Das IT-Sicherheitsgesetz (IT-SiG) ist am 25. Juli 2015 in Kraft getreten und damit gewann der Schutz kritischer Infrastrukturen (KRITIS) hierzulande an Bedeutung. Mithilfe verschärfter Regularien möchte es die Bundesregierung schaffen, wichtige deutsche Wirtschaftsbereiche vermehrt und effizienter vor Cyberangriffen zu schützen. Verantwortlich für die Definition von KRITIS zeigt sich das Bundesamt für Sicherheit in der Informationstechnik (BSI): Darunter fallen sämtliche Einrichtungen sowie Institutionen, die für das nationale Gemeinwesen eine relevante Rolle spielen. Organisationen also, bei denen Ausfälle sowie Beeinträchtigungen zu nachhaltig einwirkenden Versorgungsengpässen, zu bedeutenden Störungen innerhalb der allgemeinen Sicherheit oder zu anderen weitreichenden Konsequenzen führen.
Betroffene Unternehmen und Institutionen haben zwei Jahre Zeit, um ein ISMS zu etablieren. Und diese Übergangszeit sollte genutzt werden, denn bei Nichtbeachtung drohen Geldbußen von bis zu 100.000 Euro.
Insbesondere zahlreiche KMU haben derzeit kein ISMS etabliert. Hier kann jedoch eine schlanke Sicherheitsorganisation Abhilfe schaffen: selektiv lassen sich Best Practice-Ansätze verwenden, die der ISO 27001 oder dem BSI IT-Grundschutz entspringen.
Eine Ausnahme bilden Kleinstunternehmer: Firmen mit weniger als 10 Mitarbeitern und einem Jahresumsatz, der unter 2 Mio. Euro liegt, sind nicht vom IT-Sicherheitsgesetz betroffen. Unternehmen, die unsicher sind, ob sie zu KRITIS gehören, können sich ans BSI wenden und dort nachfragen.
Betreiber von Webservern zählen zwar nicht zu KRITIS, sind jedoch dennoch vom IT-SiG betroffen. Jeder, der einen Webserver betreibt, etwa für einen Online-Shop, ist per Gesetz verpflichtet, technische sowie organisatorische Maßnahmen zu ergreifen, die dem Schutz der Kundendaten und dem der verwendeten IT-Systeme zugutekommen. Das bedeutet, dass jeder Webshop, aber auch Blogger, die beispielsweise Bannerwerbung einblenden und damit kommerzielle Blogs betreiben, sämtliche Angebote auf dem neuesten Stand der Technik halten müssen. Es gilt, zu verhindern, dass Daten manipuliert oder gestohlen werden (Verschlüsselung), jedoch auch, dass Computerviren oder Trojaner den Rechner des Nutzers infizieren (Viren- und Hacker-Schutz).
Betreiber von kritischen Infrastrukturen sind per IT-Sicherheitsgesetz verpflichtet, Sicherheitsvorfälle zu melden, Mindeststandards der IT-Sicherheit einzuhalten und deren Umsetzung regelmäßig nachzuweisen. Konkret:
Ihre Sicherheit ist unser Fokus: Seit 18 Jahren vertrauen namhafte Unternehmen auf unsere langjährige und zertifizierte Expertise. Die Sicherheit von Daten und Informationen ist für Unternehmen erfolgskritisch: Daten müssen vertraulich, integer und verfügbar sein. Die Prävention von ungewolltem Datenabfluss – sei es durch Wirtschaftsspionage oder Anwendungsfehler –, Datenmanipulationen, die größtenteils unbemerkt ablaufen, sowie daraus entstehende mangelnde Datenverfügbarkeit hat somit höchsten Stellenwert für jedes Unternehmen in nahezu jeder Branche.
Sie suchen Know-how und Expertise, Kundennähe und kompetente Beratung, auf die Anforderungen Ihres Unternehmens zugeschnitten? Möchten Sie bestmöglichst ausgebildet werden hinsichtlich Informationssicherheit nach ISA+, ISO 27001 und auf höchstem Niveau beraten werden und entsprechende Awareness-Maßnahmen ergreifen? Dann sind Sie bei uns genau richtig: