Datensicherheit

Auf welche Sektoren wirkt sich das IT-Sicherheitsgesetz in Deutschland aus? Was genau sind kritische Infrastrukturen (KRITIS)? Und vor allem: Was müssen betroffene Unternehmen tun?

Wenn eine Aufsichtsbehörde das Wechseln von Passwörtern nicht für nötig hält, lässt das aufhorchen. Doch sind die Alternativen für Unternehmen überhaupt praktikabel?

Wie unterscheiden sich die beiden Normen für Informationssicherheit? Was haben ISO/IEC27001 und ISO 27001 auf Basis IT-Grundschutz gemeinsam? Welche Aspekte werden für die Zertifizierung geprüft? Unsere Übersicht hilft!

Unternehmen, die im Bereich der erneuerbaren Energien bzw. der Energie-Infrastruktur tätig sind, freuen sich seit Jahren über ein schnelles Wachstum. Da kann es schnell passieren, dass die Unternehmens-IT nicht mehr den höchsten Anforderungen entspricht. Wie man mit Hilfe eines externen Sicherheitsbeauftragten die gesamte IT austauscht und eine Sicherheitszertifizierung nach ISO 27001 meistert, zeigt das Best Practice der Lampe Equity Management GmbH.

Für IT-, Strategie-, Management- und Unternehmensberatungen spielen Datenschutz und Datensicherheit eine herausragende Rolle. Denn der Umgang mit Daten von Kunden und deren Kunden gehört in Zeiten von Cloud-Computing, Big-Data und Business-Intelligence zum Alltag. Ein gut implementiertes Informationssicherheits-Managementsystem (ISMS) hilft hierbei gleich zweifach: Zum einen stellt ein ISMS unternehmensintern sicher, dass IT-Sicherheitsvorkehrungen den gesetzlichen Mindestanforderungen genügen und stetig optimiert werden. Zum anderen zeigt ein ISMS – wenn es etwa nach der bekannten Norm ISO 27001 zertifiziert ist – gegenüber Kunden und Geschäftspartnern, welch hohen Stellenwert die Datensicherheit einnimmt. Zwei schlagende Argumente auch für die Infosys Consulting GmbH, wie Helena Saldanha, zuständig für Verträge und Compliance, im Best Practice Interview erklärt.

Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren IT-Sicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Bei der Einschätzung vorliegender Managementsysteme helfen vor allem anerkannte ISO-Zertifizierungen. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best-Practice-Interview.

Bereits im Juli 2015 wurden Betreiber von Websites durch das IT-Sicherheitsgesetz verpflichtet, ihre technische Umgebung ausreichend zu schützen. Auch die EU-Datenschutz-Grundverordnung (DSGVO) fordert allgemein, dem Stand der Technik entsprechende Sicherheitsmaßnahmen. Die Anforderungen sind jedoch sehr offen formuliert. Dieser Beitrag erklärt, welche IT-Sicherheitsmaßnahmen Websitebetreiber zu treffen haben.

E-Mail-Marketing und die (teil-)automatisierte Vertiefung von Kundenbeziehungen mit Inhalten (Lead-Management) erfordern aufgrund ihrer Komplexität ausgereifte technische Lösungen. Außerdem sollte bei solchen Angeboten als Software as a Service (SaaS) in besonderem Maße auf IT-Sicherheit und Datenschutz geachtet werden. So ist es etwa datenschutzrechtlich spätestens seit dem Ende von Safe Harbor schwierig, auf US-amerikanische Anbieter zu setzen. Stattdessen lohnt es sich, E-Mail-Marketing-Anbieter aus Deutschland in Erwägung zu ziehen. Einer davon ist die SC-Networks GmbH mit dem Produkt Evalanche. Bereits seit einigen Jahren ist ein Experte der activeMind AG bei SC-Networks als externer Datenschutzbeauftragter bestellt. Nun begleiteten wir das Unternehmen als externer IT-Sicherheitsbeauftragter auch zur erfolgreichen ISO 27001 Zertifizierung. SC-Networks Geschäftsführer Martin Philipp erklärt im Folgenden, welche Anforderungen und Maßnahmen gemeinsam mit der activeMind AG umgesetzt werden konnten.

Damit ein Informationssicherheitsmanagementsystem (ISMS) funktioniert, muss die Situierung des Unternehmens angemessen erfasst werden. Denn nur wenn sämtliche Einflüsse auf das Unternehmen bekannt sind, kann eine vollumfängliche Abschätzung der Bedrohungen und Chancen erfolgen. Wichtig ist es daher, dass das Unternehmen als Teil einer Gesamtstruktur gesehen wird, welche nicht allein von internen Faktoren beeinflusst sondern auch von externen Faktoren affektiert wird. Die neue deutsche Version (DIN ISO/IEC 27001:2015) der ISO 27001 Sicherheitsnorm formuliert konkrete Anforderungen, wie dies geschehen sollte. Wir erklären das Procedere in drei Schritten.

Durch die Einführung der neuen deutschen Version DIN ISO/IEC 27001:2015 haben sich auch die Vorgaben für die Risikoanalyse im Rahmen der ISO 27001 verändert. Grund dafür ist der Verweis der Risikoanalyse auf die ISO/IEC 31000 Norm, welche Grundsätze und Richtlinien für ein funktionierendes Risikomanagement festlegt. Daher erfahren Sie in diesem Artikel alles Wichtige zu Planung und Durchführung der Risikoanalyse entsprechend des neuen Sicherheitsstandards.