingesetzt werden.
- Sicherheitsbewusstsein (Security Awareness) im Unternehmen durch Schulungen der Anwender stärken.
- Die Passwörter sollten komplex sein sowie mindestens acht Stellen haben und bei mehreren Passwörtern empfiehlt sich ein Passwortmanager aber nicht webbasiert. Keine Passwörter im Browser speichern."
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de