Informationssicherheit und Datenschutz – einfach & effektiv - Inge Hanschke - E-Book

Informationssicherheit und Datenschutz – einfach & effektiv E-Book

Inge Hanschke

0,0

Beschreibung

- Informationssicherheit und Datenschutz handhabbar beherrschen
- Anforderungen im Kontext von Informationssicherheit und Datenschutz verstehen
- Systematischer Schritt-für-Schritt-Leitfaden für den Aufbau Ihres Instrumentariums
- Best-Practices für Schutzbedarfsfeststellung, Risikomanagement und Notfallmanagement
- Neu in der 2. Auflage: Neuer Stand aller Normen und Verbesserungen des integrierten Informationssicherheits- und Datenschutzinstrumentariums

Die Bedrohungslage und somit die Herausforderungen für Informationssicherheit und Datenschutz nehmen immer weiter zu. Ein handhabbares wirksames und gleichzeitig entlastendes Instrumentarium ist deshalb für jedes Unternehmen unerlässlich. In diesem Buch werden Ihnen die Normen, gesetzlichen Anforderungen und Umsetzungsempfehlungen für Datenschutz und Informationssicherheit aufgezeigt und Sie erhalten Leitfäden und Hilfestellungen zum Aufbau Ihres Managementsystems.
Die ISO 27001 gibt als internationale Norm für Informationssicherheit den Rahmen für das Managementsystem vor. Durch direkt nutzbare lean Best- Practices können Sie einfacher Ihre handhabbare Regulatorik ableiten, die sowohl ISO-27001-konform sind als auch den modernisierten IT-Grundschutz abdecken. Wichtig sind insbesondere die Integration mit dem Datenschutz (EU-DSGVO) sowie die Nutzbarkeit auch für andere Anforderungen und Umsetzungsempfehlungen, wie TISAX oder FAIT.

AUS DEM INHALT //
- Anforderungen an Informationssicherheit und Datenschutz (u.a. ISO 27001, IT-Grundschutz und EU-DSGVO)
- Integriertes Managementsystem für Informationssicherheit und Datenschutz
- Schritt-für-Schritt-Leitfaden für den Aufbau des Managementsystems
- Best-Practices wie Schutzbedarfsfeststellung, Risikomanagement, Notfallmanagement, ISMS-Reporting und Sicherheits- und Datenschutzorganisation
- Integration von Enterprise Architecture Management, IT-Servicemanagement und Informationssicherheit
- Vorbereiten für eine ISO-27001-Zertifizierung
- Modernisierten IT-Grundschutz nutzen
- Enterprise Architecture Management und IT-Servicemanagement als Asset-Lieferant nutzen

Sie lesen das E-Book in den Legimi-Apps auf:

Android
iOS
von Legimi
zertifizierten E-Readern
Kindle™-E-Readern
(für ausgewählte Pakete)

Seitenzahl: 326

Veröffentlichungsjahr: 2025

Das E-Book (TTS) können Sie hören im Abo „Legimi Premium” in Legimi-Apps auf:

Android
iOS
Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.



Inge Hanschke

Informationssicherheit und Datenschutzeinfach & effektiv

Integriertes Managementinstrumentarium systematisch aufbauen und verankern

2., aktualisierte Auflage

Die Autorin: Inge Hanschke, München, www.hanschke-consulting.com

Print-ISBN:          978-3-446-47670-7E-Book-ISBN:     978-3-446-47923-4E-Pub-ISBN:       978-3-446-47969-2

Alle in diesem Werk enthaltenen Informationen, Verfahren und Darstellungen wurden zum Zeitpunkt der Veröffentlichung nach bestem Wissen zusammengestellt. Dennoch sind Fehler nicht ganz auszuschließen. Aus diesem Grund sind die im vorliegenden Werk enthaltenen Informationen für Autor:innen, Heraus-geber:innen und Verlag mit keiner Verpflichtung oder Garantie irgendeiner Art verbunden. Autor:innen, Herausgeber:innen und Verlag übernehmen infolgedessen keine Verantwortung und werden keine daraus folgende oder sonstige Haftung übernehmen, die auf irgendeine Weise aus der Benutzung dieser Informationen – oder Teilen davon – entsteht. Ebenso wenig übernehmen Autor:innen, Herausgeber:innen und Verlag die Gewähr dafür, dass die beschriebenen Verfahren usw. frei von Schutzrechten Dritter sind. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt also auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benützt werden dürften.

Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.

Die endgültige Entscheidung über die Eignung der Informationen für die vorgesehene Verwendung in einer bestimmten Anwendung liegt in der alleinigen Verantwortung des Nutzers.

Bibliografische Information der Deutschen Nationalbibliothek:Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet unter http://dnb.d-nb.de abrufbar.

Dieses Werk ist urheberrechtlich geschützt.Alle Rechte, auch die der Übersetzung, des Nachdruckes und der Vervielfältigung des Werkes, oder Teilen daraus, vorbehalten. Kein Teil des Werkes darf ohne schriftliche Einwilligung des Verlages in irgendeiner Form (Fotokopie, Mikrofilm oder einem anderen Verfahren), auch nicht für Zwecke der Unterrichtgestaltung – mit Ausnahme der in den §§ 53, 54 UrhG genannten Sonderfälle –, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.Wir behalten uns auch eine Nutzung des Werks für Zwecke des Text- und Data Mining nach § 44b UrhG ausdrücklich vor.

© 2025 Carl Hanser Verlag GmbH & Co. KG, MünchenKolbergerstraße 22 | 81679 München | info@hanser.dewww.hanser-fachbuch.deLektorat: Brigitte Bauer-Schiewek, Kristin RotheCopy editing: Petra Kienle, FürstenfeldbruckHerstellung: le-tex publishing services GmbH, LeipzigGrafiken: Inge Hanschke und Frank FischerCoverkonzept: Marc Müller-Bremer, www.rebranding.de, MünchenCovergestaltung: Thomas WestTitelmotiv: © fotolia.com/RealVectorSatz: Eberl & Koesel Studio, Kempten

Inhalt

Titelei

Impressum

Inhalt

Vorwort

1 Herausforderungen in Informationssicherheit und Datenschutz

1.1 Einordnung von Informationssicherheit und Datenschutz

1.2 Anforderungen an Informationssicherheit und Datenschutz

1.2.1 Wesentliche Normen und gesetzliche Vorschriften

1.2.2 Cyber-Security

1.2.3 ISO/IEC 27001

1.2.4 IT-Grundschutz

1.2.4.1 Bestandteile des IT-Grundschutzes

1.2.4.2 Die IT-Grundschutz-Methodik

1.2.4.3 Der Sicherheitsprozess entsprechend IT-Grundschutz

1.2.5 EU-DSGVO

1.2.5.1 DSGVO-Grundsätze als Teil des Datenschutzkonzepts

1.2.5.2 Umsetzung der Anforderungen

2 Integriertes Managementsystem für Datenschutz und Informationssicherheit

2.1 Was ist ein Managementsystem für Datenschutz und Informationssicherheit?

2.2 Bestandteile eines integrierten Managementsystems

2.2.1 Warum? – Strategie: Datenschutzpolitik und Informationssicherheitsstrategie

2.2.2 Was? – Anforderungen: Festlegung der umzusetzenden Kontrollen

2.2.3 Wie? – Sicherheitsorganisation und Sicherheitskonzept

2.2.4 Nachweis – Überwachung der Maßnahmendurchführung sowie regelmäßige interne oder externe Audits, um Konformität und Wirksamkeit zu gewährleisten

2.3 Erfolgsfaktoren für ein wirksames integriertes Instrumentarium

3 Schritt-für-Schritt-Leitfaden

3.1 Vorgehensweise zum Aufbau eines integrierten DS & ISMS

3.2 Detaillierter Leitfaden für den Aufbau

3.2.1 Datenschutz- und Informationssicherheitsleitlinie und -organisation

3.2.2 Konzeption des integrierten Managementsystems

3.2.2.1 Teilschritte bei der Konzeption des Instrumentariums

3.2.2.2 Umsetzen der Konzeption für das integrierte DS & ISMS und Inbetriebnahme

3.3 Fazit

4 Best-Practices

4.1 Schutzziele und Schutzbedarfsfeststellung

4.1.1 Schutzziele

4.1.1.1 Vertraulichkeit

4.1.1.2 Integrität

4.1.1.3 Verfügbarkeit

4.1.1.4 Weitere Schutzziele

4.1.2 Schutzbedarfsfeststellung

4.1.2.1 Schadensszenarien

4.1.2.2 Kronjuwelen

4.1.2.3 Vorgehen bei der Schutzbedarfsfeststellung

4.1.2.4 Zonenkonzept

4.1.2.5 Schutzbedarfsfeststellung für Geschäftsprozesse und die dazugehörigen Informationen

4.2 Risikomanagement

4.3 Notfallmanagement

4.4 ISMS-Reporting

4.5 Sicherheits- und Datenschutzorganisation

5 Integration von EAM, IT-Servicemanagement und Informationssicherheit

5.1 EAM und Informationssicherheit

5.1.1 Enterprise Architecture Management

5.1.2 Zusammenspiel von EAM und DS & ISMS

5.1.3 Tool-Unterstützung für DS & ISMS

5.2 IT-Servicemanagement und Informationssicherheit

Glossar

Abkürzungen

Literatur

Vorwort

Am besten erledigt man die Dinge systematisch.

Hesiod von Böotien (um 700 v. Chr.)

Cybergefahren drohen Unternehmen immer häufiger auch durch Angestellte oder Geschäftspartner – oft aus Unachtsamkeit oder Unwissen.

Anforderungen an die Informationssicherheit (u. a. ISO 27001 oder BSI), den Datenschutz (EU-Datenschutz-Grundverordnung) und Sicherheitsbedrohungen sowie die durch diese verursachten Schäden nehmen immer weiter zu. Ein in allen Planungs-, Entscheidungs- und Durchführungsprozessen verankertes, handhabbares und integriertes Managementinstrumentarium ist für deren nachhaltige Bewältigung notwendig. Im Buch werden sowohl die Herausforderungen adressiert als auch Hilfestellungen für eine systematische Gestaltung und nachhaltige Verankerung in der Organisation gegeben.

Sowohl die Anforderungen der EU-Datenschutz-Grundverordnung als auch die aus dem Kontext der Informationssicherheit sowie wesentliche Normen und gesetzliche Regelungen werden eingeführt. Wegen der ständig zunehmenden Bedrohungslage im Cyberspace wird auch das Themenfeld Cyber-Security adressiert, um dessen wachsender Bedeutung gerecht zu werden. Cyber-Security beschreibt den Schutz vor technischen, organisatorischen und naturbedingten Bedrohungen, die die Sicherheit des Cyberspace inklusive Infrastruktur- und Datensicherheit gefährden. Es beinhaltet alle Konzepte und Maßnahmen, um Gefährdungen1) zu erkennen, zu bewerten, zu verfolgen, vorzubeugen sowie Handlungs- und Funktionsfähigkeit möglichst schnell wiederherzustellen.

Neben den Herausforderungen für Datenschutz und Informationssicherheit finden Sie in diesem Buch sowohl Best-Practices für ein integriertes und ganzheitliches einfaches und effektives Managementinstrumentarium für Datenschutz und Informationssicherheit als auch einen Leitfaden, um Ihr individuelles Instrumentarium abzuleiten. Mithilfe eines Schritt-für-Schritt-Leitfadens werden Hilfestellungen für die individuelle Ableitung und für die Umsetzung gegeben. Die Schritte werden anhand von Beispielen erläutert.

Sowohl der Datenschutz als auch die Informationssicherheit, einschließlich der Cyber-Security, benötigen eine möglichst vollständige, konsistente und aktuelle Aufstellung aller Assets (fachliche und technische Werte des Unternehmens wie Geschäftsprozesse, Organisationsstrukturen, Applikationen, technische Bausteine und Configuration Items) für Analysen und Schutzbedarfsfeststellung.

So sind für den Datenschutz Informationen über die Verwendung von Daten (Geschäftsobjekte) in Prozessen oder Applikationen essenziell. Fragestellungen wie „Welche Prozesse oder Applikationen verwenden personenbezogene Daten in welcher Art und Weise?“ sind relevant. Auf Basis des Asset-Registers erfolgen zudem die Schutzbedarfsfeststellung und die Gefährdungsanalyse sowie die Analyse von Abhängigkeiten und Auswirkungen von technischen Schwachstellen (siehe Abschnitte 4.1 und 4.2).

Das Asset-Management kann maßgeblich durch Enterprise Architecture Management (EAM) und eine Configuration Management Database (CMDB) unterstützt werden. Durch die Kombination des integrierten Managementsystems für Datenschutz und Informationssicherheit mit EAM und einer CMDB werden sowohl die Wirksamkeit als auch die Effizienz deutlich erhöht. Daher wird diesem Zusammenspiel ein eigenes Kapitel in diesem Buch gewidmet.

Das vorliegende Buch liefert einerseits einen ganzheitlichen schlanken und handhabbaren Ordnungsrahmen und andererseits einen Schritt-für-Schritt-Leitfaden für die systematische maßgeschneiderte Ableitung Ihres individuellen Datenschutz- und Informationssicherheitsinstrumentariums sowie deren Operationalisierung durch direkt anwendbare Hilfestellungen.

München, im Frühling 2025

Inge Hanschke

Danksagung

Vielen Dank an die vielen Datenschutz- und Informationssicherheitsexperten und Kollegen aus befreundeten Unternehmen für den intensiven Austausch.

Danke an meine Diskussionspartner, Reviewer und Unterstützer, die durch wertvolle Kommentare und Feedback das Buch maßgeblich mitgestaltet haben. Hier sind insbesondere Sebastian Hanschke, Christiane Charrad und auch Frau Brigitte Bauer-Schiewek sowie Frau Irene Weilhart vom Hanser-Verlag für ihr wertvolles Feedback und ihre Unterstützung zu nennen.

Besonderen Dank an Jörg Krüger, meine Familie und Freunde, die mir den Rücken freigehalten haben und mich auch durch Feedback tatkräftig unterstützt haben.

Wegweiser durch dieses Buch

Die Gliederung des Buchs ist im folgenden Bild dargestellt. Sie können die Kapitel in der genannten Reihenfolge oder aber auch selektiv lesen. Sie sind inhaltlich in sich abgeschlossen.

Bild 1Kapitelstruktur

       Kapitel 1 erläutert die Herausforderungen im Datenschutz und in der Informationssicherheit mit allen relevanten Sicherheitsvorgaben, wie z. B. ISO 27001, IT-Grundschutz und EU-DSGVO sowie der Cyber-Security.

       Kapitel 2 skizziert die Bausteine eines integrierten Datenschutz- und Informationssicherheitssystems.

       In Kapitel 3 finden Sie den Schritt-für-Schritt-Leitfaden für die Konzeption Ihres integrierten Instrumentariums.

       Kapitel 4 liefert Ihnen eine Best-Practice-Sammlung zur Operationalisierung Ihres Instrumentariums.

       Kapitel 5 widmet sich dem Asset-Management mit Hilfe vom Enterprise Architecture Management und einer CMDB.

Jedes Kapitel enthält darüber hinaus zahlreiche Literaturhinweise als Empfehlung für die Vertiefung des jeweiligen Themas.

Wer sollte dieses Buch lesen?

Das Buch adressiert alle Personengruppen im Kontext Informationssicherheit und Datenschutz, die „Kümmerer“ und die „Betroffenen“, wie z. B. der Datenschutz- oder Informationssicherheitsbeauftragte sowie die Bereiche Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge. Folgende Personengruppen werden besonders adressiert:

       Chief Information Security Officer (CISO), Informationssicherheitsbeauftragter (ISB), Beauftragte für IT-Sicherheit, Bereichs- oder Projektsicherheitsbeauftragter

       Wie kann das ISMS initiiert, implementiert und überwacht werden?

       Welche Sicherheitsanforderungen bestehen? Welche Normen, wie z. B. ISO 27001, sind für das Unternehmen relevant?

       Wie werden Sicherheitsziele und Geltungsbereiche festgelegt?

       Welche Sicherheitsmaßnahmen sind zur Umsetzung der Anforderungen erforderlich?

       Welche Dokumente sind unter welchen Vorgaben verpflichtend? Welche Inhalte haben die Dokumente, wie z. B. die Informationssicherheitsleitlinie? Wie können diese handhabbar gestaltet werden?

       Wie muss eine Sicherheitsorganisation für den jeweiligen Kontext gestaltet werden?

       Wie sieht ein Sicherheitskonzept aus? Welche Best-Practices gibt es hierzu?

       Wie kann wirksam ein Instrumentarium aufgebaut und betrieben werden?

       Wie erfolgt die Erstellung von Plänen zur Umsetzung und Kontrolle von Sicherheitsmaßnahmen?

       Wie kann die Wirksamkeit überprüft werden?

       Wie kann ein ausreichendes Sicherheitsniveau definiert und implementiert werden?

       Wie kann Informationssicherheit effizient und effektiv kontinuierlich sichergestellt werden?

       In welche Prozesse, wie z. B. Risikomanagement, und organisatorische Strukturen muss sich das Instrumentarium verzahnen? Auf welche Art und Weise?

       Datenschutzbeauftragte (DSB)

       Wie kann der Datenschutzbeauftragte der obersten Leitungsebene bei der Wahrung der Persönlichkeitsrechte und der Vermeidung von Zwischenfällen, die dem Ansehen des Unternehmens schaden, unterstützen?

       Wie sieht ein Datenschutzkonzept aus?

       Welche Dokumente/Meldewege sind verpflichtend? Welche Inhalte und Struktur haben diese Dokumente? Wie können diese handhabbar gestaltet werden?

       Welche technischen und organisatorischen Maßnahmen sind relevant für die Umsetzung des Datenschutzkonzepts? Wie kann deren Wirksamkeit überprüft werden?

       Welche organisatorischen Voraussetzungen müssen geschaffen werden?

       Wie kann ein ausreichendes Datenschutzniveau definiert und implementiert werden?

       Wie kann Datenschutz effizient und effektiv kontinuierlich sichergestellt werden?

       In welche Prozesse, wie z. B. Risikomanagement, muss sich das Instrumentarium verzahnen? Auf welche Art und Weise?

       Betriebsrat

       Wie können die Mitbestimmungsrechte gewahrt werden?

       Wie können Mitarbeiter vor Sanktionen geschützt werden?

       Wie können Mitarbeiter vor unklaren Regelungen und einschränkenden Maßnahmen geschützt werden?

       Oberste Leitungsebene („Informationssicherheit und Datenschutz ist Chefsache“)

       Ist ein ISMS im Wettbewerb ein Vorteil oder ein Hygienefaktor?

       Wie können die Unternehmenswerte hinreichend gesichert werden?

       Wie können die Unternehmensrisiken und die persönlichen Risiken beherrscht werden?

       Wie können Informationssicherheit und Datenschutz hinreichend umgesetzt werden? Mit welcher Organisation? Ohne zu viele Aufwände? Ohne zu viele Formalismen? Wie viele Rollen und Ressourcen sind notwendig?

       Welche Aufgaben bestehen für die oberste Leitungsebene? Welche Aufgaben können delegiert werden? Welche Verantwortung verbleibt?

       Leiter Organisation und Führungskräfte

       Welche organisatorischen Voraussetzungen müssen für Informationssicherheit und Datenschutz geschaffen werden?

       Welche organisatorischen und personellen Anforderungen bestehen und wie können diese durch angemessene Sicherheitsmaßnahmen umgesetzt werden?

       Wie können Datenschutz- und Informationssicherheitsrisiken in das unternehmensübergreifende Risikomanagement integriert werden?

       Einkauf

       Wie kann das Sicherheitsrisiko durch Lieferanten gesenkt werden? Wie können Auftragnehmer zu den für das Unternehmen festgelegten Sicherheits- und Datenschutzrichtlinien verpflichtet und in geeigneter Weise zur Einhaltung „gezwungen“ werden?

       Wie stellt man sicher, dass der Auftragnehmer bei erkennbaren Mängeln und Risiken eingesetzter Sicherheitsmaßnahmen den Auftraggeber unverzüglich informiert?

       Wie kann der Aufwand bei der Lieferantenauditierung reduziert werden?

       Fachverantwortliche für Geschäftsprozesse und Fachverfahren

       Wie können die geschäftliche Relevanz/Kritikalität der zu verarbeitenden Informationen, der Verarbeitungen und deren Schutzbedarf festgelegt werden?

       Welche Sicherheits- und Kontrollmaßnahmen sind zur Verwaltung und zum Schutz der im Verantwortungsbereich befindlichen Informationen zu implementieren?

       Wie können durch den Fachverantwortlichen der Zugang zu Informationen sowie der Umfang und die Art der Autorisierung in den Verarbeitungen definiert werden? Was ist dabei zu berücksichtigen? Wie ist die Autorisierung zu dokumentieren?

       Welche Informationen haben welche geschäftliche Relevanz und wie können diese adäquat geschützt werden?

       Welche Aufbewahrungsfristen müssen entsprechend der gesetzlichen Vorschriften eingehalten werden?

       Mitarbeiter

       Welche Verhaltensregeln gibt es im Kontext „Informationssicherheit und Datenschutz“?

       Was muss beachtet werden? Wo findet man die jeweils gültige Richtlinie und Verfahrensanweisung?

       IT-Verantwortliche

       Welche Richtlinien und Verfahrensanweisungen sind für die sichere IT-Unterstützung der Geschäftsprozesse relevant? Wie können diese mit den vorhandenen IT-Prozessen integriert werden?

       Wie können IT-Servicemanagement und Informationssicherheit zusammenwirken?

       Wie sollte eine ordnungsgemäße IT-Administration erfolgen? Welche Verhaltensregeln und Sicherheitshinweise sollten für Administratoren festgelegt werden?

       Wie können über Sicherheitsgateways oder Firewalls Schutzzonen erstellt werden? Welche sind erforderlich?

       Wie kann ein hinreichender Virenschutz zum Schutz vor Schadprogrammen erreicht werden?

       Wie kann die Notfallvorsorge aussehen?

       Was ist bei der Datensicherung zu beachten?

       Welche Daten sind zu archivieren? Welche Aufbewahrungsfristen gelten?

       Wie kann die sichere Nutzung von E-Mail und Groupware gewährleistet werden?

       Was ist bei Outsourcing und externen Dienstleistern zu beachten?

Webseite zum Buch

Weitergehende Informationen zum Buch finden Sie auf der Webseite https://hanschke-consulting.com.

1Herausforderungen in Informationssicherheit und Datenschutz

Man wächst mit der Herausforderung.

Quelle: Unbekannt

Die Informations- und Kommunikationstechnik hat alle Lebensbereiche durchdrungen. Die Geschäftsprozesse von Unternehmen kommen kaum mehr ohne IT-Unterstützung aus. Die horizontale und vertikale Vernetzung von Partnern bis zu Maschinen nimmt immer weiter zu. Nur so kann schnell auf Kundenanfragen und sich ändernde Kundenbedürfnisse reagiert werden. Die hohe Durchdringung mit Informations- und Kommunikationstechnik erhöht jedoch gleichzeitig die Abhängigkeit und die Anfälligkeit für die kontinuierlich zunehmenden Sicherheitsbedrohungen, zum Beispiel im Kontext von Cyber-Security.

Sicherheits- und Datenpannen, wie Massen-E-Mails mit Viren, Veröffentlichung von vertraulichen Daten oder manipulierte, missbräuchlich verwendete, mutwillig zerstörte oder kompromittierte Daten, können für die Unternehmen zu ernsthaften rechtlichen oder wirtschaftlichen Konsequenzen führen. Insbesondere aber auch die Nichtverfügbarkeit von Systemen hat erhebliche wirtschaftliche Auswirkungen. Ein Beispiel hierzu ist die Unterbrechung einer Lieferkette in einer Just-in-time-Fertigung (JIT-Fertigung) aufgrund eines Systemabsturzes, der zu einem Produktionsstillstand führt, da wesentliche Rohstoffe oder Teile nicht angefordert werden und somit fehlen.

Externe Vorgaben wie Gesetze, Regulatoren und Normen sowie Anforderungen interessierter Parteien (z. B. BDSG, UWG, TMG, Regulierungsbehörden) und Verträge erfordern ein angemessenes Sicherheitsniveau und die Einhaltung von Formalien. Vorstände und Geschäftsführer haften persönlich für viele Versäumnisse und mangelnde Risikovorsorge. Ein Beispiel sind die hohen Bußgelder bei Datenpannen im Kontext der EU-DSGVO (europäische Datenschutzgrundverordnung) oder aber der NIS-2-Richtlinie. Imageschäden und Folgekosten erhöhen die Schadensauswirkungen noch erheblich. Die Gewährleistung der Persönlichkeitsrechte Betroffener und die Sicherstellung der Rechenschaftspflicht sind daher Grundanforderungen an ein Datenschutz-Managementsystem.

Informationssicherheit und Datenschutz sind unerlässlich, um sowohl personenbezogene Daten als auch Geschäfts- und Unternehmensgeheimnisse zu schützen und einen zuverlässigen Geschäftsbetrieb und die kontinuierliche Weiterentwicklung des Geschäftsmodells zu gewährleisten. Es geht letztendlich darum, mit Informationssicherheitsmanagement und Datenschutz den Erfolg des Unternehmens abzusichern (siehe Bild 1.1). Gerade im Zeitalter der digitalen Transformation sind „sichere“ Daten- und Integrationsplattformen mit vielen Automatismen als integraler Bestandteil des Managementsystems unerlässlich. Nur so kann der Mehrwert aus Daten gehoben und Big Data, Business-Analytics rechtssicher und berechtigt genutzt werden.

Bild 1.1Nutzenorientiertes Management von Datenschutz und Informationssicherheit

Die Informationssicherheit und der Datenschutz eines Unternehmens müssen einen Handlungsrahmen und Hilfestellungen liefern, um den kontinuierlichen Geschäftsbetrieb und auch die Geschäftsmodellweiterentwicklung hinreichend sicher zu ermöglichen.

Die Herausforderungen in Informationssicherheit und Datenschutz nehmen immer weiter zu und sind eng auch mit der Umsetzung weiterer Compliance-Anforderungen verbunden. Nach einer Einordnung von Informationssicherheit und Datenschutz schauen wir uns die Anforderungen etwas näher an.

In diesem Kapitel finden Sie die Antworten auf folgende Fragen

       Warum sind Informationssicherheit und Datenschutz wichtig?

       Was ist Informationssicherheit?

       Was ist Datenschutz?

       Welche Anforderungen leiten sich aus Gesetzen und Normen ab?

1.1Einordnung von Informationssicherheit und Datenschutz

Wie bereits ausgeführt, sind Informationssicherheitsmanagement und Datenschutz essenziell, um den Erfolg des Unternehmens abzusichern. Was versteht man aber unter Informationssicherheit und Datenschutz?

Die Informationssicherheit zielt auf den angemessenen Schutz von Informationen und IT-Systemen in Bezug auf alle festgelegten Schutzziele, wie Vertraulichkeit, Integrität und Verfügbarkeit, ab. Ein unbefugter Zugriff oder die Manipulation von Daten soll verhindert und soweit möglich vorgebeugt werden, um daraus resultierende wirtschaftliche Schäden zu verhindern. Bei den Daten ist es unerheblich, ob diese einen Personenbezug haben oder nicht. Informationen können sowohl auf Papier als auch in IT-Systemen vorliegen.

IT-Sicherheit adressiert als Teilbereich der Informationssicherheit den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung inklusive Funktionssicherheit, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme. Hier müssen auch Systeme einbezogen werden, die häufig nicht unmittelbar als IT-Systeme wahrgenommen werden, wie Steuerungs- (ICS) oder IoT-Systeme. Die IT-Sicherheit ist also Bestandteil der Informationssicherheit. Das Aktionsfeld der klassischen IT-Sicherheit wird bei der Cyber-Sicherheit auf den gesamten Cyber-Raum ausgeweitet.

Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden, um das Recht des Einzelnen auf informationelle Selbstbestimmung zu stärken.

Es stellt sich hierbei nicht die Frage, ob man Informationssicherheit und Datenschutz adressiert, sondern nur wann und in welchem Umfang. Die Kernfrage lautet: „Wann ist man hinreichend sicher?“

       Welche Richtlinien, Verfahrensanweisungen und Arbeitsanweisungen sind erforderlich?

Mögliche Antwort: verpflichtende und empfohlene Dokumente aus Informationssicherheit und Datenschutz (u. a. ISO 2700X, BSI IT-Grundschutz, NIS-2-Richtlinie und EU-DSGVO)

       Wie kann man die IT-Systeme hinreichend „technisch“ absichern?

Hierauf gibt es eine einfache Antwort: „Systeme sind hinreichend sicher, wenn der Aufwand eines Angreifers dessen Nutzen erheblich übersteigt.“

Widerstandsfähige Systeme überstehen absichtliche Angriffe ohne inakzeptablen Schaden für das Unternehmen. Für viele Systeme mit normalem Schutzbedarf reicht eine Absicherung nach dem „Stand der Technik“ aus (siehe Abschnitt 1.2.4).

Hinweis

Der Begriff „Stand der Technik“ im Kontext des IT-Grundschutzes beschreibt Maßnahmen, Technologien und Verfahren, die aktuell als geeignet und effektiv angesehen werden, um Sicherheitsziele zu erreichen (siehe [BSI23-1]).

       Wann ist die Absicherung hinreichend?

Wie viel Schutz ist notwendig, um einen kontinuierlichen Geschäftsbetrieb sicherzustellen, die sichere Geschäftsmodellweiterentwicklung zu ermöglichen und Imageschäden und Reputationsverlust zu vermeiden?

So dürfen z. B. Hackerangriffe nicht zum Ausfall von Kernsystemen führen.

Schutz ist kein Selbstzweck. Es ist so viel Schutz notwendig, um einen kontinuierlichen Geschäftsbetrieb, keinen Reputationsverlust, die Kundenbindung und allgemein die Voraussetzungen für das Erreichen der Unternehmensziele zu gewährleisten.

Hinreichend ist hierbei das Schlüsselwort. Denn eine hundertprozentige Sicherheit ist auch mit noch so hohem Aufwand nicht zu erreichen. Eine extrem hohe Absicherung ist unverhältnismäßig teuer oder geschäftsverhindernd. Ein Beispiel sind nicht vernetzte Systeme. Diese sind natürlich einfacher abzusichern. Jedoch erfordern die meisten Geschäftsabläufe gerade im Zeitalter der Digitalisierung vernetzte Systeme. Ein Kappen der Vernetzung verhindert oder erschwert den Geschäftsbetrieb so stark, dass wahrscheinlich auf Dauer nicht wirtschaftlich gearbeitet werden kann. Der konkrete Schutzbedarf hängt stark vom unternehmensindividuell eingeschätzten Schutzbedarf der jeweiligen Unternehmenswerte, wie z. B. die Kritikalität von Informationen oder Systemen, ab.

Ein hinreichender Informationsschutz ist für die meisten Werte mit normalem Schutzbedarf schon mit einer Standardabsicherung (siehe Abschnitt 1.2.4) der IT mit verhältnismäßig geringen Mitteln zu erreichen. In Bild 1.2 finden Sie eine Prinzip-Darstellung für die Festlegung des optimalen Sicherheitsniveaus. In der Abbildung werden die Maßnahmenkosten und das Sicherheitsbedürfnis gemessen über das Schadensausmaß in Abhängigkeit vom Restrisiko dargestellt. Zudem finden Sie eine grobe Zuordnung zu Fehlerklassen nach dem CRISAM®-Modell (siehe [Hen13]) dargestellt.

Bild 1.2Optimales Sicherheitsniveau

Ohne Sicherheitsmaßnahmen und damit ohne Maßnahmenkosten wird ein extrem niedriges Schutzniveau erreicht und bestehende gesetzliche Anforderungen, wie z. B. aus der EU-DSGVO (siehe Abschnitt 1.2.5), werden nicht eingehalten. Die Organisation ist anfällig für Sicherheitsbedrohungen wie z. B. Kompromittierung von Webseiten, da entsprechende Vorkehrungen fehlen. Die Leitungsebene handelt grob fahrlässig und ist auch persönlich haftbar.

Das andere Extrem ist das Ziel, das Restrisiko von Sicherheitspannen weitestgehend auszuschließen. Jedoch ist der Versuch, alle möglichen Sicherheitsvorfälle vorherzusehen, sehr teuer; sowohl einmalig in der Erstellung als auch im kontinuierlichen Betrieb des Datenschutz- und Informationssicherheitsinstrumentariums. Für alle möglichen Konstellationen müssen organisatorische Maßnahmen, wie z. B. Richtlinien und Verfahrensanweisungen, oder technische Maßnahmen, wie z. B. automatisierte Forcierung der Einhaltung der Passwortrichtlinie, vorgesehen werden.

Jedes Unternehmen muss sein vorhandenes Sicherheitsniveau ermitteln und sein angestrebtes Sicherheitsniveau, den „Risikoappetit“, festlegen. Durch eine GAP-Analyse (siehe Abschnitt 3.1) können entsprechende Maßnahmen zur Schließung der Lücke ermittelt werden.

Das angestrebte Sicherheitsniveau sollte sich idealerweise nahe an dem in Bild 1.2 dargestellten betriebswirtschaftlich optimalen Sicherheitsniveau befinden. Über Standard-Absicherungsmaßnahmen z. B. aus dem IT-Grundschutz (siehe Abschnitt 1.2.4) kann für die Werte mit normalem Schutzbedarf ein Standard-Sicherheitsniveau auf dem „Stand der Technik“ erreicht werden. Für die darüberhinausgehenden Risiken, insbesondere für die Werte mit erhöhtem Schutzbedarf, sollte ein Risikobehandlungs-plan erstellt und umgesetzt werden. Jedoch sollte hierbei eine Abwägung zwischen Schadensausmaß und Maßnahmenkosten durchgeführt werden. Wenn die Maßnahmenkosten in keinem Verhältnis zum Schadensausmaß stehen, dann muss die oberste Leitungsebene über die Risikoübernahme entscheiden. Akzeptierte Risiken müssen bei ihrem Auftreten schnell erkannt und über eine Vorfall- und Notfallmanagement-Organisation gemanagt werden. So können auch bei akzeptierten Risiken die Schadensauswirkungen reduziert werden.

Beispiele für akzeptierte Risiken aus der Praxis sind:

       IT-System-bedingte Einschränkungen

Die Umsetzung von Sicherheitsanforderungen bedarf einer erheblichen Veränderung von IT-Systemen, die nur mit großem Aufwand mittelfristig umgesetzt werden können.

Beispiel: „unverzichtbare“ Standardlösungen, die auf veralteten Patch-Level aufsetzen.

       „Daten“ sind wesentlich für den Geschäftserfolg

Beispiel: (Personenbezogene) Daten, wie z. B. Kundeninteressen oder -vorlieben werden für Marketing- und Vertriebsaktionen benötigt. Hier werden diese Daten zum „berechtigten“ Interesse erklärt und nur auf Einzelaufforderung hin gelöscht oder anonymisiert.

Ein Hilfsmittel für die Abwägung zwischen Schadensausmaß und Maßnahmenkosten sowie die Risikoübernahme sind Risikoportfolios mit den Dimensionen Schadensauswirkung und Eintrittswahrscheinlichkeit. Den Bereichen im Portfolio kann eine entsprechende Risikobehandlungsstrategie, wie z. B. Risikoübernahme, zugeordnet werden. In Abschnitt 4.2 finden Sie Best-Practices zum Risikomanagement.

Die Abwägung zwischen Schadensausmaß und Maßnahmenkosten sowie der Risikoappetit müssen unternehmensindividuell festgelegt werden.

Normen, wie z. B. die ISO-2700X-Familie (siehe [Bre24]), geben sowohl Anforderungen als auch Empfehlungen für die umzusetzenden Sicherheitsmaßnahmen vor. Insbesondere der BSI-IT-Grundschutz (siehe Abschnitt 1.2.4) gibt zudem Umsetzungshin-weise und Maßnahmenempfehlungen. Rund 80 % der bekannten Angriffe lassen sich mit den Standard-Schutzmaßnahmen des IT-Grundschutzes abwehren. Über technische und organisatorische Maßnahmen (TOMs) müssen sowohl die Sicherheit der für das Unternehmen schützenswerten Assets als auch insbesondere die personenbezogenen Daten abgedeckt werden. Die richtige Auswahl der Sicherheitsmaßnahmen für die hinreichende Absicherung und deren handhabbare Operationalisierung ist erfolgsentscheidend.

Die Sicherheitsmaßnahmen zur Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung müssen einerseits wirksam (effektiv) sein, um ein erforderliches Schutzniveau zu erreichen. Das Schutzniveau wird maßgeblich von der Kritikalität der zu schützenden Assets, wie z. B. Kundendaten, sowie von geltenden Gesetzen und Regularien bestimmt, die eingehalten werden müssen.

Andererseits müssen die Schutzmaßnahmen auch wirtschaftlich angemessen (effizient) sein und dürfen die Organisation nicht überfordern, d. h., die Möglichkeiten der Aufbau- und Ablauforganisation sowie weiterer Randbedingungen müssen berücksichtigt werden. Ein handhabbares und integriertes Instrumentarium ist notwendig, um sowohl die EU-Datenschutz-Grundverordnung (EU-DSGVO) als auch die Anforderungen der Informationssicherheit (u. a. BSI und ISO 27001) nachhaltig zu erfüllen.

Im Folgenden werden sowohl die Anforderungen der EU-Datenschutz-Grundverordnung als auch des Informationssicherheitsmanagements eingeführt.

1.2Anforderungen an Informationssicherheit und Datenschutz

Zunehmende Cyber-Angriffe sowie stärkere Regulierung und Compliance-Anforde-rungen, wie die EU-DSGVO, die NIS-2-Richtlinie oder das Lieferkettengesetz, erfordern eine deutlich höhere Aufmerksamkeit in den Unternehmen für Informationssicherheits- und Datenschutzfragestellungen. Für die Festlegung eines integrierten Managementsystems für Informationssicherheit und Datenschutz müssen die Anforderungen verstanden und im Kontext des Unternehmens bewertet werden.

Die immer weiter zunehmende Durchdringung von Informationstechnik in den Geschäftsprozessen, die steigende Bedrohungslage sowie gesetzliche und Compliance-Anforderungen führen zu Gefahren, wie

       Missbrauch oder Verlust von schützenswerten Daten,

       Verstöße gegen gesetzliche Bestimmungen oder unternehmensspezifische Richtlinien und Regeln mit zum Teil persönlicher Haftung und

       Behinderung oder sogar Unterbrechung der Geschäftstätigkeit durch z. B. nicht verfügbare Systeme.

Diese Bedrohungslage nimmt immer weiter zu. Gründe sind hierfür u. a.:

       KI-gestützte Angriffe: Die Nutzung von KI durch Hacker wächst. So können Phishing-Mails einfacher und überzeugender generiert und andere Sicherheitsmaßen umgangen werden.

       Technologische Entwicklungen: Quanten-Computing wird zur potenziellen Bedrohung für bestehende Verschlüsselungsstandards.

       Steigender Vernetzungsgrad: Menschen und IT-Systeme arbeiten zunehmend vernetzt (horizontal und vertikal siehe [Han24]) auch über Unternehmensgrenzen hinweg. Eine Sicherheitslücke kann nicht isoliert, sondern muss mit ihren Abhängigkeiten betrachtet werden. Gerade auch mit dem neuen Lieferkettengesetz muss die Sicherheit in der gesamten Lieferkette gestärkt werden. Angreifer nutzen gezielt Schwachstellen bei Drittanbietern oder in der Lieferkette aus.

       IT-Verbreitung und Durchdringung: Immer mehr Bereiche werden von der Informationstechnik durchdrungen. Beispiele sind Smart Home oder RFIDs zur Steuerung von Besucher- oder Warenströmen oder IT-gestützte Sensorik in Autos, um automatisch auf veränderte Umgebungsverhältnisse reagieren zu können. Die verschiedenen IT-Komponenten kommunizieren miteinander zunehmend drahtlos und sind über das Internet lokalisierbar und steuerbar.

       Zunehmende und schnellere Ausnutzung von Schwachstellen: Die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten gezielten Massenangriffen (z. B. Computerviren, Trojanische Pferde oder andere Angriffe) sinkt immer weiter. So muss zunehmend schneller die Information über Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates, bekannt sein. Ein gut aufgestelltes Informationssicherheitsmanagement mit Warnsystem ist extrem wichtig, um schnell die richtigen Maßnahmen zu ergreifen.

Neben den zunehmenden Bedrohungen der Cyber-Security sind die steigenden Anforderungen aus Datenschutz und Informationssicherheit aufgrund der EU-Datenschutz-Grundverordnung (siehe [SDM18] und [Voi24]) und in der Informationssicherheit entsprechend der individuellen Anforderungen oder gesetzlichen Vorgaben sowie der Compliance-Anforderungen zu bewältigen.

1.2.1Wesentliche Normen und gesetzliche Vorschriften
ISO/IEC 2700X

ISO/IEC 2700X ist die internationale De-facto-Normenreihe für die Informationssicherheit. Sie legt die Anforderungen für den Aufbau, die Implementierung, den Betrieb, die Überwachung, die Wartung und die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) fest.

Definition

Ein Informationssicherheitssystem (ISMS) ist ein umfassendes Managementsystem mit definierten Richtlinien, Regeln und Prozessen zur Planung, Durchführung, Steuerung und fortlaufenden Optimierung der Informationssicherheit im Unternehmen. Es ist ein strukturierter Ansatz, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Ziel ist es, Organisationen darin zu unterstützen, Informationen systematisch zu schützen und Sicherheitsrisiken effektiv zu managen. Die Sicherheitsstandards der ISO/ IEC-2700X-Normenreihe zielen darauf ab, das Sicherheitsniveau in Unternehmen zu verbessern. Die ISO/IEC 2700X enthält Anforderungen und Maßnahmen für den Aufbau, Betrieb und die kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Die Anforderungen der Norm sind durch die Implementierung von für das Unternehmen passenden Sicherheitsmechanismen zu erfüllen.

Die Zertifizierung nach ISO 27001 bestätigt, dass ein Unternehmen angemessene Prozesse und Maßnahmen implementiert hat, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen.

Weitere Informationen zur ISO 27001 finden Sie in Abschnitt 1.2.3.

TISAX

TISAX (Trusted Information Security Assessment Exchange) ist eine branchenspezifische Adaption der ISO 27001 für die Automobilindustrie. Es handelt sich um einen branchenspezifischen Standard, der von der ENX Association in Zusammenarbeit mit der deutschen Automobilindustrie entwickelt wurde. TISAX baut auf den Prinzipien der ISO/IEC 27001 auf und fügt spezifische Anforderungen hinzu, die für die Automobilbranche relevant sind, wie etwa den Umgang mit Prototypenschutz und Anforderungen an den Datenschutz gemäß EU-DSGVO. TISAX ist ein Austauschsystem, bei dem Assessment-Ergebnisse über die TISAX-Plattform zwischen teilnehmenden Unternehmen ausgetauscht werden können. TISAX-Audits werden von speziell autorisierten Prüfdienstleistern durchgeführt, die von der ENX (European Network Exchange) Association akkreditiert sind. Die Zertifizierung erfolgt aber über ISO 27001.

Hinweis

ENX ist eine von europäischen Automobilherstellern, Zulieferern und Verbänden gegründete Organisation, um sichere Datenaustauschplattformen und Standards für die Branche zu entwickeln und zu fördern. Aufgaben von ENX im TISAX-Kontext sind:

       Betrieb und Verwaltung von TISAX

Bereitstellung einer Austausch-Plattform für den sicheren Austausch der Ergebnisse von TISAX-Assessments.

       Akkreditierung von Prüfdienstleistern

Autorisierung und Überwachung der unabhängigen Prüfdienstleister für TISAX-Assessments.

       Etablierung von TISAX als einheitlichen Standard

ENX sorgt dafür, dass TISAX als einheitlicher Standard für Informationssicherheit in der Automobilbranche etabliert ist und von allen relevanten teilnehmenden Akteuren anerkannt wird.

Weitere Informationen zur ISO 27001 und TISAX finden Sie in Abschnitt 1.2.3.

IT-Grundschutz (IT-GS)

Der IT-Grundschutz ist ein von der Bundesrepublik Deutschland entwickeltes Konzept für einen praktikablen und aufwandsarmen sowie angemessenen Schutz von Informationen und die strukturierte und umfassende Absicherung von IT-Systemen und Prozessen, um das Informationssicherheitsniveau in Unternehmen zu erhöhen. Er liefert einen De-facto-Standard für IT-Sicherheit und liefert die methodische Grundlage, um ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen und Sicherheitsmaßnahmen in einer Organisation umzusetzen. Er wird vom Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) herausgegeben. Er wird in regelmäßigen Abständen weiterentwickelt und hierbei immer mit den relevanten internationalen Normen wie ISO/IEC 27001 abgeglichen.

Der IT-Grundschutz ist ein universell anwendbares Sicherheitsframework und eignet sich für alle Organisationen, die Informationssicherheit auf eine strukturierte und nachvollziehbare Weise umsetzen wollen. Besonders relevant ist er für öffentliche Einrichtungen und Unternehmen im Bereich KRITIS.

Der IT-Grundschutz basiert auf BSI-Standards, die detaillierte Anforderungen an Informationssicherheit und Vorgehensweisen beschreiben (z. B. BSI-Standard 200-1 bis 200-3). Ein wichtiger Bestandteil war das IT-Grundschutz-Kompendium (siehe [BSI23-1]), das konkrete Maßnahmenkataloge enthält. Dieses wurde jährlich aktualisiert.

Ab 2024 wird es kein neues IT-Grundschutz-Kompendium geben, da das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Strategie für die Weiterentwicklung des IT-Grundschutzes angepasst hat. Statt eines jährlich überarbeiteten Kompendiums legt das BSI verstärkt Wert auf kontinuierliche und gezielte Updates einzelner IT-Grundschutz-Bausteine. Diese Anpassung ermöglicht eine flexiblere Reaktion auf technologische Entwicklungen und Nutzerfeedback, statt die gesamten Inhalte jährlich zu überarbeiten. Siehe hierzu www.bsi.bund.de.

Siehe www.bsi.bund: Der neue IT-Grundschutz wird vollständig prozessorientiert aufgebaut und basiert auf einem digitalen Regelwerk in Form einer JSON-Datei. Jede Anforderung an die Cybersicherheit wird als Regel in einem standardisierten Format erfasst, sodass diese Regeln auch durch Computerprogramme interpretiert und ausgewertet werden können. Das digitale Regelwerk löst das IT-Grundschutz-Kompen-dium ab, welches Anforderungen an Cybersicherheit in Textform (u. a. als PDF und als gedruckte Version) für menschliche Adressaten beschreibt. Der Wechsel auf ein digitales Regelwerk ermöglicht eine Automatisierung von Sicherheitsprozessen, sodass Anforderungen an die Cybersicherheit nicht nur von Personen, sondern auch über ein Managementsystem für Informationssicherheit (ISMS) modelliert werden können und die Einhaltung der Anforderungen überwacht werden kann. Um die Anwendbarkeit weiter zu erleichtern, werden die Absicherungsstufen Basis, Standard und erhöhter Schutzbedarf durch flexible Leistungszahlen in Verbindung mit dynamischen Schwellwerten ersetzt.

Weitere Informationen zum IT-Grundschutz finden Sie in Abschnitt 1.2.4.

IT-Sicherheitsgesetz (IT-SIG)

Das IT-SIG zielt darauf ab, die Sicherheit informationstechnischer Systeme zu erhöhen, um den Gefahren beim Ausfall von kritischen Infrastrukturen zu begegnen. Das IT-SIG schafft bereits seit Juli 2015 einen einheitlichen Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei KRITIS. Im Vordergrund stehen Betreiber sogenannter „kritischer Infrastrukturen“.

Definition KRITIS

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit hoher Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen auftreten würden.

Am 3. Mai 2016 ist der erste Teil der BSI-KRITIS-Verordnung (§ 10 BSI-Gesetz) in Kraft getreten. Hier werden neben dem BSI-Gesetz auch das Energiewirtschaftsgesetz (EnWG), das Telemediengesetz, das Telekommunikationsgesetz und weitere Gesetze geändert und ergänzt.

Die KRITIS-Betreiber müssen sich beim BSI registrieren und ihre IT-Sicherheit nach dem „Stand der Technik“ umsetzen. Sie müssen innerhalb von vorgegebenen Fristen (zwei Jahre) Mindeststandards für IT-Sicherheitsmaßnahmen in den kritischen Branchen wie Energie oder Gesundheit entwickeln und nachweislich umsetzen. Zudem bestehen bei Ausfällen oder IT-Sicherheitsvorfällen Meldepflicht gegenüber dem BSI sowie Informationspflichten gegenüber betroffenen Nutzern.

Um die Betreiber kritischer Infrastrukturen noch wirksamer zu unterstützen, hat das BSI das Mobile Incident Response Teams (MIRT) eingerichtet. Diese Spezial-Task-Forces bestehen aus Cybersicherheitsexpertinnen und -experten des BSI, die auf Wunsch der KRITIS-Betreiber besonders schwerwiegende Cyberangriffe vor Ort untersuchen und bei deren Bewältigung helfen.

Die NIS-2-Richtlinie erweitert die Befugnisse des BSI und stärkt gleichzeitig die Kooperation von Staat und Wirtschaft. Die NIS-2-Richtlinie ergänzt und erweitert das IT-Sicherheitsgesetz (IT-SiG) in Deutschland. Das IT-SIG wurde zum IT-SIG 2.0 angepasst, um u. a. die Vorgaben der NIS-2-Richtlinie zu erfüllen. Das IT-SIG 2.0 wurde am 23. April 2021 im Bundestag verabschiedet (siehe www.bsi.bund.de).

Hinweis

Auch das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) musste entsprechend der NIS-2-Richtlinie angepasst werden. Das BSIG wurde zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 geändert.

Im IT-SIG 2.0 wurde neben der Integration der NIS-2-Vorgaben der Anwendungsbereich erweitert. Mittelgroße Unternehmen in bestimmten kritischen Sektoren, die bisher nicht im Fokus des IT-Sicherheitsgesetzes standen, sind jetzt auch mit einbezogen.

Während das IT-Sicherheitsgesetz eine nationale Regelung ist, harmonisiert die NIS-2-Richtlinie die Cybersicherheitsregelungen in der gesamten EU.

NIS-2-Richtlinie (Netz- und Informationssicherheitsrichtlinie 2)

Die NIS-2-Richtlinie ist eine EU-weite Gesetzgebung, die darauf abzielt, die Cybersicherheit innerhalb der Europäischen Union zu verbessern. Sie setzt neue, strengere Standards für die Sicherheit von Netz- und Informationssystemen und erweitert den Geltungsbereich auf mehr Branchen und Unternehmen.

Die NIS-2-Richtlinie ist die EU-Richtlinie 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union. Sie soll das Niveau der Cyberresilienz in der Union stärken.

Die europäische Sicherheitsrichtlinie NIS-2 (Netzwerk- und Informationssicherheit) ersetzt die ursprüngliche Richtlinie NIS aus dem Jahr 2016 und erweitert diese um strengere Sicherheitsanforderungen, zusätzliche Branchen bzw. Sektoren und eine höhere Zahl betroffener Betriebe (siehe wikipedia.com).

Die betroffenen Unternehmen müssen sich nach NIS-2 als Teil internationaler Liefer-ketten bis Ende 2024 besser gegen IT-Angriffe schützen: Bereits bis zum 17. Oktober 2024 musste die NIS2-Richtlinie von den einzelnen EU-Mitgliedstaaten in nationales Recht umgewandelt werden. Ab dem 18. Oktober 2024 sind betroffene Betriebe sofort verpflichtet, sich bei der zuständigen nationalen Behörde zu registrieren, Vorfälle zu melden und die Einhaltung der Sicherheitsanforderungen zu gewährleisten.

Der Nachweis der Compliance muss regelmäßig erbracht werden. Anderenfalls drohen empfindliche Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes – je nach Einstufung und Kritikalität der Unternehmen.

Hinweis

Betroffene Branchen bei NIS-1 waren bereits Energie, Finanzmarktinfrastrukturen, Trinkwasser, Digitale Infrastruktur/Netze, Anbieter digitaler Dienste, Gesundheit, Verkehr und Ernährung. Bei NIS-2 kommt noch Forschung, Bankwesen, Weltraum, öffentliche Verwaltung, Abfall, Post- und Kurierdienste, Abwasser, Verwalter von IKT-Diensten, Chemie und die industrielle Produktion hinzu. Dies gilt für Großunternehmen ab 250 Mitarbeiter und mehr als 50 Mio. Euro Umsatz und/oder mehr als 43 Mio. Euro Bilanzsumme. Bei NIS-2 sind auch mittelständische Unternehmen betroffen mit 50–249 Mitarbeiter.

Das NIS2UmsuCG – das deutsche NIS2-Umsetzungsgesetz – ist derzeit allerdings noch in Arbeit. Geplant ist das Inkrafttreten ab März 2025. Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber mit Resilienz und BCM regulieren. Das OpenKRITIS-Mapping von NIS2 auf ISO 27001 und KRITIS erleichtert die Umsetzung.

Wichtig ist hier insbesondere, die Resilienz des Unternehmens zu stärken und zugleich Kosten zu senken. Geschäftsmodelle, Prozesse, Applikationen und Infrastrukturen müssen widerstandsfähig gegen die unterschiedlichsten externen Einflüsse sein und gleichzeitig schnell auf Entwicklungen reagieren können. Die digitale Resilienz ist zu einem der wichtigsten Leistungsindikatoren (KPI) für die digitale Transformation geworden.

Resilienz ist die Flexibilität von Maschinen, Systemen und Organisationen bei sich verändernden Situationen mithilfe digitaler Technologien optimal zu reagieren. Sie müssen widerstandsfähig gegen die unterschiedlichsten externen Einflüsse sein und gleichzeitig schnell auf Entwicklungen reagieren können. Es gilt, das Gleichgewicht zwischen Innovation und Wirtschaftlichkeit zu finden.

Die NIS-2-Richtlinie stellt hohe Anforderungen in Bezug auf Cybersicherheit. Ziel ist es, die Widerstandsfähigkeit (Resilienz) gegen Cyberangriffe zu stärken. Hier sind die zentralen Sicherheitsmaßnahmen für die Umsetzung von NIS-2:

       Kontext Organisation und Governance

       Risikomanagement: Entwicklung und Implementierung eines systematischen Ansatzes zur Bewertung und Minimierung von Cybersicherheitsrisiken. Hinweis: Dies schließt das IT-Risikomanagement mit ein.

       Verantwortlichkeiten: Benennung einer für die Cybersicherheit zuständigen Führungskraft (z. B. Chief Information Security Officer, CISO)

       Schulungs- und Awareness-Maßnahmen: Aufsetzen von vollständigen und wirksamen Schulungs- und Awareness-Maßnahmen sowie regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende

       Policies und Richtlinien: Informationssicherheitsrichtlinie, Risikomanagement und für alle Prozesse und Themenbereiche, wie hier aufgeführt

Hinweis

Die Policies und Richtlinien sollten regelmäßig überprüft, aktualisiert und getestet werden, um den sich ändernden Bedrohungen und technologischen Entwicklungen gerecht zu werden. Sie bilden die Grundlage für die Einhaltung der NIS-2-Vorgaben und für eine wirksame Cybersicherheitsstrategie.

       Informationssicherheitsmanagementsystem (ISMS): Einführung, Etablierung und regelmäßiges Audit des ISMS. Implementierung und Überprüfung notwendiger Maßnahmen wie Aufbau und Optimierung des Risikomanagements, der Berichts- und Meldewege, des Vorfallmanagements, des Business Continuity Managements, des Lieferanten- und Kundenmanagements und weiteres

       Audits: regelmäßige interne und externe Sicherheitsprüfungen

       Berichterstattung: Dokumentation der Sicherheitsmaßnahmen und regelmäßige Berichterstattung an Behörden

       Zusammenarbeit und Informationsaustausch mit u. a.

       CSIRT-Einbindung: Zusammenarbeit mit Computer Security Incident Response Teams (CSIRTs) und Austausch von Bedrohungsinformationen

       Branchenkooperation: Zusammenarbeit mit anderen Organisationen, um Bedrohungsanalysen und Best Practices zu teilen

       Kontext Technische Maßnahmen (TOMs)

       Angemessene Zugriffs- und Zutrittskontrolle: u. a. Implementierung von Maßnahmen wie Multi-Faktor-Authentifizierung (MFA), um unbefugten Zugriff auf Systeme und Daten zu verhindern

       Netzwerksicherheit: Schutz der Netzwerkinfrastruktur durch Firewalls, Intrusion-Detection-Systeme und Netzwerkssegmentierung

       Verschlüsselung: Verwendung von Verschlüsselungstechniken für Daten im Ruhezustand und bei der Übertragung

       Sicherheitsupdates: regelmäßige Installation von Sicherheitsupdates und Patches für Software und Systeme

       Kontext Vorfallmanagement

Für die Meldung von Sicherheitsvorfällen gibt es strenge Meldepflichten. Innerhalb von 24 Stunden muss ein Vorfall gemeldet werden. Bis 72 Stunden muss ein Bericht „Indicators of Compromise“ und innerhalb eines Monats muss ein Abschlussbericht erstellt werden.

       Sicherheitsvorfallmanagement inklusive Berichts- und Meldewege: Konzepte, Implementierung und regelmäßige Überprüfung der Wirksamkeit im Rahmen z. B. des ISMS-Audits

       Meldung von Sicherheitsvorfällen: Einführung eines Prozesses zur Erkennung, Bewertung und Meldung von Sicherheitsvorfällen an die zuständige Behörde (innerhalb von 24 Stunden nach Kenntnisnahme)

       Notfallpläne: Entwicklung von Plänen für die Bewältigung und Wiederherstellung nach Sicherheitsvorfällen

       Tests: regelmäßige Tests von Notfallplänen und Backup-Systemen

       Kontext Business Continuity Management (Resilienz)

       Business Continuity, Backup-, Notfall- und Krisenmanagement: Konzepte, Implementierung und regelmäßige Überprüfung der Wirksamkeit im Rahmen z. B. des ISMS-Audits

       Backup-Strategien: regelmäßige Erstellung und sichere Aufbewahrung von Backups, um Datenverluste zu vermeiden

       Business Continuity Management (BCM): Sicherstellung der Aufrechterhaltung von kritischen Dienstleistungen auch während eines Angriffs

       Durchführung von Penetrationstests zur Detektion von akuten technischen Schwachstellen

       Kontext Lieferkette

       Lieferkettenmanagement inkl. Lieferanten- und Kundenmanagement: Konzepte, Implementierung und regelmäßige Überprüfung der Wirksamkeit im Rahmen z. B. des ISMS-Audits

       Lieferantenmanagement: Bewertung und Überwachung von Cybersicherheits-risiken in der Lieferkette

       Verträge mit Partnern: Aufnahme von Sicherheitsanforderungen in Verträge mit Dritten

       Assetmanagement: Assetmanagement sowie das Lifecycle-Management für IT-Systeme (u. a. Applikationen und IT-Betriebslösungen)

Daneben gibt es noch spezifische Anforderungen für kritische Sektoren.

EU-DSGVO

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) dient zur Vereinheitlichung des Datenschutzrechts in Europa.

Der Schwerpunkt der EU-DSGVO liegt auf der Stärkung der Rechte der Betroffenen (Auskunftsrecht und Recht auf Vergessen) sowie Rechenschaftspflicht der Verantwortlichen zum Nachweis der Grundsätze für die Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, zeitliche Beschränkung, Integrität und Vertraulichkeit der Datenverarbeitung. Siehe hierzu Abschnitt 1.2.5.

Lieferkettengesetz (Lieferkettensorgfaltspflichtengesetz – LkSG)

Das Lieferkettengesetz trat in Deutschland am 25. 07. 2024 in Kraft. Es verpflichtet Unternehmen mit mindestens 1000 Mitarbeitenden, entlang ihrer gesamten Lieferkette menschenrechtliche und umweltbezogene Sorgfaltspflichten einzuhalten. Ziel ist es, Menschenrechtsverletzungen, Umweltzerstörungen und andere schädliche Praktiken in globalen Lieferketten zu verhindern (siehe www.bmz.de).

Die Sorgfaltspflicht der Unternehmen erstreckt sich durch das Lieferkettengesetz grundsätzlich auf die gesamte Lieferkette. Dies fängt bei der Gewinnung der Rohstoffe an und geht bis hin zu der Lieferung an den Endkunden.

Die Einhaltung des Gesetzes wird durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) überprüft. Die Unternehmen müssen regelmäßige Berichte bei der BAFA einreichen. Diese kontrollieren die Unternehmensberichte und gehen eingereichten Beschwerden nach. Bei Versäumnissen oder Verstößen kann das BAFA Bußgelder verhängen oder Unternehmen von der öffentlichen Beschaffung ausschließen.

Die Anforderungen an die Unternehmen sind abgestuft, insbesondere nach dem Einflussvermögen auf den Verursacher der Menschenrechtsverletzung oder der Umweltverschmutzung, der Schwere der (potenziellen) Verletzung sowie nach den unterschiedlichen Stufen in der Lieferkette. Bei klaren Hinweisen auf Verstöße müssen Unternehmen tätig werden.

Für betroffene Unternehmen ist hierzu notwendig:

       Etabliertes Risikomanagement, um Risiken in der Lieferkette zu identifizieren und zu bewerten

       Klare Verantwortlichkeiten für die Umsetzung

       Ergreifung von Maßnahmen zur Prävention und Abhilfe bei festgestellten Risiken oder Verstößen auch bei direkten und indirekten Zulieferern

       Einrichtung eines Beschwerdeverfahrens für Betroffene

       Erstellung von regelmäßigen Berichten an die BAFA über die Einhaltung der Sorgfaltspflichten und Wirksamkeitsanalyse der Maßnahmen

Das Lieferkettengesetz führt bei den betroffenen Unternehmen zu einem erhöhten Dokumentationsaufwand, da die Unternehmen detaillierte Informationen über Lieferanten und Produktionsbedingungen sammeln und aufbereiten müssen. Zudem sind entsprechende Verträge und stärkere Kontrollen (z. B. Audits) der Lieferanten entlang der Lieferkette erforderlich.

DIN EN ISO 14001, Umweltmanagement für Umweltschutz

Die Bedeutung des Umweltmanagements wächst sowohl im öffentlichen Interesse als auch auf strategischer Ebene im Unternehmen zusehends. Eine Zertifizierung nach DIN EN ISO 14001 erfordert zwar ein Umweltmanagementsystem, hat aber das Potenzial für Ressourceneinsparungen und stärkt die Wettbewerbsfähigkeit des Unternehmens.



Tausende von E-Books und Hörbücher

Ihre Zahl wächst ständig und Sie haben eine Fixpreisgarantie.