Zum Inhalt springen

Risikominimierung

Klarheit in Bezug auf die tatsächlich zu schützende Risikoobjekte

Risikoeinschätzung und Informationssicherheit wird zunehmend ein fester Bestandteil von Geschäftsbeziehungen. Damit Geschäftspartner auch in dieser Angelegenheit auf Augenhöhe kooperieren, bietet ein Managementsystem für Informationssicherheit inklusive ISO-Zertifizierung verbriefte Sicherheit.

Unternehmen müssen heute unterschiedlichste Regeln in der Informationstechnologie und darüber hinaus einhalten, um ihre Informationen zu schützen. Während es einerseits immer wichtiger wird, die eigenen Daten gut zu verwalten und zu hüten, damit beispielsweise Patente oder Geschäftsberichte nicht abhanden kommen, unterliegen personenbezogenen Daten besonders strengen gesetzlichen Bestimmungen. Generell nehmen sehr viele Unternehmen in Deutschland den Datenschutz durchaus ernst. Konkrete Anleitungen für die Informationssicherheit gibt der Gesetzgeber jedoch nicht vor. Eine sehr gute Möglichkeit den Datenschutz und die Datensicherheit systematisch im Unternehmen und der IT zu verankern ist die Einführung eines Managementsystems für Informationssicherheit (ISMS). Ein solches Managementsystem findet nicht nur im eigenen Unternehmen Anwendung, sondern auch in der Zusammenarbeit mit anderen Unternehmen, Dienstleistern oder IT-Providern wie beispielsweise Business-Hosting-Unternehmen. Das Managementsystem für Informationssicherheit ist zwingender Bestandteil der weltweit anerkannten ISO 27001 Zertifizierung und es schafft Transparenz und Verlässlichkeit in der Zusammenarbeit zwischen Unternehmen. Die sogenannte High Level Structure ist das Grundgerüst eines ISMS und gleichzeitig auch der Unterbau für weitere Zertifizierungen wie Umweltmanagement nach ISO 14001 oder Qualitätsmanagement nach ISO 9001.

Besondere Informationssicherheit in der IT-Dienstleisterkette

Rechtliche Vorschriften zur Informationssicherheit ergeben sich für alle Unternehmen bereits im Rahmen der Sorgfaltspflicht. Mit der ab Q2/2018 verbindlichen Datenschutzgrundverordnung (DSGVO) wird Informationssicherheit praktisch zur Pflicht für alle Unternehmen. Dabei sollte man nicht außer Acht lassen, dass diese Anforderungen auch in der Zusammenarbeit von Firmen Bestand hat und damit eine durchgängige Kette darstellt. Eine ganz besondere Rolle spielen hierbei die sogenannten KRITIS-Unternehmen, welche kritische Infrastrukturen bereitstellen. Dazu gehören nach heutigem Stand die wichtigsten Unternehmen und Versorger aus den Bereichen Energie, Gesundheit, Staat und Verwaltung, Ernährung, Transport und Verkehr, Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, Medien und Kultur sowie Wasser. Diese müssen das sehr strenge IT-Sicherheitsgesetz (ITSiG) erfüllen. Nun könnte man meinen, dass die meisten Unternehmen dies nicht betrifft. Doch ist bereits in der Diskussion, ob nicht auch Geschäftspartner und Dienstleister der KRITIS-Unternehmen diese Regeln erfüllen müssen. Geht man von durchgängigen Ketten an Dienstleistern und Geschäftspartnern aus, kann sich sehr schnell ein großer Bedarf ergeben. Unter dieser Betrachtung könnten viele Unternehmen die KRITIS-Anforderungen erfüllen müssen, obwohl sie selbst nicht unter diese Definition fallen. Abhilfe schafft auch hier ein Managementsystem für Informationssicherheit, das in Verbindung mit einer entsprechenden Zertifizierung die Informationssicherheit über die gesamte Dienstleisterkette hinweg gewährleistet, wie es beispielsweise der Berliner Business Hoster Mpex garantiert.