Eitel Consulting - Unternehmensberatung und Interim Mnagement
Beraten und auditieren von Informationssicherheit und IT Regulatorik

Information Security - weitere Infos


Aktuelle Lage


In den letzten Jahren stiegen sowohl die Fallzahlen für Cyberkriminalität, als auch die Schadenssummen beständig an. Sowohl weltweit als auch innerhalb von Deutschalnd hat die Bedrohungslage zugenommen, was auch den entsprechenden Berichten und Statiken des Bundeskriminalamtes unter   https://www.bka.de zu entnehmen ist. Es geht in diesem Zusammenhang um Schadsoftware und um entsprechende Lösegelderpressung zur Freigabe verschlüsselter Daten (Ransomeware), Computer-Spionage - auch mit Hilfe sozialer Kontakte (social engineering), bzw Daten-Diebstahl, Identitäts-Diebstahl, Cyber-Betrug, aber auch Industrie- und Werksspionage u.v.m.


Für Unternehmen und Privat-Personensind dadurch die IT Risiken deutlich gestiegen und steigen weiter. Die Wahrscheinlichkeit, dass ein Unternehmen oder auch eine Privatperson von einem Cyber-Crime Vorfall betroffen ist hat sich deutlich erhöht und steigt weiter. Die Schäden die sich gerade im Unternehmensbereich ereignen steigen an. Versicherungen fordern zunehmend Maßnahmen vom Versicherten, um die Deckung noch zusagen zu können oder erhöhen Selbstbeteiligungen oder deckeln Schäden durch die Reduzierung von Versicherungssummen.

Unternehmen erleiden durch Infomationssicherheits-Vorfälle nicht Schäden an Daten und IT Einrichtungen. Oft führen Verfügbarkeitsstörungen der IT zu Produktionsausfällen, Reputationsverlust und Abwanderung von Kunden, Strafen und Bußgelder wegen zu schwachen Maßnahmen zur Gewährleistung des Datenschutzes. Prinzipiell können sich hierdurch für betroffene Unternehmen existenzielle Bedrohungen ergeben.


Unternehmen der kritischen Infrastruktur, regulatorische Vorgaben


Zu den KRITIS Unternehmen zählen die Unternehmen, die in gewissen Schlüsselbranchen eine Betreuung von rund 500.000 Verbrauchern (Faustformel) sicherstellen. Neben Banken und Versicherungen, Ernährung, Energie gehören auch Gesundheitswesen, Wasserversorgung etc. in diesen Bereich. Die Unternehmen bzw Unternehmenszweige kritischer Infratruktur müssen besondere Auflagen erfüllen und sind zur engen Kommunikation mit dem Bundesamt für Sicherheit in der Informationstechnologie (BSI) verpflichtet über das BSI Gesetz und die BSI Kritis Verordnung. Für die kritische Infrastruktur müssen gewisse Schutznahmen in Sachen Informationstechnologie von den Betreibern eingehelten werden. Diese sind ergänzend zu den ohnehin schon existierenden Vorgaben zu verstehen. Diese ergeben sich z.B. durch die MARISK und BAIT, VAIT usw. für das Kredit- und Versicherungswesen, TKG für Telekommunikationsunternehmen usw. Das BSIG sieht u.a. Meldepflichten für Sichergeitsvorfälle vor und empfingliche Strafen für diesbezügliche Verstöße.


DIN EN ISO 27001


Um IT Sicherheit ganzheitlich zu betrachten und ins Unternehmen einzubinden kann u.a. die DIN ISO 27001 herangezogen werden. Sie bietet einen Rahmen wie ein IT Sicherheits Managament System aufgebaut werden kann und liefert gewisse Controls und Kritieren die dabei zu bachten sind. Nach ISO 27001 ist eine Zertifizierung möglich, wenn sich z.B. ein IT Dienstleister (z.B. Rechenzentrum) nach aussen entsprechen darstellen will oder muss, um für bestimmte Auftraggeber als Partner in Frage zu kommen. Das BSI hat ein eigenes Managementsystem in Anlehnung an die IST 27001 aufgelegt und bietet auch die Möglichkeit einer Zertifizierung nach "BSI Grundschutz". Dies ist v.a. für Unternehmen von Bedeutung die für öffentliche Auftraggeber tätig sind oder sein wollen. Das BSI bietet zum Grundschutz ein umfassendes Kompendieum, das Unternehmen im Rahmen der Infomationssicherheit nutzen können. Die Infomationen dazu sind kostenfrei und können über die BSI Webseite recherchiert werden  https://www.bsi.bund.de  


Stand der Technik:


Der Stand der Technik ist die Technik zum Schutz der IT auf dem Markt verfügbar ist, um z.B. die technisch notwendigen Maßnahmen für den Datenschutz anzuwenden. Der gegenbegriff ist quasi Forschung und Entwicklung, also neue Technologie, die am Markt nicht erhältlich ist. EIn Beispiel ist die 2 Faktor Authentifizierung. Bei Online Shops sollte zum Schutz von Kunden 2 Faktor Authentifizierung durch den Shop-Betreiber dem Kunden zur Verfügung gestellt werden. In Deutschland bringt der Bundesverbank IT-Sicherheit e.V. alle 1-2 Jahre eine Handreichung zum Stand der technik heraus. Dem ist zu entnehmen was derzeit am Markt verfügbar ist und damit Stand der Technik ist. siehe dazu  https://www.teletrust.de.

Wenn man sich nicht an den Stand der Technik hält und es kommt deswegen z.B. Datenschutzverletzungen, können ggf empfindliche Bussgelder im Rahm stehen. Dabei ist jedoch auch die Angemessenheit zu berücksichtigen. Man erwartet von einer Großbank andere technische Schutzmaßnahmen als von einem 2-Mitarbeiter-Betrieb, der einen kleinen Online Shop betreibt.


ISACA


Die ISCA ist ein oder der internationale Berufsverband für IT Sicherheit und Die Steuerung und Überwachung von IT Systemen. Über die ISACA (unter anderen) können entsprechenden Schulungen besucht und Berufszertifikate (z.B. Für Auditoren IS - Manager etc - CISA, CSIM, etc) erworben werden. Die ISACA unterhält in Deutschland ein eigene Chapter, das wiederum national Schulungen usw. anbietet. Siehe dazu  https://www.isaca.org/  und  https://www.isaca.de/ für weitere Infomationen.