fbpx

Cybersicherheits-Compliance: Bewältigung regulatorischer Anforderungen für Unternehmen

Teilen:
Foto: Symbolbild / Freepik

Die Compliance zur Cybersicherheit in Deutschland umfasst insbesondere die DSGVO und das 2021 verabschiedete IT-Sicherheitsgesetz 2.0.

Was besagt das Gesetz?

Das IT-Sicherheitsgesetz 2.0 konkretisiert die Anforderungen an die IT-Sicherheit für Betreiber von kritischen Infrastrukturen. Zu KRITIS zählen

Anzeige
  • Gesundheit
  • Energieversorgung
  • Ernährung
  • Staat und Verwaltung
  • IT und TK
  • Transport und Verkehr
  • Medien und Kultur
  • Wasser
  • Finanzen und Versicherung
  • Abfallwirtschaft

Was wird verlangt?

Betreiber von kritischer Infrastruktur (KRITIS) sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Dazu gehören z.B. Intrusion Detection Systems (IDS). Weiterhin sind die Unternehmen verpflichtet, Reaktionspläne und Präventionsmaßnahmen auszuarbeiten. Mithilfe von Desaster Recovery Szenarien soll bei massiven Versorgungsstörungen die effektive Instandsetzung und Arbeitsfähigkeit gewährleistet werden.

Alle Betreiber von KRITIS müssen ihre IT-Systeme auf den neuesten Stand der Technik bringen, der vom BSI (Bundesamt für Sicherheit) definiert wird. Der Nachweis kann durch Sicherheits-Audits Prüfungen oder Zertifizierungen (z. B. ISO 27001) erbracht werden. Gemäß des IT-Sicherheitsgesetze 2.0 (IT-Sig 2.0) muss der neueste Stand der Technik alle zwei Jahre nachgewiesen werden.

Wie ist der Ablauf?

Die Prüfung beinhaltet beispielsweise ein Security-, Nutzungs- und Berechtigungsmonitoring. Ganz wichtig sind Schwachstellenanalyse und Penetrationstests für das eigene Unternehmen und für Kunden. Diese erfolgen beispielsweise durch Use Case Implementierung (automatisierte Nutzungskontrollen) bzw. SIEM (Security Incident und Event Management). Hier gibt es gibt viele Bewertungen zu McAfee Antivirus, eine spezielles SIEM (Security Information Event Management). Es bietet technische Lösungen, um Datenverkehr und Protokolle auf Angriffe zu prüfen. Die Kontrolle der Daten aus verschiedenen Quellen erfolgt in Echtzeit. Ihre Analyse lässt Sicherheitsbedrohungen und Schwachstellen erkennen.

Der Interpretationsspielraum bei der Compliance richtet sich nach der Größe des Instituts. An kleinere Institute werden niedrigere Maßstäbe gestellt als an systemrelevante Institute mit großen Bilanzsummen.

Was ist sonst noch notwendig?

Damit Cybersicherheit-Compliance funktioniert, darf sich die Aufmerksamkeit nicht nur auf die IT beschränken. Compliance liegt in der Verantwortung des Vorstands, der leitenden Angestellten und Geschäftsführung jeder Organisation. Sie müssen keine operativen Details kennen. Sie müssen jedoch das Thema ernst nehmen und über neue Gesetzgebungen oder Entwicklungen informiert sein. Es gibt viele gute Software, doch ein noch so gutes Programm alleine reicht nicht aus. Das Verhalten der Führung, die Unternehmenskultur sind mindestens genauso wichtig.

Laut FBI erfolgen mehr als Dreiviertel alle erfolgreichen Cyber-Angriffe über das Konto einer Person, die autorisiert ist, sich im Netzwerk aufzuhalten. Die Zugangsdaten wurden gestohlen oder auf andere Weise entwendet. Keine Abwehrtechnologie wird einen autorisierten Benutzer daran hindern, auf das Netzwerk und die darin enthaltenen Daten zuzugreifen.

Der Mensch ist und bleibt die größte Schwachstelle. Jeder kann durch Social Engineering (Phishing-Mails, raffinierte Links) getäuscht werden. Jeder vergisst einmal, den USB-Stick durch den Schleusen-PC zu schicken. Solche Fehler müssen angstfrei und sofort angesprochen werden können.

Bewältigung regulatorischer Anforderungen für Unternehmen

Der KRITIS-Bereich wurde deutlich ausgeweitet, auch kleine und mittelständische Unternehmen können betroffen sein. Prinzipiell ist Cybersicherheit in jedem Unternehmen ein sehr wichtiges Thema. Jeder Betrieb benötigt ein Konzept, einen Notfallplan und insbesondere Ansprechpartner. Unterschiedliche Einzellösungen verkomplizieren die Abläufe. Einheitliche Abläufe, Datenschutz- und IT-Sicherheitsbeauftragte müssen in jedem Betrieb selbstverständlich sein – pro Team und pro Einheit.

Wichtig ist aber auch, das Nadelöhr in jedem Betrieb zu identifizieren. Vielleicht ist gar nicht die Produktion der kritischste Geschäftsprozess, sondern die Buchhaltung. Es gibt viele Bewertungen zu McAfee Antivirus, es ist ein sehr leistungsfähiges Programm. Doch in einem digitalen Umfeld kann sich das Risiko an einer Stelle verstecken, an der es keiner erwartet. Beispielsweise sind in der Industrial-IT teilweise ältere Systeme im Einsatz als bei der Hardware der Endanwender.

Fazit

Cybersecurity-Compliance ist keine einmalige Angelegenheit. Die Zertifizierungen finden vielleicht jährlich statt, aber auch zwischen den Beurteilungen muss die Sicherheit kontinuierlich gewährleistet sein.

Ein Compliance Management wird nicht einmal aufgestellt, sondern ständig angepasst, verbessert und verändert. IT-Sicherheit ist kein Projekt, es ist ein kontinuierlicher Prozess, der in der Unternehmenskultur verankert sein muss.

/Externer Inhalt/

Anzeige
Teilen:
0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments
Mehr von PolenJournal.de
adddddd

Immer bestens informiert mit PolenJournal.de

Top-News, Tipps und Ratgeber für den Alltag und Urlaub in Polen – kostenlos an Ihre E-Mail-Adresse in nur zwei Schritten:

1. Geben Sie Ihre E-Mail Adresse ein
2. Klicken Sie auf „kostenlos abonnieren“

Mit dem Anklicken von „kostenlos abonnieren“ erteile ich die Einwilligung, dass Digital Monsters Sp. z.o.o mir Newsletter per E-Mail mit Produktangeboten und/oder Medienangeboten auf Basis meiner persönlichen Nutzung zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.

Wenn Sie unsere Newsletter nicht mehr erhalten möchten, können Sie diese jederzeit abbestellen, indem Sie einfach auf den Link „Abbestellen“ in der Fußzeile des Newsletters klicken oder eine E-Mail an redaktion@polenjournal.de senden.

Aufgrund Ihres Blockers zeigen wir PolenJournal.de nicht an.
Liebe Leserinnen, liebe Leser, guter Journalismus hat nicht nur einen Wert, sondern kostet auch Geld. PolenJournal.de finanziert sich durch Werbeeinnahmen. Deaktivieren Sie Ihre Blocker, damit die Inhalte auf PolenJournal.de weiterhin kostenlos bleiben können.
So deaktivieren Sie Ihre Blocker
  1. Klicken Sie auf das Symbol Ihres Werbe- oder Cookiebanner-Blockers in der oberen rechten Ecke Ihres Browsers.
  2. Klicken Sie auf den farbigen Regler, der Ihnen anzeigt, dass Werbung auf PolenJournal.de geblockt wird.
  3. Aktualisieren Sie die Seite und genießen Sie kostenlose Inhalte auf PolenJournal.de.

A Sale Promotion

A description of the promotion and how the visitor could claim the discount