zurück Blog

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 2)

Widerstehen Sie dem Impuls, sich nicht eingehend mit dem IT-Sicherheitsgesetz beschäftigen zu wollen. Nicht, dass ich es nicht verstehen könnte. Noch liegt wenig Konkretes auf dem Tisch, etwa wann ein Sicherheitsvorfall als erheblich eingestuft werden wird oder welche Unternehmen genau welche Sicherheits-Audits durchführen müssen oder nicht. Doch der Beschluss des IT-Sicherheitsgesetzes ist in greifbare Nähe gerückt und es empfiehlt sich, darauf vorbereitet zu sein.

Was Unternehmen jetzt schon tun können
Im Grunde genommen geht es dem IT-Sicherheitsgesetz darum, die Auswirkungen zu begrenzen, die durch technische Probleme entstehen können. Unternehmen sollen dafür ein definiertes Verfahren etablieren. Aus der IT-Dienstleister-Sicht geht es mir dabei im Wesentlichen um drei Kernbereiche: die Risikoanalyse, vorbeugende Maßnahmen und Strategien sowie das Krisenmanagement. Betrachten Sie Ihr Unternehmen einmal aus der Vogelperspektive und hinterfragen Sie Ihre Prozesse kritisch:

Risikoanalyse
Am Wichtigsten ist es, dass sich Unternehmen bewusst sind, welche Bereiche als kritisch angesehen werden können – sowohl für die eigene unternehmensinterne Struktur als auch für die Aufrechterhaltung der Aufgaben und Leistungen für die Gesellschaft. Wie risikobehaftet sind diese Bereiche? Was genau passiert bei Ausfällen? Gibt es Bereiche, die auch mit verminderter Kapazität zuverlässig arbeiten können? Diese und ähnliche Fragen helfen dabei, sich einen Überblick über die Brisanz der Situation zu verschaffen.

Vorbeugende Maßnahmen und Strategien
Darauf aufbauend wird der Fragenkatalog nun konkreter: Wie lassen sich Risiken vermeiden oder wenigstens mindern? Welche IT-Sicherheitsmaßnahmen sollten implementiert werden? Wie lässt sich eine regelmäßige Überprüfung der Maßnahmen sicherstellen?

Krisenmanagement
Wie schließlich in der Praxis mit der Krise umgegangen wird, entscheidet über ihre Auswirkungen. Könnten Sie auf Anhieb beantworten, ob es in Ihrem Unternehmen einen Krisenplan oder internen Krisenstab gibt? An wen müsste was in welchem Fall eskaliert werden?

Der ersten Risikoanalyse muss eine Identifikation der möglichen Schwachstellen und gefährdeten Schnittstellen folgen. Ein automatisiertes Schwachstellen-Scanning und Management liefert eine komplette Übersicht über die Gefährdungspotenziale im Unternehmen und in der Software.

So wichtig wie Schlösser in den Türen
Wahrscheinlich können Sie es schon nicht mehr hören, wenn Ihnen von allen Seiten die Wichtigkeit der IT-Sicherheit beschworen wird. Doch in der Praxis stelle ich immer wieder fest, dass sich viele Firmen der Bedeutung der IT und der Abhängigkeit des Unternehmens sowie der Gesellschaft von der IT nicht bewusst sind. Während die Büros sorgfältig mit einem ausgeklügelten Sicherheitssystem abgeschlossen werden, stehen die Türen in der IT oft sperrangelweit offen. Ob sich die Bundesregierung mit einem IT-Sicherheitsgesetz nun einmischen muss oder nicht – darüber lässt sich trefflich streiten. Ich empfehle Ihnen, die aktuelle Diskussion zu nutzen, um für den Fall der Fälle gewappnet zu sein.

Zur Information: Das Bundesministerium des Innern veröffentlichte dazu einen Leitfaden für Unternehmen und Behörden mit dem Titel „Schutz kritischer Infrastrukturen – Risiko- und Krisenmanagement“, der als gute Informationsgrundlage dient. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

 

[Zusatz vom 16. Juni 2014]

Im Herbst 2013 veröffentlichte die Zeitschrift Business&IT einen Fachartikel von uns zum IT-Sicherheitsgesetz. Mit dem neuen Online-Portal der Zeitschrift, bizzwire.de, ist der Artikel auch online zu finden. Den vollständigen Artikel als PDF können Sie in unserem Pressespiegel einsehen und hier herunterladen. Ein Leser berichtete uns von diesem „Online-Fund“. Vielen Dank für den Hinweis!

 

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

On Premise war gestern – das neue Arbeiten in der Cloud mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr
In den Unternehmen ist Blackberry wieder eine Macht mehr

AKTUELLE ARTIKEL

Berufe zum Anfassen!

MOD auf der zweiten Einbecker Ausbildungsmesse am Freitag, den 28. September 2012 in der BBS Einbeck Sporthalle, Stand 6   Die MOD Gruppe informiert in der Zeit von 10.00 Uhr bis 18.00 Uhr zu den Ausbildungsberufen […]

mehr
Trend & Thema – BYOD oder COPE? mehr
Mobile Solutions – Alles schon mobil? mehr
mod-Floorwalking Hilfe auf weitem Flur mehr
Microsoft Windows Server 2012 mehr