IT-Sicherheit

Die IT-Sicherheit wird trotz der ständig steigenden Bedrohung durch Cyber-Kriminalität zu wenig berücksichtigt. Die Schäden drohen nicht nur dem Unternehmen und den Kunden, die Geschäftsleitung kann über die Organhaftung für unzureichende Maßnahmen schadenersatzpflichtig sein. Die Einhaltung der Anforderungen dient daher vielen Zielen.

Anforderungen IT-Sicherheit

Die IT-Sicherheit umfasst nicht nur technische, sondern auch organisatorische Maßnahmen (TOM), wie ein strukturiertes und dokumentiertes Berechtigungs- und Sicherheitsmanagement. Die IT-Sicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen. Die Maßnahmen beinhalten Zugangskontrollen, Zugangsbeschränkungen, technische Sicherheitseinrichtungen wie Virensoftware, Unterbrechungsfrei Stromversorgung (USV) oder Back-up-Rechenzentren sowie Schulungen der Mitarbeiter zur Sensibilisierung. Von manchem Verpflichteten wird übersehen, dass es aus datenschutzrechtlichen Gründen zusätzlich unbedingt erforderlich ist, die IT zu dokumentieren und ein IT-Sicherheits- und Notfallkonzept zu erstellen. Diese müssen zwingend einen Katalog von technischen und organisatorischen Maßnahmen umfassen, Art. 32 DSGVO i.V.m. § 64 BDSG (neu).

Grundschutzkatalog des BSI

Die Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik und dessen IT-Grundschutzkatalog sind ebenfalls vielen nicht bekannt, obwohl sich die Datenschutzbeauftragten der Länder auf diesen beziehen. Auch wenn die Anforderungen für kritische Strukturen entwickelt wurden, können sie Maßstab für alle Systeme sein und dienen auch als Grundlage für Zertifizierungen. Der IT-Grundschutzkatalog umfasst dabei neben technischen Anforderungen insbesondere Anforderungen an die Organisation, die Mitarbeiter und die Schulung der Mitarbeiter. Es reicht daher nicht aus, eine sichere IT zu haben. Zusätzlich sind vielfältige technische und organisatorische Maßnahmen zu ergreifen und zu dokumentieren. Fehlt die Dokumentation oder ist diese nicht ausreichend, drohen unabhängig von den ergriffenen Maßnahmen empfindliche Bußgelder. Prüfen Sie selbst, ob Sie über folgende Maßnahmen und eine entsprechende Dokumentation verfügen:

  • Zugangskontrolle für Verarbeitungsanlagen (Rechenzentrum)
  • Datenträgerkontrolle zur Verhinderung unbefugten Lesens
  • Speicherkontrolle zur Verhinderung unbefugter Eingabe
  • Benutzerkontrolle
  • Zugriffskontrolle gemäß Zugangsberechtigungen
  • Übertragungskontrolle und Dokumentation
  • Eingabekontrolle und Dokumentation
  • Transportkontrolle bei Übermittlung von Daten
  • Wiederherstellbarkeit der Systeme (IT-Notfallkonzept)
  • Zuverlässigkeit der Systeme
  • Datenintegrität zur Vermeidung von Datenschäden
  • Auftragskontrolle zur weisungsgebundenen Verarbeitung
  • Verfügbarkeitskontrolle zum Schutz vor Zerstörung und Verlust
  • Folgen Sie unserem Blog zu den wichtigsten Entwicklungen

Zertifizierung der IT- und Informationsicherheit

Die Unternehmen haben die Möglichkeit, ihre IT- und Informationssicherheit bzw. die ergriffenen Maßnahmen einer Überprüfung zu unterziehen und sich den Schutzstandard zertifizieren zu lassen. Eine  Möglichkeit der Zertifizierung besteht nach ISO/IEC 27001 und den begleitenden Standards. Auf Basis der Anforderungen nach ISO 27001 werden die Vorgaben nach BSI-Standard 100-4, 200-1 und 200-2 sowie Grundschutzkompendium geprüft. Ein weiterer Standard wird durch das Institut der Wirtschaftsprüfer in Deutschland e.V. angeboten. Der IDW EPS 951 dient der Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen.

Standards können insbesondere Unternehmen unterstützen, die für andere Unternehmen im Rahmen des Outsourcings Systeme betreiben. Die Zertifizierung der IT-Sicherheit bescheinigt nicht nur die Einhaltung einschlägiger Standards, sondern dient unter Umständen auch der Verringerung von Prüfungen durch Kunden. Schließich ist eine Zertifizierung ein gewichtiges Argument für die Qualität der eigenen Leistungen. Durch die regelmäßige Rezertifizierung wird die dauerhafte Aufrechterhaltung der Leistungsqualität nachgewiesen.