Aktuelles, Experten - geschrieben von dp am Dienstag, Juli 5, 2016 23:24 - noch keine Kommentare
KRITIS: TÜV Rheinland beschreibt fünf Vorteile der ISO 27001 für Betreiber
Verbleibende Zeit zur Implementierung eines Systems sollte nicht unterschätzt werden
[datensicherheit.de, 05.07.2016] Strom- und Gasnetzbetreiber haben nur noch bis Ende Januar 2018 Zeit, einen angemessenen IT-Schutz „gemäß dem aktuellen Stand der Technik“ zu implementieren – doch auch für andere Betreiber Kritischer Infrastrukturen (KRITIS) wie z.B. Energieversorger, Telekommunikationsprovider und Krankenhäuser wird die Zeit knapp. Diese sollten lieber heute als morgen mit den Vorbereitungen beginnen, empfiehlt Bruno Tenhagen, Experte für Informationssicherheits-Managementsysteme (ISMS) bei TÜV Rheinland.
Weg zum Ziel freigestellt
Durch das neue, Mitte 2015 in Kraft getretene IT-Sicherheitsgesetz sähen sich KRITIS-Betreiber verschärften Auflagen für die Netz- und Informationssicherheit gegenüber. Ziel sei es – trotz wachsender Bedrohung durch Cyber-Angriffe – größere Ausfälle in der Versorgungssicherheit zu vermeiden.
Für viele Branchen lasse der Gesetzgeber jedoch offen, wie KRITIS-Betreiber dieses IT-Sicherheitsniveau realisieren. „Wenn der aktuelle Stand der Technik gefragt ist, kann nichts weniger gemeint sein als die Einführung eines Informationssicherheits-Managementsystems“, sagt Tenhagen. Wahlweise könnten sich die Unternehmen für den „IT-Grundschutz“ des BSI oder ein ISMS gemäß ISO/IEC 27001 entscheiden; möglich sei auch die Einführung eines Branchenstandards. Allerdings müsse dieser in Form einer verabschiedeten Verordnung in Kraft getreten sein.
Eher Chance denn zusätzliche Belastung!
Tenhagen sieht fünf Gründe, warum KRITIS-Betreiber die Auflage nach der Einführung eines Informationssicherheitsmanagements, z.B. nach ISO 27001, als Chance und nicht als zusätzliche Belastung begreifen sollten:
- Ein ISMS schafft Handlungsoptionen und eröffnet Spielräume
Organisationen, die z.B. ein ISMS gemäß ISO 27001 implementieren, müssen ihre Risiken gezielt identifizieren und angemessen behandeln – damit können sie diese auch aktiv steuern. Tenhagen: „Risikoermittlung und -bewertung sind unerlässlich für Organisationen, die gezielte Entscheidungen für die Absicherung und Fortentwicklung ihres Kerngeschäfts treffen wollen.“ - Ein ISMS steigert die Widerstandskraft gegenüber Cyber-Angriffen
Das IT-Sicherheitsgesetz sieht vor, dass Unternehmen die Einhaltung eines hohen IT-Sicherheitsniveaus alle zwei Jahre nachweisen. Dieser Forderung kommen KRITIS-Betreiber automatisch nach, wenn sie beispielsweise eine Zertfizierung nach ISO 27001 vorlegen können. Externes Feedback des Prüfers vermittelt dem Unternehmen Einsichten, inwiefern das ISMS wirksam ist und wo es nachbessern muss. Durch diese steten Verbesserungen stärkt das Unternehmen seine Widerstandskraft gegenüber Cyber-Angriffen. - Ein ISMS kann Kosten senken
Wer ein ISMS einführt, muss den Ist-Zustand ermitteln und risikoorientierte IT-Sicherheitsmaßnahmen planen. In der Regel führt dies zu einem strukturierteren und ressourcenschonenderen Management als zuvor und zu einer Steigerung der Informationssicherheit auf allen Ebenen. - Ein ISMS schafft Vertrauen und Differenzierung
Angesichts der wachsenden Bedrohungslage ist die Öffentlichkeit sensibilisierter für die Einhaltung von Datenschutz und Datensicherheit. Mit einem zertifizierten ISMS signalisiere das Unternehmen ein hohes IT-Sicherheitsniveau nach nationalem oder internationalem Standard. Das schaffe Vergleichbarkeit am Markt und Vertrauen bei Kunden, betont Tenhagen. - Mit einem ISMS ist die Organisation auf aktuelle und kommende regulative Anforderungen (Compliance) vorbereitet
Unternehmen, die Informationssicherheit aktiv nach anerkannten Standards steuern, sind nicht nur in Bezug auf das IT-Sicherheitsgesetz auf der sicheren Seite. Im Mai 2018 tritt die Datenschutzgrundverordnung in Kraft, die bei Verstößen gegen europäisches Datenschutzrecht noch drastischere Strafen vorsieht als das aktuelle Bundesdatenschutzgesetz.
Weitere Informationen zum Thema:
TÜV Rheinland
Informationssicherheit ISO 27001 / Ihr Wettbewerbsvorteil: Die ISO 27001 Zertifizierung
Aktuelles, Experten, Studien - Mai 1, 2025 0:27 - noch keine Kommentare
Chip-Industrie: Silicon Saxony positioniert sich zum Sonderbericht des Europäischen Rechnungshofes
weitere Beiträge in Experten
- DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
- eco-Gratulation an Digitalminister – und „Top Five Agenda“ zur Wegleitung
- Bitkom-Glückwünsche an neuen Digitalminister
- E-Rechnungspflicht als Herausforderung: Digitalisierung von Geschäftsprozessen eröffnet neue Angriffsflächen
- Website-Tracking durch Drittdienste: In 185 von 1.000 Fällen Nachbesserung erforderlich
Aktuelles, Experten, Personalien - Mai 1, 2025 0:16 - noch keine Kommentare
DENIC-Generalversammlung 2025: Aufsichtsratsvorsitzender und neues Gesicht ins Gremium gewählt
weitere Beiträge in Branche
- Cyberrisiken im Wassersektor: Modernisierung und Segmentierung bieten Schutz
- 65 Prozent der deutschen Unternehmen erleben Cybersecurity-Vorfälle aufgrund nicht verwalteter Assets
- KI kann Kriminalität revolutionieren: Passfälschung in Minuten
- KI verändert Datenschutz in Europa: Spannungsfeld zwischen Fortschritt und Risiko
- Kritische Geschäftsabläufe: KI-gesteuerte Cyber-Angriffe nehmen zu
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren