Unter das IT-Sicherheitsgesetz 2.0, das am 21. Mai 2021 verabschiedet wurde, fallen jetzt auch „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Für diese Unternehmen hat das BSI nun die ersten konkreten Anforderungen festgelegt.

Doch welche Unternehmen fallen unter die Bezeichnung „UBI“? Hier kann man in drei Kategorien unterscheiden.

Kategorie 1:

Die Juristische Bezeichnung lautet: „Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln.“ Darunter fallen Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen tätig sind. Ebenfalls betroffen sind Unternehmen, die für die Komponenten o.g. Produkte und deren IT-Sicherheitsfunktionen zuständig sind.

Kategorie 2:

Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Die Kennzahlen, nach denen dies bemessen wird, müssen noch per Rechtsverordnung vom BMI (Bundesministerium des Inneren, für Bau und Heimat) festgelegt werden. (Beispielweise könnten, das die Unternehmen die im DAX aufgelistet sind sein)

Kategorie 3:

Unternehmen, die in einem Bereich tätig sind, in dem gefährliche Stoffe in solchen Mengen vorhanden sind, das diese vorgegebene Mengenschwellen erreichen oder überschreiten. Aufgeführt werden diese Schwellwerte in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung.

Juristisch heißt es, betroffen sind „Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung” oder Betreiber, die, “nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Zur Übersicht listen wir Ihnen die Anforderungen des BSI einmal tabellarisch auf:

Tabelle der Anforderungen aus dem IT-SiG 2.0

Tabelle der Anforderungen aus dem IT-SiG 2.0

Es ergibt sich also zusammengefasst vorerst folgender Handlungsbedarf:

Kategorie 1: Hersteller/Entwickler von Gütern im Sinne von § 60 AWV müssen zum 1. Mai 2023 eine Selbsterklärung und eine Registrierung beim BSI einreichen.

Kategorie 2: Für die Unternehmen von erheblicher volkswirtschaftlicher Bedeutung wird das BMI eine Verordnung erstellen, durch die konkretisiert wird welche Unternehmen in diese Gruppe fallen. Bis zum Inkrafttreten der Verordnung besteht vorerst kein Handlungsbedarf.

Kategorie 3: Unternehmen müssen ab dem 1. November 2021 Vorfälle melden.

Weitere Informationen zu diesem Thema, insbesondere zur Störfallmeldung in Kategorie 3 finden Sie auf der Seite des BSI.

Auch die zum IT-Sicherheitsgesetz ergänzend gültige BSI Kritis Verordnung wurde überarbeitet und am 18.8.2021 in der neuen Version verabschiedet, diese Rechtsverordnung konkretisiert das IT-SiG 2.0 und tritt mit den geänderten Anforderungen und Schwellwerten am 1.Januar 2022 in Kraft. Offen sind auch hier bisher noch die konkreteren Definitionen der neuen betroffenen Unternehmen (UBI). Die Schwellenwerte und Identifikationsmechanismen sollen voraussichtlich 2022 in einer separaten UBI-Verordnung (UBI-VO) erfolgen.

Rollen und Aufbauorganisation

Im ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem ISMS nach ISO 27001 haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines Informationssicherheits-Managementssystems beschäftigt. In diesem Beitrag soll es um die Schaffung und Besetzung notwendiger Rollen, um die Aufbauorganisation für den laufenden Betrieb eines ISMS gehen.

Nichts läuft von alleine. So braucht auch das Thema Informationssicherheit Menschen, die es vorantreiben. Es braucht also zumindest einen Mitarbeiter, der zumindest in Teilzeit diese Aufgabe wahrnimmt. Diese Rolle heißt oft Informationssicherheitsbeauftragter.

Informationssicherheitsbeauftragter / CISO

In größeren Organisationen ist es mit einem “Einzelkämpfer” nicht mehr getan. Es braucht eine ganze Informationssicherheitsorganisation. Der Leiter dieser Unternehmenseinheit heißt dann häufig Leiter Informationssicherheit oder in eher international orientierten Unternehmen Chief Information Security Officer (CISO). Angesiedelt ist diese Stelle meist direkt unterhalb der obersten Leitung, also direkt unter Vorstand oder Geschäftsführung als Stabsstelle oder Stabsbereich. So ist eine enge Anbindung an die Führung sichergestellt. Idealerweise berichten Informationssicherheit (IS) und Informationsverarbeitung (IT) an unterschiedliche Mitglieder der obersten Leitungsebene. Dies bietet die Gewähr dafür, dass etwaige Interessenkonflikte gut sichtbar werden und sachgerecht behandelt werden können.

Weitere Kernrollen der Informationssicherheit

Besteht die Informationssicherheitsorganisation aus mehreren Mitgliedern, setzt oft schnell eine Spezialisierung ein. So gibt es beispielsweise spezialisierte Informationssicherheits-Management-Systembeauftragte, Informationssicherheits-Risikomanager, Auditprogrammverantwortliche, interne Auditoren und Spezialisten für die informationstechnischen Aspekte der Informationssicherheit (IT-Security).

Bei allen Rollen sollte man überlegen, ob diese nicht an anderen Stellen im Unternehmen besser angesiedelt sind. So könnten die IT-Security -Spezialisten in der IT angesiedelt werden, der Informationssicherheits-Risikomanager im Unternehmensrisikomanagement und die internen Auditoren in der Revision. Für beide Ansätze, Bündelung der Informationssicherheit in einem Bereich versus Eingliederung in bestehende Strukturen, gibt es gute Argumente. Eine pauschale, für alle zutreffende Antwort kann es wie so häufig nicht geben. Jedes Unternehmen muss gut abwägen, seine Entscheidung treffen, die Wirkung beobachten und ggfs. getroffene Entscheidungen wieder korrigieren oder den sich verändernden Rahmenbedingungen anpassen.

Informationssicherheitskoordinatoren

Schaut man, was Unternehmen, in denen das Thema Informationssicherheit erfolgreich betrieben wird, von denen unterscheidet, wo Informationssicherheit nur formal, künstlich und die eigentlichen Betriebsabläufe eher störend umgesetzt wird, stößt man immer wieder auf eine Rolle: Informationssicherheitskoordinatoren. Sie kommen aus den Fachbereichen, sind also beispielsweise Buchhalter, Personalmanager, Marketing-Spezialisten, Produktionsmitarbeiter. In einer Nebentätigkeit von vielleicht einem Tag pro Monat setzen Sie sich mit Fragen der Informationssicherheit in ihrem Bereich auseinander, sie nehmen an Meetings mit den anderen Koordinatoren und den Kernrollen der Informationssicherheit teil. Es ist ihre Aufgabe zwischen den Welten zu übersetzen und zu vermitteln. Sie vertreten die Belange der Informationssicherheit in ihren Teilorganisationen und deren fachliche Belange gegenüber der Informationssicherheit.

Wichtig ist es, hier motivierte Mitarbeiter zu haben, die wirklich Lust haben, sich neben ihrer eigentlichen Tätigkeit mit einem weiteren Thema zu beschäftigen. Besser sollte in einem Bereich die Rolle (vorübergehend) unbesetzt bleiben, als dass man jemanden überredet oder sogar bestimmt. Damit wäre weder dem Thema gedient, noch ist das angenehm für die “Abkommandierten”. Meist findet man genügend freiwillige Mitarbeiter, die Spaß daran haben, sich mit dem wichtigen Thema Informationssicherheit auseinander zu setzen und so auch den eigenen persönlichen Horizont zu erweitern. Manchmal braucht es nur ein wenig Zeit, weil potentielle Interessenten erst einmal sehen wollen, was die Übernahme einer solchen Aufgabe tatsächlich bedeutet. Das notwendige fachliche Wissen lässt sich meist leicht über die Zeit herstellen. Hire for attitude and train for skills!

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir, die ANMATHO AG, sind für das Modul „IT-Sicherheit“ als Beratungsunternehmen im Förderprogramm go-digital autorisiert. An dieser Stelle machen wir jetzt also einmal Werbung in eigener Sache, um Ihnen eine Möglichkeit aufzuzeigen, wie Sie – sofern Ihr Unternehmen die Kriterien erfüllt – eine finanzielle Förderung für den Ausbau Ihrer Informationssicherheit erhalten können.

Hier vorab ein paar Infos zu go-digital:

Go-digital ist ein Förderprogramm des Bundesministeriums für Wirtschaft und Energie (BMWi) mit dem Ziel, kleine und mittständische Unternehmen (KMU) sowie Handwerksbetriebe finanziell zu unterstützen, ihre Geschäftsprozesse mithilfe digitaler Lösungen auf sicherem Wege zeitgemäß zu optimieren. Den Unternehmen stehen dabei vom BMWi autorisierte Beratungsunternehmen zur Seite.

Unterstützung gibt es für die folgenden drei Module:

• Digitalisierte Geschäftsprozesse
• Digitale Markterschließung
• IT-Sicherheit

Im Modul „IT-Sicherheit“ geht es um:

• eine Risiko- und Sicherheitsanalyse (Bewertung von Bedrohungen und möglichen Schwachstellen) der bestehenden oder neu geplanten betrieblichen IKT-Infrastruktur,
• Maßnahmen zur Initiierung und Optimierung von betrieblichen IT-Sicherheitsmanagementsystemen,
• das Ziel der Vermeidung von wirtschaftlichen Schäden sowie Minimierung von Risiken durch Cyberkriminalität sowie den selbständigen Betrieb von grundlegenden erforderlichen IT-Sicherheitsmaßnahmen.

Welche Unternehmen sind förderberechtig?

Rechtlich selbständige Unternehmen der gewerblichen Wirtschaft oder des Handwerks können durch die Förderung von Beratungsleistungen begünstigt werden, wenn folgende Voraussetzungen erfüllt sind:
• Das Unternehmen hat bei Vertragsabschluss unter 100 Beschäftigte (einschließlich aller Partnerunternehmen und verbundenen Unternehmen)
• der Vorjahresumsatz oder die Vorjahresbilanzsumme beträgt höchstens 20 Millionen Euro
• die Betriebsstätte oder eine Niederlassung ist in Deutschland ansässig
• es liegt eine Förderfähigkeit nach der De-minimis-Verordnung vor
Sofern ein KMU „Partnerunternehmen“ oder „verbundenes Unternehmen“ ist, muss das Beratungsunternehmen die Förderfähigkeit nach der De-minimis-Verordnung der Europäischen Union hinsichtlich Mitarbeiterzahl und Jahresumsatz/Bilanzsumme bestätigen.

Wie hoch ist die Förderung durch go-digital?

Die Beratungsleistungen werden mit einer Förderquote von 50 % auf einen maximalen Beratertagessatz von 1.100 Euro gefördert, wobei der Förderumfang auf max. 30 Tage in einem Zeitraum von sechs Monaten begrenzt ist. Als Begünstigter zahlen Sie demnach nur einen Eigenanteil an das Beratungsunternehmen.
Kurz gerechnet bedeutet dies einen maximalen Förderbetrag in Höhe von 16.500 €.

Wie ist das Vorgehen, wenn Sie den Förderweg im Bereich „IT-Sicherheit“ mit uns gehen möchten?

Das Beste für Sie vorweg: Wir tragen die Gesamtverantwortung für das jeweilige Projekt, stellen den Projektantrag und übernehmen die verwaltungsseitige Abwicklung des Projekts. Wir werden damit zum „Zuwendungsempfänger“ und Sie zum „Begünstigten“.

Möchten Sie mehr zu diesem Thema erfahren, oder unverbindlich mit uns sprechen, rufen sie uns gerne unter der Rufnummer 040 22947 19 – 0 an oder schicken uns eine Mail an info@anmatho.de

Weitere Informationen finden Sie auch hier…

Quelle: www.bmwi-go-digital.de

Entsorgungsbetriebe sind systemrelevant, das sollte allen klar sein. Das ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bewusst. Daher sollen Entsorgungsbetriebe künftig nach IT-SiG 2.0 zu den kritischen Infrastrukturen gehören.

Durch die Pandemie hat sich gezeigt, dass auch die Entsorger vor neue Herausforderungen gestellt werden. Steigende Abfallmengen aus privaten Haushalten und durch die verminderte Produktion sinkende Abfallmengen aus den gewerblichen Bereichen. Daraus ergibt sich neben einer Wertstoffknappheit z.B. beim Papierrecycling (nichts rein-nichts raus) eine Verschiebung der Abfallströme. Mehr Hausmüll und weniger recyclingfähige Abfälle bringen die Lager und Anlagen der Entsorger z.T. jetzt schon an ihre Kapazitätsgrenzen.

Auch wenn es derzeit noch keine spürbaren Einschränkungen bei der Abfallentsorgung gibt, haben viele Unternehmen der Branche bereits vorgesorgt und flexible Regelungen zum Betriebsmanagement getroffen. Schichtbetrieb, Kleingruppen, räumliche Trennung, die Entsorgungsbetriebe haben schon viele Maßnahmen getroffen, um einen massiven Personalausfall durch COVID-19 Erkrankte zu vermeiden.

Die Einstufung der gesamten Entsorgungswirtschaft als systemrelevant ist in diesem Punkt ein wichtiges politisches Signal. Systemrelevanz ist das Stichwort, unter dem Einrichtungen und Betriebe zusammengefasst werden, die das grundlegende Funktionieren des öffentlichen Lebens aufrechterhalten. Das bringt aber für die Unternehmen auch neue Herausforderungen mit sich. Denn neben den Plänen, um einen Personalausfall zu verhindern muss mit der zukünftigen Einstufung als KRITIS auch der gesamte IT-gestützte Entsorgungsprozess betrachtet werden. Hier gibt es klare Anforderungen an die Betriebe wie das zu bewerten, umzusetzen und nachzuweisen ist.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In vielen Unternehmen sind Datenschutz und Informationssicherheit organisatorisch und faktisch noch weitgehend getrennt. Zwar arbeiten der Informationssicherheitsbeauftragte und der Datenschutzbeauftragte punktuell zusammen; von einem integrierten Ansatz kann meist aber nicht die Rede sein. Das ist schade.

In einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 werden technische und organisatorische Maßnahmen zum Schutz von Informationen gegen die Verletzung von Verfügbarkeit, Vertraulichkeit und Integrität risikobasiert ausgewählt und umgesetzt. Dabei werden in der Regel ausschließlich die Risiken für das Unternehmen selbst betrachtet.

Synergien nutzen

Wie in der Informationssicherheit sind im Datenschutz technische und organisatorische Maßnahmen ebenfalls risikobasiert auszuwählen und umzusetzen (vgl. DSGVO Art. 25 u. Art. 32). An dieser Stelle sind jedoch die Risiken der Betroffenen zu betrachten. Trotzdem kann die Risikobewertung nach derselben Methode durchgeführt und Synergien damit genutzt werden.

Auch die regelmäßige Überprüfung und Bewertung der Maßnahmen hinsichtlich ihrer Angemessenheit und Wirksamkeit ist aus datenschutzrechtlicher Sicht erforderlich (vgl. DSGVO Art 32 Ab.1 lit. d). Eine solche Überprüfung ist im ISMS nach ISO 27001 schon angelegt. Auch hier können Datenschutz und Informationssicherheit ein gemeinsames Vorgehen umsetzen.

Es ist daher nur konsequent, dass die ISO mit der ISO 27701 eine Norm vorlegt, die das Datenschutzthema in ein ISMS nach ISO 27001 integriert. Zu diesem Zweck werden Normkapitel und Anhang A der ISO 27001 sowie die Umsetzungshinweise der ISO 27002 um datenschutzrechtliche Aspekte entsprechend erweitert und angepasst.

Die einheitliche Betrachtung von Informationssicherheit und Datenschutz führt zu einem integrierten Managementsystem. So werden Ressourcen geschont, indem Doppelarbeiten und sich schlimmstenfalls widersprechende Ansätze verhindert werden.

Informationssicherheitsbeauftragter und Datenschutzbeauftragter treten jetzt bei der Planung und Umsetzung technischer und organisatorischer Maßnahmen der Informationssicherheit und des Datenschutzes gemeinsam gegenüber den Vertretern anderer Interessenbereiche im Unternehmen auf. Im Ergebnis führt dieser Ansatz zu einer Stärkung sowohl der Informationssicherheit als auch des Datenschutzes.

Wie es weiter geht

Die nächsten Artikel dieser Serie zur ISO 27701 beschäftigen sich mit den Themen

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Viele Unternehmen erachten Security Awareness als ein notwendiges Übel, das man einmal im Jahr im Rahmen seines Informationssicherheits-Managementsystems (ISMS) behandeln muss. Wieso ist das so und warum kann diese Ansicht gefährlich werden?

Für das Funktionieren von Informationssicherheit im Unternehmen müssen viele Maßnahmen ergriffen werden, da nur so Unternehmenswerte vor Verlusten jeglicher Art geschützt werden können. Zu diesen Maßnahmen gehören beispielsweise technische Lösungen, wie Firewalls, Antivirusprogramme oder Logging-Verfahren, aber auch organisatorische Maßnahmen wie das Verwalten von Zutritts-, Zugangs- und Zugriffsrechten. Die Sensibilisierung der Mitarbeiter fällt ebenfalls unter die organisatorischen Maßnahmen, wird aber oft stiefmütterlich behandelt.

Mitarbeiter zu sensibilisieren ist für viele ein scheinbar aufwändiger Kraftakt, der überflüssig erscheint. Jeder weiß doch schließlich, dass man nicht auf große rote Buttons in E-Mails klickt, die einem sagen, man hätte etwas gewonnen und könne sich „hier“ jetzt seinen Gewinn abholen. Nur eben schnell noch Vor-, Nachname, Anschrift, Alter, Kontonummer, Anzahl der Kinder, Mädchenname der Mutter und den Namen der ersten Schule, etc. angeben. Und unbekannte USB-Sticks verwendet ja sicher niemand… Natürlich würde jeder behaupten, diese Sachen zu wissen und dass Hacks ja immer nur den anderen passieren. Aber sind wir mal ehrlich, wer ist schon gänzlich gegen seine Menschlichkeit gewappnet. Vermutlich niemand, denn im stressigen Arbeitsalltag denkt man nicht immer an diese Dinge und jedem passieren mal Fehler. Da ist ein Security Vorfall nicht so unwahrscheinlich.

Oft versuchen Unternehmen die Situation zu lösen, indem der Mitarbeiter durch technische Maßnahmen eingeschränkt wird. Dies erscheint manchen vielversprechender als die strukturierte Sensibilisierung von Mitarbeitern. Leider ist das ein Irrglaube. In Fachkreisen wird längst klar kommuniziert, dass der Mensch eines der größten Sicherheitsrisiken darstellt und die Awareness der Mitarbeiter in der Maßnahmenliste priorisiert behandelt werden sollte.

Stellt sich also die Frage, warum nur bei technischen Maßnahmen zyklische Verbesserungsprozesse etabliert und Awareness Maßnahmen meist mit einer jährlichen Schulung der Mitarbeiter abgehandelt werden. Sollte Awareness nicht allgegenwärtig sein und zur Gewohnheit werden?

Wir empfehlen, den Menschen stärker in den Fokus zu setzen. Dies bedeutet eine stärkere und ehrlichere Beurteilung im Risikomanagement und unterschiedliche Maßnahmen zur Vermittlung eines Sicherheitsbewusstseins sowie entsprechende Handlungsvorgaben. Im einfachsten Fall heißt dies, die Konzeption verschiedener Maßnahmen, verteilt über ein Kalenderjahr. Je nach Größe des Scopes empfiehlt es sich, auch ein Projekt im Projekt anzulegen. Hier werden dann Kulturen, Gruppen, Wissen, Assets und Schwachstellen analysiert und nach ISMS-Zielen ausgewertet und weiterentwickelt. Somit kann sichergestellt werden, dass in den unternehmenskritischen Bereichen gezielt Wissen aufgebaut wird. Zudem werden didaktisch die Methoden gewählt, die am besten zur jeweiligen Zielgruppe passen.

Beschäftigt man sich mit dem Thema Informationssicherheit, ist Security Awareness nicht so aufwändig wie manche glauben. Die Mühe lohnt sich!

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Zusammensetzung des Projektteams

Dem Verhalten und Agieren der Unternehmensführung kommt im Bereich der Informationssicherheit hohe Bedeutung zu. Da dies in fast allen Bereichen und bei fast allen Themen im Unternehmen der Fall ist, ist diese Erkenntnis weder neu noch originell. Richtig bleibt sie trotzdem.

In der Praxis befindet sich die Informationssicherheit mit vielen anderen Themen in Konkurrenz um die Aufmerksamkeit der obersten Leitungsebene: Datenschutz, Arbeitssicherheit, Compliance etc. Und dabei haben wir über die Notwendigkeiten des eigentlichen Geschäftszweckes noch nicht geredet. Im Ergebnis kommt die Informationssicherheit oft zu kurz und wird „wegdelegiert“. Das ist grundsätzlich verständlich und bis zu einem gewissen Punkt auch statthaft. Die Delegation sollte dann aber sorgfältig erfolgen.

Die Ernennung eines Beauftragten bzw. Verantwortlichen für Informationssicherheit, möge er nun Informationssicherheitsbeauftragter, ISMS-Beauftragter, IT-Security-Manager, CISO oder anders heißen, ist der erste wichtige Schritt. Für die Einführung eines ISMS ist sodann ein Projektteam zu bilden. Auch diese Phase sollte der Vorstand bzw. die Geschäftsführung noch aktiv begleiten. Informationssicherheit ist kein IT-Thema, sondern ein Unternehmensthema. Viele Bereiche und Abteilungen sind beteiligt, u. a.: Personalabteilung, Einkauf, Legal & Compliance und natürlich die IT. Dementsprechend sollte das Team für die Einführung eines ISMS interdisziplinärer besetzt werden. IT ist ein sehr wichtiger, wahrscheinlich der umfangreichste Teilbereich im ISMS; zu techniklastig sollte das Team aber nicht sein.

Die richtige Zusammensetzung des Projektteams für die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001:2013 ist für den Erfolg sehr wichtig. Vorstände und Geschäftsführer sollten daher die grundlegende Funktionsweise eines ISMS verstehen sowie ihre eigenen Aufgaben und Möglichkeiten innerhalb des Systems sowie ihre Gestaltungsmöglichkeiten am System kennen.

Es heißt, der Unterschied zwischen Delegieren und Abschieben sei der, dass man sich beim Delegieren weiterhin für die Ergebnisse interessiert. In diesem Sinne werden wir uns in den nächsten Folgen dieser Artikelserie mit weiteren Aspekten des ISMS aus der Perspektive der obersten Leitung beschäftigen, z.B. mit der Aufbauorganisation, dem Berichtswesen und der Kommunikation im laufenden Betrieb eines ISMS.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Staatlich verordnete Sicherheit – das IT-SiG 2.0 kommt mit hohen Anforderungen, neuen kritischen Infrastrukturen (KRITIS) und noch höheren Bußgeldern.

Bereits im Dezember 2020 hat der Bundestag den Referentenentwurf des neuen IT-SiG 2.0 verabschiedet. Diese Version des Gesetzes kommt mit neuen Hürden für die Betreiber kritischer Infrastrukturen, weitreichenderen Befugnissen für das BSI und Bußgeldern, die sich in der Höhe an denen der DS-GVO orientieren. Zukünftig werden auch die Entsorger als kritische Infrastruktur behandelt und zudem ist vorgesehen, das Gesetz auf weitere Unternehmen von „öffentlichem Interesse“ auszuweiten. Welche Unternehmen das genau sind, bleibt bisher jedoch offen – es könnte sich dabei neben Unternehmen aus der Rüstungsindustrie auch um die Top 100 und DAX-Unternehmen handeln.

Diese gesetzlich verordnete Sicherheit sieht auch massive Änderungen für die Sicherheitsstandards vor. Bisher wurden die Anforderungen nur implizit durch die Einführung und Etablierung eines ISMS nach ISO 27001 oder den Branchenstandards B3S benannt.

Jetzt wird jedoch explizit ein System zur Angriffserkennung (SIEM) gefordert. Demnach muss vom Unternehmen künftig, nachgewiesen werden, dass es funktionierende technische und organisatorische Prozesse gibt, die eine zuverlässige Erkennung von Angriffsversuchen gewährleisten. Zusätzlich wird es mit dem Inkrafttreten des IT-SiG 2.0 eine Meldepflicht bei Verwendung von „als nicht vertrauenswürdig eingestuften Komponenten“ geben, sofern diese in kritischen Bereichen eingesetzt werden. Die Einstufung, welche Komponenten als nicht vertrauenswürdig gelten, wird künftig über das BSI erfolgen. Die Betreiberunternehmen müssen den Nachweis erbringen, dass nur entsprechend gekennzeichnete Komponenten eingesetzt werden oder ggf. einen Rückbau oder Austausch veranlassen.

Das BSI erhält weitere Befugnisse und darf damit auch aktiv Portscans durchführen und Honeypots oder Sinkholes betreiben, um Schwachstellen und Angriffsszenarien aufzuspüren. Zudem werden Unternehmen verpflichtet, noch aktiver Vorfälle zu melden deren Daten und Informationen dann beim BSI erfasst und für bis zu 18 Monaten gespeichert werden – dazu zählen möglicherweise dann auch personenbezogene Daten.

KRITIS-Betreiber sollten sich also bereits jetzt, insbesondere bei der Umsetzung neuer Projekte, mit den Anforderungen des IT-SiG 2.0 beschäftigen und diese proaktiv berücksichtigen. Dies erspart Zeit und Nachbesserungsaufwand und verschafft ggf. einen zeitlichen Vorteil bei den Umsetzungsfristen. Vermutlich werden diese aufgrund der zunehmenden Cyber-Angriffe entsprechend kurz ausfallen.

 

Praktisch jeden Tag gibt es in den Medien Berichte zu Bränden, Hackerangriffen, Stromausfällen, kilometerlangen Staus auf den Straßen…oder auch die Corona-Pandemie.

Zwischenfälle, auf die wir nicht vorbereitet sind, können durchaus fatale Folgen haben. Wenn essenzielle geschäftliche Prozesse zwangsweise ruhen und somit kein oder kaum Umsatz generiert wird, kann das für ein Unternehmen finanzielle Verluste und je nach Lage u.U. massive Imageschäden zur Folge haben. Beispiele dafür sehen wir jeden Tag…Klinikum Düsseldorf, das Wasserwerk in den USA oder das Heizkraftwerk in Frankfurt…um nur einige tagesaktuelle Fälle zu nennen.
Im Frühjahr 2020 hat uns alle ein Szenario eingeholt, von dem alle dachten, dass es in der heutigen Zeit sehr unwahrscheinlich ist. COVID-19 – mit den weitreichenden Folgen der Pandemie hat kaum jemand gerechnet. In solchen Situationen ist es wichtig, richtig zu reagieren und zielgerichtet zu handeln. Jeder sollte wissen, was zu tun ist und vor allem wie der Geschäftsbetrieb aufrechterhalten werden kann. Dies wird sehr viel leichter, wenn vorab festgelegt wurde, wie ein alternativer Prozess aussehen kann und wer für welche Aufgaben zuständig ist. Hier sind die richtigen Entscheidungen zu treffen, was nicht so einfach ist. Ein Organigramm mit den entsprechenden Rollenverteilungen in der Schublade zu haben, ist da sehr hilfreich. Wer ist im Krisenstab, wie operiert das Notfall-Team und woher kommt ggf. Unterstützung. Die Geschäftsführungsebene muss die strategische Ausrichtung des Krisenmanagements und die Zusammenarbeit mit externen Interessengruppen im Blick behalten, während die Mitarbeiter „den Laden am Laufen“ halten. Neben der fachlichen Eignung ist auch auf Handlungsfähigkeit in Ausnahmesituationen zu achten. Ist der Geschäftsprozess während eines Notfalls sichergestellt, welche Änderungen ergeben sich im Ablauf und sind alle Mitarbeiter entsprechend geschult? Diese und andere Fragen stellen sich.

Ein Business Continuity Management (BCM) hilft dabei einen durchdachten Plan B zu haben. Es bereitet Unternehmen auf kritische Situationen vor, definiert die wertschöpfenden Prozesse und deren maximale Ausfall-Toleranz und sieht Maßnahmen vor, wie die Fortführung dieser Prozesse abzusichern ist. Betrachtet werden Fragen wie:

  • Wo ist unser Unternehmen am verletzlichsten?
  • Welcher Prozess darf auf keinen Fall ausfallen?
  • Welche Ressourcen brauchen wir, um den Prozess aufrechtzuerhalten?

Kurzum – Welchen Plan B haben wir?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Identifikation von Risiken

Im ersten Teil unserer Serie zum Risikomanagement im ISMS haben wir uns allgemein über den Stellenwert des Risikomanagements im ISMS nach ISO 27001 unterhalten. In diesem zweiten Teil soll es um die Risikoidentifikation gehen.

Grundlage der Risikoidentifikation sind die Werte bzw. die Informationswerte des Unternehmens. Ihre Inventarisierung ist ein Muss. Nun gilt es, Gefährdungen für diese Werte zu identifizieren. Ausgangspunkt hierfür können bestehende Gefährdungskataloge sein, wie sie z.B. im Anhang der ISO 27005 oder im BSI IT-Grundschutzkompendium dargestellt werden. In solchen Katalogen finden sich verständlicherweise nur allgemeine, für viele Organisationen zutreffende Gefährdungen wieder. Daher ist es notwendig, darüber hinausgehende spezifische Gefährdungen für die eigene Organisation und die eigenen Werte zu identifizieren.

Eine klassische Methode zur Identifikation spezifischer Risiken sind Experteninterviews. Experten sind dabei u.a. die Kollegen, die mit den gefährdeten Werten täglich zu tun haben, insbesondere auch die Werteverantwortlichen (asset owner i.S. der ISO 27011.2013 A.8.1.2). Sie kennen typische Gefahren und können diese benennen. So finden wir auch Risiken, die das zentrale Risikomanagement niemals entdeckt hätte. Zu Beginn, in den ersten Durchläufen des Risikomanagements, eignen sich gut freie Interviews, bei denen man die Experten „einfach mal reden lässt“. Später können diese Interviews strukturierter durchgeführt werden, was die Auswertung erheblich vereinfacht.

Ein Beispiel für eine geeignete Kreativmethode zur Risikoidentifikation ist die Kopfstandtechnik, auch Umkehrtechnik oder Flip-Flop-Technik genannt. Dabei geht es darum, einmal zu überlegen, wie man ein Risiko selbst herbeiführen bzw. verwirklichen könnte, z.B. „Was müssen wir tun, um erfolgreich Datenträger aus dem Unternehmen herauszuschmuggeln?“ Die Methode soll zum Entwickeln ungewöhnlicher Ansätze anregen und so Risiken sichtbar machen, auf die man aus der Verteidigersicht nicht oder nur schwer gekommen wäre. Und Spaß macht es auch noch, zumindest im Gedanken einmal der Bösewicht sein zu dürfen.

Die nächste Folge dieser Reihe wird sich mit der Analyse und Bewertung der identifizierten Risiken beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Risikomanagement im ISMS“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

© ANMATHO AG