, ,

Sicheres Arbeiten im Home-Office – Es gibt viel zu tun!

Unverbesserliche Optimisten sehen in allen Situationen immer auch die positiven Aspekte. So ermöglichen die Erfahrungen mit den aus der Not heraus getroffenen Maßnahmen zu Beginn der Corona-Pandemie – die Pflicht zum Home-Office und das Homeschooling – einen schärferen Blick darauf, wie Prozesse und Abläufe in Unternehmen und der Verwaltung sich verändern müssen, um vom technologischen Fortschritt in einem größeren Umfang als bisher zu profitieren. Das Arbeiten im Home-Office erweist sich dabei als ein „Türöffner“.

Hierzu gehört mit Sicherheit auch eine geänderte Art der Kommunikation. Viele Menschen haben Erfahrungen mit Videokonferenzen gesammelt, die notwendige Ausstattung (Headset, Webcam) ist mittlerweile weit verbreitet und wird wie selbstverständlich genutzt. Und falls es noch nicht geschehen sein sollte, wäre es spätestens jetzt an der Zeit, von Unternehmensseite das weitere Vorgehen festzulegen, z.B. durch das Bestimmen der künftig zu nutzenden Plattformen und Anbieter. Aus organisatorischer Sicht gehören das Abschneiden alter Zöpfe und die Berücksichtigung der technologischen Möglichkeiten bei der Einführung neuer Prozesse dazu, genauso wie die Einbindung der Mitarbeiter. Nur so ist es möglich, neben der Verbesserung der Informationssicherheit auch Nutzen aus den geänderten Arbeitsweisen zu ziehen.

So ist z.B. in den Produkten vieler Festnetzanbieter auch die Möglichkeit zur softwarebasierten IP-Telefonie enthalten. Dadurch ist es möglich, Anrufe mit der dienstlichen Festnetznummer nicht nur aus dem Büro heraus zu tätigen, sondern auch vom Rechner im Homeoffice aus.  Benötigt wird lediglich das Headset, die Software für IP-Telefonie auf dem eigenen Rechner sowie ein Internetzugang – und die Vermischung von dienstlichen und privaten Telefonaten auf dem privaten Telefonanschluss ist Vergangenheit. Nicht zuletzt aus der Sicht von Datenschutz und Informationssicherheit eine deutliche Verbesserung, auch die Privatsphäre der Mitarbeiter wird so geschützt.

Zu den Veränderungen gehört auch das Erlernen von neuen Verhaltensweisen und Regeln. Nicht alles, was technisch möglich ist, ist auch immer erlaubt. So bieten Videokonferenzlösungen die Möglichkeit, Gespräche aufzuzeichnen – was allerdings rechtlich durchaus bedenklich ist. Ob und unter welchen Umständen derartige Aufzeichnungen zulässig sind, muss nicht nur vorher zuverlässig geklärt, sondern auch den Mitarbeitern vermittelt werden. Denn nur mit einer sicheren und rechtlich einwandfreien Nutzung werden sich die neuen Arbeitsweisen dauerhaft etablieren.

Für einen erfolgreichen Einstieg in die Gestaltung des Arbeitens im Home-Office haben wir unser eintägiges, praxisorientiertes Seminar entwickelt, in dem die Fragestellungen aus diesem und den vorherigen Artikeln  vertieft werden und das dabei unterstützen soll, das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform zu organisieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Podcast – Security on Air – eine neue Folge

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der dritte Teil unserer Podcast-Serie „Security im Home-Office“

In den letzten beiden Folgen unserer Home-Office-Serie ging es um praktische Themen wie das Dokumentenmanagement, die digitale Signatur, den Unterschied zwischen Home-Office, mobilem Arbeiten und Telearbeit sowie Vorgaben aus Sicht der Informationssicherheit und der Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu diesem Thema.

Im dritten Teil schauen unsere Berater Andreas Kondek und Andreas Lange nun auf den Mitarbeiter selbst, welche Auswirkungen das Home-Office auf das Miteinander im Büro hat, welche Gefahren durch die Isolierung im Home-Office aus Sicht der Informationssicherheit entstehen und wie Angreifer das Arbeiten im Home-Office für Ihre Zwecke nutzen. Auch auf die Bedeutung von Awareness Maßnahmen in dieser besonderen Situation werfen die beiden dabei einen Blick.

Alle drei Folgen der Serie „Security im Home Office“ finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Jetzt gibt’s auf die Ohren – der ANMATHO Podcast “Security on Air”

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

/von
,

Security Awareness – Der Schlüssel Zum Erfolg

Wer in den letzten Monaten auf den üblichen IT-News-Portalen die Berichterstattung verfolgt hat, konnte sich kaum des Themas „Ransomware“ entziehen. Und natürlich fragt man sich als Verantwortlicher: Könnte das auch mich treffen? Was kann ich dagegen tun?

Oft werden auf Checklisten – gute – technische Hinweise gegeben. Der wahrscheinlich wichtigste Ratschlag stammt jedoch nicht aus dem technischen Bereich: die systematische und kontinuierliche Betrachtung von Security Awareness. Gemeint ist hiermit die Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für die Informationssicherheit. Alle Mitarbeiterinnen und Mitarbeiter sollten sich über den hohen Stellenwert von Informationssicherheit bewusst sein, alle sollten wissen, dass auch von ihnen selbst ein essenzieller Beitrag erwartet wird – und seien es „nur“ solche alltäglichen Dinge wie eine telefonische Rücksprache bei einer verdächtigen E-Mail oder das Ansprechen von unbekannten Personen auf dem Flur.

Sobald ein solches Sicherheitsbewusstsein bei den Mitarbeiterinnen und Mitarbeitern entwickelt wurde, fällt es auch den Nicht-IT-Profis deutlich leichter, bei neuen Bedrohungen und in neuen Situationen spontan richtig zu handeln.

Flankiert wird Security Awareness hier durch die Komponente „Wissen“, denn natürlich benötigen die Mitarbeiterinnen und Mitarbeiter auch fachliche Informationen zur Informationssicherheit. Nicht jeder Mensch ist IT-affin, nicht jeder Mensch hat gleich viel Freude am Umgang mit Computer oder Smartphone – und auch IT-Profis lernen jeden Tag dazu …

Umso wichtiger ist, klare und leicht nachzuvollziehende Informationen und Arbeitsanweisungen bereitzustellen, wie in welcher Situation zu handeln ist.

Und so sind die Mitarbeiterinnen und Mitarbeiter dann auch für neue Situationen gerüstet, z.B. für die Arbeit im Home Office mit dem Wissen, was im Home Office anders ist, worauf geachtet werden muss und was vielleicht im Home Office verboten ist – und dem Bewusstsein für Informationssicherheit, dass es trotz der Arbeit von zu Hause aus und gerade ohne die ständige Präsenz von IT-Abteilung und Vorgesetztem auf das eigene Handeln ankommt.

Neben den in diesem Artikel angerissenen Fragestellungen geben wir in unserem Seminar zur Security Awareness auch einen kleinen Einblick in die rechtliche Motivation und zeigen anhand von Beispielen, wie Awareness-Maßnahmen maßgeschneidert auf ihre Mitarbeiterinnern und Mitarbeiter und auch auf ihre Unternehmenskultur gestaltet werden können.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken.

Die gute Performance im Bereich Informationssicherheit und Datenschutz wird immer mehr zu einem Wettbewerbsvorteil. Und ganz unabhängig davon, haben Unternehmen ja auch ein Eigeninteresse daran, zu schützen was Ihnen wichtig ist und die Steuerbarkeit ihrer Geschäftsprozesse zu sichern.

Im Bereich der Informationssicherheit ist die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 ein international anerkannter Weg mit bewährten Steuerungsinstrumenten, wie z.B. ein an das Unternehmen angepasstes Kennzahlensystem, Audits und Managementbewertungen, die Informationssicherheit nachweislich auf ein hohes Niveau zu heben. Aber wie sieht es dazu im Vergleich beim Datenschutz aus?

In der Regel ist ein betrieblicher Datenschutzbeauftragter bestellt, der die Geschäftsführung – meist einmal im Jahr – über den Stand des Datenschutzniveaus im Unternehmen informiert. Insbesondere in Anbetracht der persönlichen Haftungsrisiken der Unternehmensleitung besteht hier häufig der Wunsch nach mehr Steuerbarkeit. Warum also nicht die bewährten Managementwerkzeuge aus der Informationssicherheit auf den Datenschutz übertragen?

Die ISO 27701 bietet eine Möglichkeit das Datenschutzmanagement in ein bestehendes Informationssicherheitsmanagement nach ISO 27001 zu integrieren. Der große Vorteil dabei ist, dass alle Bestandteile eines Managementsystems mit der ISO 27001 bereits vorhanden sind, und die Ausweitung auf den Datenschutz somit mit verhältnismäßig geringem Aufwand verbunden ist.

Derzeit befindet sich die ISO 27701 bei verschiedenen Zertifizierern in der Akkreditierung und es ist geplant in diesem Jahr eine Aufnahme in das Zertifikat nach ISO 27001 zu ermöglichen. Damit wäre auch für den Datenschutz ein unabhängiger sowie anerkannter Nachweis über die Umsetzung eines gesetzeskonformen Datenschutzes möglich.

Ein weiterer Benefit: Die Zusammenarbeit zwischen dem Informationssicherheitsbeauftragte (ISB) und dem Datenschutzbeauftragten (DSB) wird weiter gestärkt, Synergien werden entwickelt und es entstehen Lösungen für beide Themengebiete aus einem Guss.

Es lohnt sich, sich näher mit diesem Thema zu befassen, unabhängig davon, ob im Bereich der Informationssicherheit bereits eine Zertifizierung nach ISO 27001 besteht oder nicht.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Was ist Business Continuity Management (BCM)?

Wie alle Managementsysteme kann auch das BCM an eine ISO Norm gekoppelt werden, dabei gibt die Norm dann die Anleitung wie die Abläufe und Prozesse optimiert werden und welche Schritte und Dokumentationen dafür notwendig sind.

Um die grundlegende Geschäftstätigkeit und damit die Existenz des Unternehmens auch im Angesicht von Notfällen und Krisen aufrecht zu erhalten, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

Welche Gründe haben Unternehmen ein BCM-System einzuführen?

Die Aufrechterhaltung des Geschäftsbetriebes ggf. auch vorübergehend nur in einer rudimentären Form, sowie die anschließende Wiederherstellung hat für Unternehmen oberste Priorität.

Darüber hinaus gibt es auch nationale, rechtliche Anforderungen an ein betriebliches Krisenmanagement. Dabei können unterschiedliche gesetzliche Anforderungen gelten. Die Gesetze fordern eine aktive Auseinandersetzung mit möglichen Szenarien deren Eintritt den Geschäftsbetrieb so weit, beeinträchtigen das es als Notfall oder Krise definiert und somit nicht innerhalb eines tolerierbaren Zeitraums wiederhergestellt werden kann. Dabei sind unterschiedliche Kriterien, Szenarien und Prozesse zu berücksichtigen. Insbesondere an KRITIS-Unternehmen stellt der Gesetzgeber aufgrund ihrer Bedeutung für das Gemeinwesen besondere Anforderungen.

Oft ergeben sich aber auch von anderer Seite Anforderungen an die Implementierung eines BCM z.B. durch Versicherungen, Kunden oder Geschäftspartner.

Welche Bereiche umfasst ein BCM?

Analyse:

Welche Prozesse, Anlagen oder Dienstleistung ist kritisch? Dabei kann unabhängig von möglichen Szenarien analysiert werden welche Wertschöpfungsprozesse für das eigene Unternehmen als kritisch gelten. Im zweiten Schritt wird dann auch abhängig von Szenarien (z.B. Hochwasser, Stromausfall etc.) nochmal eine Bewertung durchgeführt um z.B. Schadenshöhen, Eintrittswahrscheinlichkeiten und maximale Ausfallzeiten anhand des konkreten Szenarios zu definieren.

Bewertung:

Wie ein Notfall zu bewerten ist, welche Auswirkungen dieser auf das Unternehmen hat und wie darauf zu reagieren ist muss jedes Unternehmen für sich bestimmen. Es gibt aber Methoden, die bei der Bewertung helfen können.

Übungen:

Mit unterschiedlichen Arten von Übungen können dann die identifizierten Szenarien geübt und die Wiederherstellungsplanung oder das Krisenmanagement überprüft und verbessert werden.

Wie wird ein BCM aufgebaut?

Die Norm ISO 22301 gibt hier eine Anleitung, aber auch die Empfehlungen z.B. des Amtes für Bevölkerungsschutz, das BSI oder die UP-Kritis Kooperation geben hier eine erste Hilfestellung.

Welche Fragen sollte man sich vor der Einführung stellen?

  • Gibt es einen von der Geschäftsführung unterzeichneten, verbindlichen BCM Leistungsauftrag mit konkreten messbaren BCM Leistungszielen?
  • Ist eine Zertifizierung nach ISO 22301 das Ziel?
  • In welchen Zyklen sollten die Pläne und Vorgehensweisen geübt und überprüft werden
  • Wie setzt man die notwendigen Regeln und Dokumentationen erfolgreich durch?

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

Über das drohende LOG4J-Desaster

Wenn es ein Thema schafft, in der Tagesschau, auf fast allen Nachrichtenseiten und auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) präsent zu sein, muss es sich schon um etwas Besonderes handeln – die Schwachstelle in der weit verbreiteten Javabibliothek „log4j“ hat dieses Kunststück geschafft.

Schwachstellen in Softwareprodukten sind keine Seltenheit. Sie werden entdeckt, meist schließt der Hersteller der Software die Lücke und stellt ein Update zur Verfügung, „business as usual“. Doch im Fall von „log4j“ ist es leider nicht so einfach …

Es beginnt damit, dass Java-Anwendungen meist als Paket bereitgestellt werden – und die problematische Bibliothek vom Hersteller in dem Paket mitgeliefert wird. Ein Update des betreffenden Betriebssystems allein reicht meist nicht, da die Java-Anwendung die mitgelieferte, problematische Version von log4j weiterhin nutzt und nicht etwa die aktualisierte Version des Betriebssystems. Mit anderen Worten: Betriebssystem aktualisieren allein reicht oft nicht aus, auch der Hersteller der Java-Anwendung muss eine Aktualisierung liefern.

… und zwar jeder Hersteller von Anwendungssoftware, die auf Java basiert und die „log4j“ einsetzt. Java ist weit verbreitet, und oftmals ist es für einen Anwender nicht einfach zu erkennen, ob diese Programmiersprache eingesetzt wird. Bei der enormen Masse an weltweit existierenden Anwendungen ist es schwer einzuschätzen, in wie vielen Produkten diese Schwachstelle schlummert. Und dann sind da ja noch die selbst entwickelten Java-Anwendungen, die man im Unternehmen einsetzt, … Viel Arbeit für die IT-Abteilungen.

Wenn es einem Angreifer gelingt, die Protokollinformationen auf seinen eigenen Server verweisen zu lassen, kann er bei der Interpretation des Protokolleintrags schädliche Informationen an die Java-Anwendung zurück liefern, welche dann ungefragt ausgeführt werden – und die Infektion ist geschehen. Ja, wirklich: Ohne Rückfrage, einfach so. Und vermutlich existiert diese Schwachstelle seit ca. 2016.

Was kann man gegen Log4j tun?

  • Sich informieren. Das BSI stellt den aktuellen Erkenntnisstand auf seiner Webseite zur Verfügung. Mittlerweile gibt es auch ständig wachsende Übersichten, ob oder ob nicht populäre Produkte betroffen sind. Hier mal die von Github.
  • Aufmerksam bleiben. Wir halten es für denkbar, dass die Berichterstattung und Paketaktualisierungen auch für Angriffe über Social Engineering und Phishing genutzt werden.
  • Aktualisieren. Und zwar sowohl das Betriebssystem als auch die Java-Anwendungen, die eingesetzt werden – dazu muss der Hersteller der Java-Anwendung allerdings aktiv werden.
  • Künftig die Risiken bei komplexen Softwarekonstellationen gründlicher abwägen. Aber das ist ein anderes Thema …

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

IT-Sicherheitsgesetz 2.0 – Unternehmen im besonderen öffentlichen Interesse

Unter das IT-Sicherheitsgesetz 2.0, das am 21. Mai 2021 verabschiedet wurde, fallen jetzt auch „Unternehmen im besonderen öffentlichen Interesse“ (UBI). Für diese Unternehmen hat das BSI nun die ersten konkreten Anforderungen festgelegt.

Doch welche Unternehmen fallen unter die Bezeichnung „UBI“? Hier kann man in drei Kategorien unterscheiden.

Kategorie 1:

Die Juristische Bezeichnung lautet: „Unternehmen, die Güter nach § 60 Absatz 1 Nummer 1 und 3 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung herstellen oder entwickeln.“ Darunter fallen Unternehmen, die im Bereich Waffen, Munition und Rüstungsmaterial oder im Bereich von Produkten mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen tätig sind. Ebenfalls betroffen sind Unternehmen, die für die Komponenten o.g. Produkte und deren IT-Sicherheitsfunktionen zuständig sind.

Kategorie 2:

Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind. Die Kennzahlen, nach denen dies bemessen wird, müssen noch per Rechtsverordnung vom BMI (Bundesministerium des Inneren, für Bau und Heimat) festgelegt werden. (Beispielweise könnten, das die Unternehmen die im DAX aufgelistet sind sein)

Kategorie 3:

Unternehmen, die in einem Bereich tätig sind, in dem gefährliche Stoffe in solchen Mengen vorhanden sind, das diese vorgegebene Mengenschwellen erreichen oder überschreiten. Aufgeführt werden diese Schwellwerte in Spalte 5 der Stoffliste in Anhang I der Störfall-Verordnung.

Juristisch heißt es, betroffen sind „Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung” oder Betreiber, die, “nach § 1 Absatz 2 der Störfall-Verordnung diesen gleichgestellt sind.“

Zur Übersicht listen wir Ihnen die Anforderungen des BSI einmal tabellarisch auf:

Tabelle der Anforderungen aus dem IT-SiG 2.0

Tabelle der Anforderungen aus dem IT-SiG 2.0

Es ergibt sich also zusammengefasst vorerst folgender Handlungsbedarf:

Kategorie 1: Hersteller/Entwickler von Gütern im Sinne von § 60 AWV müssen zum 1. Mai 2023 eine Selbsterklärung und eine Registrierung beim BSI einreichen.

Kategorie 2: Für die Unternehmen von erheblicher volkswirtschaftlicher Bedeutung wird das BMI eine Verordnung erstellen, durch die konkretisiert wird welche Unternehmen in diese Gruppe fallen. Bis zum Inkrafttreten der Verordnung besteht vorerst kein Handlungsbedarf.

Kategorie 3: Unternehmen müssen ab dem 1. November 2021 Vorfälle melden.

Weitere Informationen zu diesem Thema, insbesondere zur Störfallmeldung in Kategorie 3 finden Sie auf der Seite des BSI.

Auch die zum IT-Sicherheitsgesetz ergänzend gültige BSI Kritis Verordnung wurde überarbeitet und am 18.8.2021 in der neuen Version verabschiedet, diese Rechtsverordnung konkretisiert das IT-SiG 2.0 und tritt mit den geänderten Anforderungen und Schwellwerten am 1.Januar 2022 in Kraft. Offen sind auch hier bisher noch die konkreteren Definitionen der neuen betroffenen Unternehmen (UBI). Die Schwellenwerte und Identifikationsmechanismen sollen voraussichtlich 2022 in einer separaten UBI-Verordnung (UBI-VO) erfolgen.

/von

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil2)

Rollen und Aufbauorganisation

Im ersten Teil dieser Artikelserie über die Aufgaben von Geschäftsführern und Vorständen in einem ISMS nach ISO 27001 haben wir uns mit dem Zusammensetzen eines Projektteams für die Einführung eines Informationssicherheits-Managementssystems beschäftigt. In diesem Beitrag soll es um die Schaffung und Besetzung notwendiger Rollen, um die Aufbauorganisation für den laufenden Betrieb eines ISMS gehen.

Nichts läuft von alleine. So braucht auch das Thema Informationssicherheit Menschen, die es vorantreiben. Es braucht also mindestens einen Mitarbeiter, der zumindest in Teilzeit diese Aufgabe wahrnimmt. Diese Rolle heißt oft Informationssicherheitsbeauftragter.

Informationssicherheitsbeauftragter / CISO

In größeren Organisationen ist es mit einem “Einzelkämpfer” nicht mehr getan. Es braucht eine ganze Informationssicherheitsorganisation. Der Leiter dieser Unternehmenseinheit heißt dann häufig Leiter Informationssicherheit oder in eher international orientierten Unternehmen Chief Information Security Officer (CISO). Angesiedelt ist diese Stelle meist direkt unterhalb der obersten Leitung, also direkt unter Vorstand oder Geschäftsführung als Stabsstelle oder Stabsbereich. So ist eine enge Anbindung an die Führung sichergestellt. Idealerweise berichten Informationssicherheit (IS) und Informationsverarbeitung (IT) an unterschiedliche Mitglieder der obersten Leitungsebene. Dies bietet die Gewähr dafür, dass etwaige Interessenkonflikte gut sichtbar werden und sachgerecht behandelt werden können.

Weitere Kernrollen der Informationssicherheit

Besteht die Informationssicherheitsorganisation aus mehreren Mitgliedern, setzt oft schnell eine Spezialisierung ein. So gibt es beispielsweise

  • spezialisierte Informationssicherheits-Management-Systembeauftragte
  • Informationssicherheits-Risikomanager
  • Auditprogrammverantwortliche
  • interne Auditoren und
  • Spezialisten für die informationssicherheitstechnischen Aspekte der Informationssicherheit (IT-Security).

Bei allen Rollen sollte man überlegen, ob diese nicht an anderen Stellen im Unternehmen besser angesiedelt sind. So könnten die IT-Security -Spezialisten in der IT angesiedelt werden, der Informationssicherheits-Risikomanager im Unternehmensrisikomanagement und die internen Auditoren in der Revision. Für beide Ansätze, Bündelung der Informationssicherheit in einem Bereich versus Eingliederung in bestehende Strukturen, gibt es gute Argumente. Eine pauschale, für alle zutreffende Antwort kann es wie so häufig nicht geben. Jedes Unternehmen muss gut abwägen, seine Entscheidung treffen, die Wirkung beobachten und ggfs. getroffene Entscheidungen wieder korrigieren oder den sich verändernden Rahmenbedingungen anpassen.

Informationssicherheitskoordinatoren

Schaut man, was Unternehmen, in denen das Thema Informationssicherheit erfolgreich betrieben wird, von denen unterscheidet, wo Informationssicherheit nur formal, künstlich und die eigentlichen Betriebsabläufe eher störend umgesetzt wird, stößt man immer wieder auf eine Rolle: Informationssicherheitskoordinatoren. Sie kommen aus den Fachbereichen, sind also beispielsweise Buchhalter, Personalmanager, Marketing-Spezialisten, Produktionsmitarbeiter. In einer Nebentätigkeit von vielleicht einem Tag pro Monat setzen sie sich mit Fragen der Informationssicherheit in ihrem Bereich auseinander; sie nehmen an Meetings mit den anderen Koordinatoren und den Kernrollen der Informationssicherheit teil. Es ist ihre Aufgabe zwischen den Welten zu übersetzen und zu vermitteln. Sie vertreten die Belange der Informationssicherheit in ihren Teilorganisationen und deren fachliche Belange gegenüber der Informationssicherheit.

Wichtig ist es, hier motivierte Mitarbeiter zu haben, die wirklich Lust haben, sich neben ihrer eigentlichen Tätigkeit mit einem weiteren Thema zu beschäftigen. Besser sollte in einem Bereich die Rolle (vorübergehend) unbesetzt bleiben, als dass man jemanden überredet oder sogar bestimmt. Damit wäre weder dem Thema gedient, noch ist das angenehm für die “Abkommandierten”. Meist findet man genügend freiwillige Mitarbeiter, die Spaß daran haben, sich mit dem wichtigen Thema Informationssicherheit auseinander zu setzen und so auch den eigenen persönlichen Horizont zu erweitern. Manchmal braucht es nur ein wenig Zeit, weil potentielle Interessenten erst einmal sehen wollen, was die Übernahme einer solchen Aufgabe tatsächlich bedeutet. Das notwendige fachliche Wissen lässt sich meist leicht über die Zeit herstellen. Hire for attitude and train for skills!

Wie geht es weiter?

Im nächsten Artikel in der Reihe Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer wird es um Kommunikation und Berichtswege im ISMS gehen.

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Unterstützung für das Modul “IT-Sicherheit” im Förderprogramm go-digital

Wir, die ANMATHO AG, sind für das Modul „IT-Sicherheit“ als Beratungsunternehmen im Förderprogramm go-digital autorisiert. An dieser Stelle machen wir jetzt also einmal Werbung in eigener Sache, um Ihnen eine Möglichkeit aufzuzeigen, wie Sie – sofern Ihr Unternehmen die Kriterien erfüllt – eine finanzielle Förderung für den Ausbau Ihrer Informationssicherheit erhalten können.

Hier vorab ein paar Infos zu go-digital:

Go-digital ist ein Förderprogramm des Bundesministeriums für Wirtschaft und Energie (BMWi) mit dem Ziel, kleine und mittständische Unternehmen (KMU) sowie Handwerksbetriebe finanziell zu unterstützen, ihre Geschäftsprozesse mithilfe digitaler Lösungen auf sicherem Wege zeitgemäß zu optimieren. Den Unternehmen stehen dabei vom BMWi autorisierte Beratungsunternehmen zur Seite.

Unterstützung gibt es für die folgenden drei Module:

• Digitalisierte Geschäftsprozesse
• Digitale Markterschließung
• IT-Sicherheit

Im Modul „IT-Sicherheit“ geht es um:

• eine Risiko- und Sicherheitsanalyse (Bewertung von Bedrohungen und möglichen Schwachstellen) der bestehenden oder neu geplanten betrieblichen IKT-Infrastruktur,
• Maßnahmen zur Initiierung und Optimierung von betrieblichen IT-Sicherheitsmanagementsystemen,
• das Ziel der Vermeidung von wirtschaftlichen Schäden sowie Minimierung von Risiken durch Cyberkriminalität sowie den selbständigen Betrieb von grundlegenden erforderlichen IT-Sicherheitsmaßnahmen.

Welche Unternehmen sind förderberechtig?

Rechtlich selbständige Unternehmen der gewerblichen Wirtschaft oder des Handwerks können durch die Förderung von Beratungsleistungen begünstigt werden, wenn folgende Voraussetzungen erfüllt sind:
• Das Unternehmen hat bei Vertragsabschluss unter 100 Beschäftigte (einschließlich aller Partnerunternehmen und verbundenen Unternehmen)
• der Vorjahresumsatz oder die Vorjahresbilanzsumme beträgt höchstens 20 Millionen Euro
• die Betriebsstätte oder eine Niederlassung ist in Deutschland ansässig
• es liegt eine Förderfähigkeit nach der De-minimis-Verordnung vor
Sofern ein KMU „Partnerunternehmen“ oder „verbundenes Unternehmen“ ist, muss das Beratungsunternehmen die Förderfähigkeit nach der De-minimis-Verordnung der Europäischen Union hinsichtlich Mitarbeiterzahl und Jahresumsatz/Bilanzsumme bestätigen.

Wie hoch ist die Förderung durch go-digital?

Die Beratungsleistungen werden mit einer Förderquote von 50 % auf einen maximalen Beratertagessatz von 1.100 Euro gefördert, wobei der Förderumfang auf max. 30 Tage in einem Zeitraum von sechs Monaten begrenzt ist. Als Begünstigter zahlen Sie demnach nur einen Eigenanteil an das Beratungsunternehmen.
Kurz gerechnet bedeutet dies einen maximalen Förderbetrag in Höhe von 16.500 €.

Wie ist das Vorgehen, wenn Sie den Förderweg im Bereich „IT-Sicherheit“ mit uns gehen möchten?

Das Beste für Sie vorweg: Wir tragen die Gesamtverantwortung für das jeweilige Projekt, stellen den Projektantrag und übernehmen die verwaltungsseitige Abwicklung des Projekts. Wir werden damit zum „Zuwendungsempfänger“ und Sie zum „Begünstigten“.

Möchten Sie mehr zu diesem Thema erfahren, oder unverbindlich mit uns sprechen, rufen sie uns gerne unter der Rufnummer 040 22947 19 – 0 an oder schicken uns eine Mail an info@anmatho.de

Weitere Informationen finden Sie auch hier…

Quelle: www.bmwi-go-digital.de

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen