Noch keinen Zugang? Dann testen Sie unser Angebot jetzt 3 Monate kostenfrei. Einfach anmelden und los geht‘s!
Angemeldet bleiben
Ausgewählte Ausgabe: 11-2017 Ansicht: Modernes Layout
| Artikelseite 1 von 3

Transparent melden und nachweisen

IT-SICHERHEIT | Mit der 2014 verabschiedeten „Digitalen Agenda“ will die Bundesregierung den digitalen Wandel aktiv begleiten und mitgestalten, um die Zukunftsfähigkeit des Landes zu sichern. Ein wichtiger Baustein ist das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz, das die gesetzlich verbindliche Etablierung eines Mindestniveaus an IT-Sicherheit zum Gegenstand hat. Davon betroffen sind Unternehmen aus den Sektoren Energie, Wasser, Informationstechnik, Telekommunikation, Ernährung, Finanzen, Transport, Verkehr und Gesundheit, die kritische Infrastrukturen, sogenannte Kritis, betreiben.


Ein DMS bringt Ordnung in die unzähligen, verschiedensten Dokumente, mit denen Kritis-Betreiber die Einführung und den Betrieb des ISMS dokumentieren müssen.

Ein DMS bringt Ordnung in die unzähligen, verschiedensten Dokumente, mit denen Kritis-Betreiber die Einführung und den Betrieb des ISMS dokumentieren müssen.

Die Umsetzung des IT-Sicherheitsgesetzes erfolgt in zwei Phasen: Zunächst sind nur Kritis-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen, die anderen ziehen später nach. Ab Mai 2016 hatten die Betroffenen sechs Monate Zeit, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Kontaktstelle für Vorfallmeldungen zu nennen. Zudem müssen sie ihre IT bis Mai 2018 nach dem Stand der Technik absichern, etwa nach nationalen oder internationalen DIN- oder ISO-Standards. Schließlich hätten Versorgungsengpässe oder gar komplette Systemausfälle dramatische Folgen – sowohl für Verbraucher als auch für Wirtschaft und Staat.

Einführung eines ISMS

Einhergehend mit dem Gesetz zur Steigerung der Sicherheit informationstechnischer Systeme sind neue Pflichten zur Erhöhung von Abwehrmaßnahmen sowie Nachweis- und Meldepflichten. Zudem müssen Kritis-Betreiber als Mindeststandard ein Informations-Sicherheits-Management-System (ISMS) einführen, mit dem sie Sicherheitsrisiken und IT-Störungen überwachen, bewerten, steuern und melden können. Hierfür sind folgende Voraussetzungen erforderlich:

  •  einen Nutzstrukturplan zu erstellen, der die schutzbedürftigen Komponenten des eigenen Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und Schnittstellen umfasst,
  •  eine Schutzbedarfsanalyse durchzuführen, die die Ziele der Informationssicherheit berücksichtigt (Authentizität, Vertraulichkeit, Integrität und Verfügbarkeit),
  •  einen IT-Sicherheitsbeauftragten zu bestellen, der die Koordination, Verwaltung und Kommunikation der Informationssicherheit übernimmt,
  •  ein Zertifikat zu erwerben, das die Konformität des ISMS mit der Norm ISO/IEC 27001 bestätigt.

Transparente Dokumentation

Mit der bloßen Einführung eines ISMS ist es aber nicht getan. Ebenso wichtig ist die Dokumentation der vorgenommenen sicherheitsrelevanten Anpassungen. Sie müssen jederzeit nachweisen können, dass sie sich mit den erforderlichen Maßnahmen zum Management von IT-Risiken auseinandergesetzt und dass sie die verbindlichen Vorgaben des IT-Sicherheitskatalogs umgesetzt haben. Auch für den Fall eines Cyberangriffs ist sauber zu dokumentieren, dass die betroffenen IT-Systeme gemäß IT-Sicherheitsgesetz aufgestellt sowie geschützt sind und dass das BSI über den Vorfall korrekt informiert wurde. Sind Betreiber von Kritis dazu nicht in der Lage, drohen Bußgelder in Höhe von bis zu 100 000 €. Am einfachsten kommen Unternehmen der Dokumentationspflicht mit einem professionellen Dokumentenmanagement-System (DMS) nach. Es leistet insbesondere in drei Bereichen wertvolle Unterstützung: bei der Erstellung, Verbreitung und Archivierung von Dokumenten.

Dokumente im DMS erstellen

Allein bei der Einführung des ISMS und bei der Erarbeitung des Netzstrukturplans entstehen Unmengen verschiedenster Dokumente: Anforderungsanalysen, Lastenhefte, Zeitpläne, Protokolle, Technologie-, Prozess- und Schnittstellenbeschreibungen usw. Ohne ein DMS würden Unternehmen die benötigten Dokumente am PC erstellen, bearbeiten und finalisieren, ausdrucken, gegebenenfalls unterschreiben lassen, versenden und / oder in einer Akte ablegen beziehungsweise einscannen und digital ablegen – ein höchst zeitraubendes und zugleich fehleranfälliges Vorgehen.

Seite des Artikels
Autoren

 Matthias Kunisch

Geschäftsführer, forcont business technology GmbH, Leipzig

Verwandte Artikel

Sicherer, weil effizienter

IT-Sicherheit hat viele Dimensionen

Verfügbarkeit, Zuverlässigkeit, Sicherheit

Jede Kilowattstunde effizient genutzt

Schwachstelle Mensch im Fokus