Mein Datenschutz-Blog - #THEPRIVÄCY

Am letzten Wochenende ist nach rund sechsmonatigen parlamentarischen Beratungen das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme in Kraft getreten. Das sogenannte IT-Sicherheitsgesetz (kurz IT-SiG) stellt für Unternehmen "der kritischen Infrastruktur" Mindestanforderungen an die IT-Sicherheit auf. Es enthält z.B. eine Verpflichtung zur Meldung von Datenpannen und Cyber-Attacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen eigentlich durch das Gesetzesraster. Weshalb diese häufig trotzdem betroffen sind, wissen die securITy-Experten von yourIT.

Das IT-Sicherheitsgesetz stellt dabei eine Zusammenfassung von bereits bestehenden Gesetzen dar. Wer darin eine konkrete Festlegung von Maßnahmen erwartet, die Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT umsetzen müssen, kann lange suchen. Auf Grund der Schnelllebigkeit im Bereich IT-Sicherheit wäre dies aber auch nicht zielführend. Das IT-Sicherheitsgesetz stellt aber einen Rahmen dar - der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden wird.

Ziele des IT-Sicherheitsgesetzes

Ein wichtiges Ziel des IT-Sicherheitsgesetzes ist es, das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu stärken. Die dort künftig zusammenlaufenden Informationen über IT-Angriffe sollen zügig ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Infrastrukturen schnellstmöglich zur Verfügung gestellt werden. Nachdem das IT-Sicherheitsgesetz jetzt inkraft getreten ist, sind die Betreiber Kritischer Infrastrukturen nun zur Erarbeitung und Umsetzung von IT-Mindeststandards in ihrem Bereich verpflichtet.

Definition "Kritische Infrastruktur"

Definition "Kritische Infrastruktur" in Sektoren, Branchen und Schutzzielen

Das IT-Sicherheitsgesetz nennt eine "kritischen Infrastruktur" - KRITIS. Dazu zählen speziell Betreiber von Kernkraftwerken und Telekommunikationsunternehmen sowie Unternehmen aus den Branchen Energie- und Wasserversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanz- und Versicherungswesen, Gesundheit und Ernährung / Lebensmittel.

Weshalb sind KMUs vom IT-Sicherheitsgesetz betroffen?

Direkt betroffen vom IT-Sicherheitsgesetz sind Schätzungen zufolge nur etwa 2.000 Betriebe in ganz Deutschland. Kleine und mittelständische Unternehmen - sogenannte KMUs fallen eigentlich durch das Raster der Gesetzgebung. Demnach könnte man meinen, KMU müssten die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen. Davon ist aber nicht auszugehen. Arbeitet z.B. ein KMU als Zulieferer für ein Unternehmen der Kritischen Infrastruktur, das sehr wohl das IT-Sicherheitsgesetz beachten muss, kann das KMU fest damit rechnen, dass der Auftraggeber die Einhaltung gewisser IT-Sicherheits-Standards vom KMU fordert.

Vom IT-Sicherheitsgesetz IT-SiG direkt und indirekt betroffene Unternehmen

"Eine gute Wahl für einen IT-Sicherheitsstandard ist sicherlich die ISO 27001", so Thomas Ströbele, Geschäftsführer der yourIT und Lead Auditor ISO 27001. "Diese Norm ist derzeit der international anerkannteste Standard zum Thema Informationssicherheit."

Auf dem Weg zur ISO 27001 macht es aber oft Sinn, sich "kleinerer" IT-Sicherheitsstandards als Etappenziele zu bedienen. Beispiele hierfür sind ISA+, ISIS12 oder BSI-Grundschutz. Zwischen-Zertifizierungen sind damit einfacher erreichbar. Es stellt sich schneller ein Erfolgserlebnis ein. Die erreichten Ergebnisse lassen sich für die Erreichung der Zertifizierung nach ISO 27001 wiederverwerten.

IT-Sicherheits-Standards im Vergleich - ISA+, ISIS12, BSI-IT-Grundschutz und ISO 27001

Kosten der Umsetzung der Vorschriften des IT-Sicherheitsgesetzes für betroffene Unternehmen?

Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie deren Zulieferern Erfüllungsaufwand für die Einhaltung von IT-Sicherheits-Standards und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird nur dort zu erheblichen Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheits-Standards bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Unternehmen, die sich bereits in der Vergangenheit mit Datenschutz & IT-Sicherheit beschäftigt haben, sind keine steigenden Kosten zu erwarten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen und deren Zulieferer durch die Durchführung der vorgesehenen IT-Sicherheitsaudits.

Fazit zum IT-Sicherheitsgesetz

Wenn die Umsetzung notwendiger Pflichten auf freiwilliger Basis scheitert, muss der Staat manchmal einschreiten und gesetzliche Regelungen erlassen. Insofern finden sich viele Parallelen zwischen der Einführung des IT-Sicherheitsgesetzes und der Durchsetzung der Gurtpflicht. 1975 verweigerten sich Millionen Menschen dem Lebensretter Sicherheitsgurt. Männer fürchteten um ihre Freiheit, Frauen um ihren Busen. Erst die Einführung der Gurtpflicht mit empfindlichen Strafen ebnete der Vernunft und dem Sicherheitsgurt den Weg zum Lebensretter Nr. 1. Genauso wird das IT-Sicherheitsgesetz den Sicherheits-Muffeln unter den Unternehmen mit Kontrollen und empfindlichen Strafen den richtigen Weg ebnen. Schaut man sich die oben genannten Schutzziele an, profitieren wir alle davon.

“Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich spätestens jetzt mit der Sicherheit ihrer Informationstechnik auseinandersetzen”, empfiehlt Thomas Ströbele. “Nach in Kraft treten der Rechtsverordnung bleibt diesen gerade mal sechs Monate Zeit, eine Kontaktstelle für das BSI zu benennen. Innerhalb von zwei Jahren müssen dann die definierten Mindeststandards umgesetzt werden.”

Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen. yourIT unterstützt Unternehmen unter anderem mit IT-Schwachstellenanalysen sowie Datenschutz- und IT-Sicherheits-Audits, durch die festgestellt werden kann, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch notwendig sind. Außerdem unterstützt yourIT Unternehmen beim Erreichen der Zertifizierung nach ISO 27001.

Nachdem ich vergangenes Jahr in meinem Urlaub den Roman "BLACKOUT - Morgen ist es zu spät" gelesen habe, kommen mir die genannten Schutzziele vielleicht als besonders schützenswert vor. Beachten Sie unsere Sommeraktion 2015: Zu jedem Termin im August und September 2015 bringen wir ein kostenloses Exemplar des Bestsellers mit.

Empfohlene Urlaubslektüre von yourIT: Roman BLACKOUT - Morgen ist es zu spät

Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr Thomas Ströbele

 

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 ausgezeichnet.

Mit yourIT und ISA+ Cert. haben kleine und mittelständische Unternehmen ab sofort die Möglichkeit einer kostengünstigen Zertifizierung ihrer Informationssicherheit auf Basis einer Informations Sicherheits Analyse eines akkreditierten Beraters gemäß dem öffentlichen ISA+ Fragenkataloges. 

Auf Basis eines vom Bayerischen IT-Sicherheitscluster e.V. speziell erstellten Fragenkataloges entwickelte das Forum ISA+ Cert des Instituts für Datenschutz und Informationssicherheit in Europa ein Prüf- und Zertifizierungsverfahren für die Erhebung und Bewertung des im Unternehmen erreichten Schutzniveaus für Informationen und Daten.

Muster-Zertifikat des IDIE auf Basis des ISA+ Standards

Mit dem Projekt ISA+ (Informations-Sicherheits-Analyse) bietet das Bayerische IT-Sicherheitscluster für kleine und mittelständische Unternehmen einen einfachen Einstieg in die Informationssicherheit. Mit Hilfe erfahrener Projektmitglieder aus dem IT-Bereich wurde eine für kleine und mittelständische Unternehmen (KMU) angepasste Bedarfsanalyse entwickelt. In der Bedarfsanalyse werden folgende Themenblöcke abgehandelt:

• Allgemein
• Organisatorisch
• Technisch und
• Rechtlich

Danach werden auf die Anforderungen von kleinen und mittleren Unternehmen angepasste Handlungsempfehlungen ausgesprochen.

Ziele der Informations-Sicherheits-Analyse mit dem ISA+ Fragenkatalog:

• Entwicklung eines IT-Sicherheitsprozesses, der verständlich die Notwendigkeit von IT-Sicherheit erklärt;
• auf die Bedürfnisse von kleineren Unternehmen abgestimmt ist;
• mit vertretbarem Aufwand auch von kleunen und mittelständischen Unternehmen zu bewältigen ist.

In Zusammenarbeit mit dem Institut für Datenschutz und Informationssicherheit in Europa (IDIE) bietet yourIT ab sofort eine einfache, schnelle und transparente Möglichkeit einer Bestandsaufnahme und Bewertung des aktuellen Informations-Sicherheitsniveaus auf Basis des ISA+ Fragenkataloges.

Offizielles Logo der Informations-Sicherheits-Analyse ISA+

Wozu noch ein Informationssicherheits-Management-System (ISMS)?

Angesichts der vielfältigen Gefährdungspotentiale nimmt die Informations-Sicherheit eine immer wichtigere Rolle ein. Wie sicher ist die verwendete IT-Infrastruktur? Welche technischen und organisatorischen Maßnahmen müssen konkret in der Organisation umgesetzt werden? Hierzu standen auch bisher schon eine Reihe von Sicherheitsstandards zur Verfügung:

• ISO 27001
• BSI IT-Grudschutz
• ISIS12

Aus bisherigen Projekten wissen wir, dass die Einstiegshürden für diese ISMS für kleine und mittelständische Unternehmen (KMU) meist zu hoch sind. Vorbereitung, Durchführung und Zertifizierung überfordern diese schnell. Die erforderlichen Ressourcen und Spezialisten fehlen und müssen teuer zugekauft werden. Aus diesen und weiteren Gründen verzichten viele KMU daher auf die Einführung eines ISMS - auch wenn Ihnen die Risiken bewußt sind. Das führt dazu, dass KMU in der Regel bereits an den ISMS-Einstiegsfragen scheitern, weil z.B.  Datenschutzrichtline, Informationssicherheitsleitlinie, Notfallplan, etc. fehlen.

Übersicht ISMS-Systeme: ISO 27001, BSI IT-Grundschutz, ISIS12, ISA+

Aus diesem Grund halten wir ISA+ für das sinnvolle ISMS bei kleinen und mittelständischen Unternehmen - vor allem, wenn diese sich das erste Mal an solch ein Projekt heranwagen. Eine spätere Erweiterung auf die größeren Standards ISIS12, BSI IT-Grundschutz und sogar ISO 27001 ist später problemlos machbar. Der Grundgedanke ist derselbe.

Und das Beste zum Schluss: Sponsored by ESF

Die im Rahmen der Informations-Sicherheits-Analyse ISA+ erforderliche Beratungsleistung bei kleinen und mittelständischen  Unternehmen (KMU) bildet ab sofort und noch für das restliche Jahr 2014 unser nächstes ESF-gesponsortes Beratungspaket.

yourIT - ESF-gefördertes Beratungskonzept Informations-Sicherheits-Analyse ISA+

Weitere vom Europäischen Sozialfonds (ESF) geförderte yourIT-Beratungspakete finden Sie hier: http://www.mitgroup.eu.


Ich freue mich auf Ihre Projektanfrage. Fordern Sie uns!

Ihr Thomas Ströbele
ISO 27001 Lead Auditor (ab 12/2014)

BEST OF CONSULTING 2015 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT

Am 16.03.2015 wurden unsere Beratungspakete

• Kern-Prozessanalyse
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+

beim Innovationspreis-IT der Initative Mittelstand in die Liste BEST OF CONSULTING 2015 aufgenommen.

Signet Innovationspreis-IT für yourIT-Beratungspakete

Nicht ein paar Hundert oder Tausend, ganze 16 Millionen Zugangsdaten gelangten in den Besitz von Hackern. Die Hälfte davon gehört zu deutschen Mailadressen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu dieser Schreckensmeldung am 20. Januar 2014 mitteilte. Sie stellen sich die Frage, wie Sie sich und Ihr Unternehmen davor schützen können? Die securITy-Experten von yourIT stehen Unternehmen mit einem kostenlosen IT-Security-Check zur Seite.

Wurden da Datenschutz & IT-Sicherheit vernachlässigt?

Nach jetzigem Erkenntnisstand wohl eher JEIN, wenn man sich die zahlreichen Statements der User bei Facebook, Twitter & Co anschaut. Denn: Diese Botnetzwerke bestehen aus gekaperten Rechnern, deren Besitzer in den meisten Fällen nicht die geringste Ahnung haben, dass ihr PC zum Zombie-Rechner mutiert und die infizierte Schad-Software durch das halbe Internet trägt. Firmenrechner sind auch dabei, viele davon mit vermeintlich sicheren Antivirenprogrammen zum Datenschutz gesichert. Ein übertriebenes Horrorszenario? Nicht im Geringsten...

Holen Sie sich jetzt Ihren kostenlosen IT-Security-Check von yourIT

IT-Sicherheit wird noch immer grob vernachlässigt

Der Schaden, der durch diese Hackeroffensive verursacht wird, kann in den nächsten Tagen nicht einmal annähernd beziffert werden. Selbst Behörden-Netzwerke sind betroffen, aber zum Großteil eben solche Privat- und Firmenrechner, die das einmal vergebene persönliche Kennwort parallel auch noch für viele andere Benutzerkonten wie Onlinebanking, Shoppingportale und selbst für ihre Onlinespeicher in der Cloud verwendet haben. Diese praktizierte, weil ja so bequeme Verfahrensweise, hat mit Datenschutz sehr wenig zu tun und noch weniger dann, wenn Passwörter in der Art "123456", "Kennwort" oder ähnlich einfallslos vergeben werden.

Professioneller Datenschutz kostet Geld, fehlender noch viel mehr

Diese Mega-Attacke ist natürlich von ihrer Dimension her eine Ausnahme. Sensible Firmennetzwerke, aber selbst Einzelplatzrechner oder im Unternehmen genutzte Notebooks bieten generell eine permanente Angriffsfläche für Dritte - täglich und selbst dann, wenn die Mitarbeiter schon längst ihren wohlverdienten Feierabend genießen. Ein Rechner ohne optimalen Schutz lässt sich in Sekunden aushebeln, noch schlimmer, wenn ein Firmen-PC gänzlich verloren geht - aus welchen Gründen auch immer. Während bei einem Verlust oder Diebstahl der rein physikalische Schaden eines Rechners der 800,00-Euro-Klasse noch zu verschmerzen wäre, kann der damit verbundene Verlust von oft unwiederbringlichen Daten für ein Unternehmen existenzschädigend sein. Nicht weniger schwerwiegend, wenn die sensiblen persönlichen Daten von Kunden in die Hände von unbefugten Dritten gelangen und für kriminelle Zwecke missbraucht werden. Der darauf folgende finanzielle Gesamtschaden bewegt sich in solchen Fällen kaum unter 20.000, - EUR und kann selbst einen sechsstelligen Betrag erreichen. Ein sinnvolles und effizientes Datenschutz- und IT-Sicherheitskonzept, wie wir von yourIT dies unseren Geschäftskunden anbieten, hätte dagegen einen verschwindend geringen Bruchteil dieser Summe gekostet.

Höchste Zeit, im Bereich Datenschutz & IT-Sicherheit zu handeln!

Vertrauen Sie mit Ihrer hochwertigen IT auf motivierte Fachleute mit jahrelanger Erfahrung, die Ihnen nur ein professionelles Systemhaus wie yourIT bieten kann. Während im privaten Bereich mit handelsüblichen Tools auf dem PC zumindest ein Minimum an Sicherheit erreicht werden kann, sind die Anforderungen bezüglich Datenschutz & IT-Sicherheit im hochkomplexen Firmennetzwerk um ein Vielfaches höher und mit den eigenen Mitarbeitern kaum zu bewältigen. Hier geht es um viel mehr als "nur" Passwörter. Verschlüsselung ist in Sachen Datenschutz eine unglaublich starke Barriere, allerdings nur, wenn sie korrekt, also vom Fachmann, in das Gesamtsystem implementiert wird. Sie sollten daher jetzt mit uns gemeinsam handeln!

Sofortmaßnahme: yourIT bietet kostenlose IT-Security-Checks

Ab sofort und bis zum 31.03.2014 bieten wir Ihnen einen kostenlosen IT-Security-Check. Um sich einen der Gutscheine zu sichern klicken Sie hier oder rufen Sie jetzt an und vereinbaren Sie direkt einen Termin. Sie erreichen uns unter +49 7433 30098-0.

yourIT - Wir stehen für Sicherheit in allen IT-Fragen.

Ich freue mich darauf, Sie persönlich kennen zu lernen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele