zurück Blog

Das IT-Sicherheitsgesetz 2014 – was auf Unternehmen jetzt zukommt (Teil 2)

Widerstehen Sie dem Impuls, sich nicht eingehend mit dem IT-Sicherheitsgesetz beschäftigen zu wollen. Nicht, dass ich es nicht verstehen könnte. Noch liegt wenig Konkretes auf dem Tisch, etwa wann ein Sicherheitsvorfall als erheblich eingestuft werden wird oder welche Unternehmen genau welche Sicherheits-Audits durchführen müssen oder nicht. Doch der Beschluss des IT-Sicherheitsgesetzes ist in greifbare Nähe gerückt und es empfiehlt sich, darauf vorbereitet zu sein.

Was Unternehmen jetzt schon tun können
Im Grunde genommen geht es dem IT-Sicherheitsgesetz darum, die Auswirkungen zu begrenzen, die durch technische Probleme entstehen können. Unternehmen sollen dafür ein definiertes Verfahren etablieren. Aus der IT-Dienstleister-Sicht geht es mir dabei im Wesentlichen um drei Kernbereiche: die Risikoanalyse, vorbeugende Maßnahmen und Strategien sowie das Krisenmanagement. Betrachten Sie Ihr Unternehmen einmal aus der Vogelperspektive und hinterfragen Sie Ihre Prozesse kritisch:

Risikoanalyse
Am Wichtigsten ist es, dass sich Unternehmen bewusst sind, welche Bereiche als kritisch angesehen werden können – sowohl für die eigene unternehmensinterne Struktur als auch für die Aufrechterhaltung der Aufgaben und Leistungen für die Gesellschaft. Wie risikobehaftet sind diese Bereiche? Was genau passiert bei Ausfällen? Gibt es Bereiche, die auch mit verminderter Kapazität zuverlässig arbeiten können? Diese und ähnliche Fragen helfen dabei, sich einen Überblick über die Brisanz der Situation zu verschaffen.

Vorbeugende Maßnahmen und Strategien
Darauf aufbauend wird der Fragenkatalog nun konkreter: Wie lassen sich Risiken vermeiden oder wenigstens mindern? Welche IT-Sicherheitsmaßnahmen sollten implementiert werden? Wie lässt sich eine regelmäßige Überprüfung der Maßnahmen sicherstellen?

Krisenmanagement
Wie schließlich in der Praxis mit der Krise umgegangen wird, entscheidet über ihre Auswirkungen. Könnten Sie auf Anhieb beantworten, ob es in Ihrem Unternehmen einen Krisenplan oder internen Krisenstab gibt? An wen müsste was in welchem Fall eskaliert werden?

Der ersten Risikoanalyse muss eine Identifikation der möglichen Schwachstellen und gefährdeten Schnittstellen folgen. Ein automatisiertes Schwachstellen-Scanning und Management liefert eine komplette Übersicht über die Gefährdungspotenziale im Unternehmen und in der Software.

So wichtig wie Schlösser in den Türen
Wahrscheinlich können Sie es schon nicht mehr hören, wenn Ihnen von allen Seiten die Wichtigkeit der IT-Sicherheit beschworen wird. Doch in der Praxis stelle ich immer wieder fest, dass sich viele Firmen der Bedeutung der IT und der Abhängigkeit des Unternehmens sowie der Gesellschaft von der IT nicht bewusst sind. Während die Büros sorgfältig mit einem ausgeklügelten Sicherheitssystem abgeschlossen werden, stehen die Türen in der IT oft sperrangelweit offen. Ob sich die Bundesregierung mit einem IT-Sicherheitsgesetz nun einmischen muss oder nicht – darüber lässt sich trefflich streiten. Ich empfehle Ihnen, die aktuelle Diskussion zu nutzen, um für den Fall der Fälle gewappnet zu sein.

Zur Information: Das Bundesministerium des Innern veröffentlichte dazu einen Leitfaden für Unternehmen und Behörden mit dem Titel „Schutz kritischer Infrastrukturen – Risiko- und Krisenmanagement“, der als gute Informationsgrundlage dient. Alle Auszüge aus dem Koalitionsvertrag zum Thema IT-Sicherheit finden Sie auf unserer Themenseite Ganzheitliche IT-Sicherheit.

 

[Zusatz vom 16. Juni 2014]

Im Herbst 2013 veröffentlichte die Zeitschrift Business&IT einen Fachartikel von uns zum IT-Sicherheitsgesetz. Mit dem neuen Online-Portal der Zeitschrift, bizzwire.de, ist der Artikel auch online zu finden. Den vollständigen Artikel als PDF können Sie in unserem Pressespiegel einsehen und hier herunterladen. Ein Leser berichtete uns von diesem „Online-Fund“. Vielen Dank für den Hinweis!

 

1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan

Wann ist der richtige Zeitpunkt für einen Schwachstellenscan? Welche Teams sollten Sie einbeziehen? Und inwiefern könnte der laufende IT-Betrieb davon beeinträchtigt werden? Schwachstellenscans zählen zu den wesentlichen Maßnahmen einer Security-Strategie. Meine persönliche Checkliste zeigt Ihnen, […]

mehr
Gastbeitrag: Goodbye, Windows XP! – Ein persönliches Nachwort auf das erfolgreichste Betriebssystem aller Zeiten mehr
Enterprise Collaboration weitergedacht: das neue Skype for Business mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr

AKTUELLE ARTIKEL

IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
IT-ServiceDesk Agent m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr