IT-Grundschutz im Unternehmen
„Es gibt nichts Gutes, außer man tut es“ sagt ein altes Sprichwort. Bis Ende Mai 2018 müssen die Vorgaben der EU-DSGVO umgesetzt sein. Viele Unternehmen scheuen aber noch die anstehende Projektarbeit, auch weil für viele Unternehmer kaum erkennbar ist, was nun wirklich zu leisten ist und womit man am Besten anfängt.
Ein sinnvoller Start kann die Umsetzung der Empfehlung des BSI zum IT-Grundschutz sein. Bekanntlich sind die zwei Säulen des Datenschutzes nämlich immer der Schutz personenbezogener Daten einerseits und andererseits die Datensicherheit. Allerdings sind einige mittelständische Unternehmen bereits vom Umfang des IT-Grundschutzbuches abgeschreckt. Das Thema selbst macht dem Zugang zu den über 750 Seiten nicht einfacher.
Bei Berücksichtigung folgender Punkte sollte man jedoch leichter einen Einstieg finden:
- Es gibt nicht nur ein Datenrisiko sondern zahlreiche Gruppen von Risiken, die die Integrität und Verfügbarkeit von Daten gefährden können
- die Folgen eines Datenleaks können unangenehm bis unternehmenkritisch sein
- mögliche Risiken nach Gefahrengruppen (Feuer, Wasser, Erdbeben, Datenklau, Hardwareverlust, Hacking etc.)einteilen und Folgen für Datenverlust abschätzen
- wichtigste Aufgabe zu Beginn ist die Installation eines IT-risk-Managementsystems
- danach sollten die im IT-Grundschutz genannten Maßnahmenpakete R1, R2 und R3 nacheinander umgesetzt werden
- Mit (Informations-) Sicherheitsmanagement oder auch kurz IS-Management wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die existierenden Managementstrukturen einer jeden Institution eingebettet werden.
- Bedrohungen und Schwachstellen im Umfeld des Sicherheitsmanagements können vielfältiger Natur sein. Häufig sind sie Symptom einer mangelhaften Gesamtorganisation des Sicherheitsprozesses.
- wichtig ist die Benennung einer Verantwortlichen Person
- diese benötigt volle Unterstützung durch die Geschäftsleitung
- Geschäftsleitung muss verantwortlichen IT-admin über sämtliche strategische und konzeptionelle Vorgaben informieren
- IT-Sicherheit Prozesse müssen ständig aktualisiert werden
- Es sollte eine Leitlinie für IT-Sicherheit erstellt werden
- Leitungsebene MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreibt. Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein.
- In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden.
- Die Leitlinie zur Informationssicherheit MUSS allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden.
- Alle Mitarbeiter der Institution und sonstige relevante Personen (wie extern Beschäftigte oder Projektmitarbeiter) SOLLTEN systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden (siehe ORP.3 Sensibilisierung und Schulung zur Informationssicherheit).
- Sie SOLLTE regelmäßig aktualisiert werden.
- Erstellung eines Sicherheitskonzepts. Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden.
- Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen.
- Der Ablauf des Sicherheitsprozesses, wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden
- Es SOLLTE geprüft werden, ob für Restrisiken Versicherungen abgeschlossen werden sollen, um eventuelle Schäden abzudecken. Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen.
Wenn man nun noch die einzelnen oben aufgeführten Schritten ordentlich dokumentiert, ist der erste Schritt bei der Umsetzung der EU-DSGVO bereits getan.