Startseite > Security > Tipps vom TÜV Süd zum IT-Sicherheitsgesetz

Was auch kleine und mittlere Unternehmen jetzt beachten sollten

Tipps vom TÜV Süd zum IT-Sicherheitsgesetz

27. Juli 2015, 8:50 Uhr | LANline/jos

Der Bundestag hat das "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" beschlossen. Das sogenannte IT-Sicherheitsgesetz stellt an Unternehmen der kritischen Infrastruktur Mindestanforderungen für die IT-Sicherheit und verpflichtet sie zur Meldung von Datenpannen und Cyberattacken. Kleine und mittelständische Unternehmen (KMUs) in diesem Bereich fallen durch das Gesetzesraster. Was das für sie bedeutet, kommentieren die Experten von TÜV Süd in einer Stellungnahme.

Zur kritischen Infrastruktur – „Kritis“ – zählen Unternehmen aus den Branchen Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel. Das IT-Sicherheitsgesetz ist eine Zusammenfassung von bereits bestehenden Gesetzen und legt nicht konkret fest, was Betreiber kritischer Infrastrukturen zur Absicherung ihrer IT realisieren müssen, was aufgrund der Schnelllebigkeit in diesem Bereich auch nicht zielführend wäre. Stattdessen schafft es einen Rahmen, der durch noch zu erlassende Rechtsverordnungen und abzustimmende Sicherheitsstandards konkretisiert werden muss.

KMUs fallen zwar durch das Raster der Gesetzgebung und müssen demnach die Anforderungen an die IT-Sicherheit nicht zwingend erfüllen, doch häufig arbeiten sie als Zulieferer für größere Unternehmen, die sehr wohl das IT-Sicherheitsgesetz beachten müssen. Daher sollten KMUs damit rechnen, dass ihre Auftraggeber die Einhaltung gewisser Standards von ihnen fordern. „Eine gute Wahl ist dafür die ISO 27001“, erläutert Alexander Häußler, Produkt-Manager ISO 27001 bei TÜV Süd.

„Diese Norm ist aktuell der international anerkannteste Standard zum Thema Informationssicherheit. Außerdem lässt sie eine gewisse Flexibilität zu, durch die sich spezielle Gegebenheiten einzelner Unternehmen berücksichtigen lassen.“ Grundsatz der Norm ist ein risikobasierendes Vorgehen, sodass die implementierenden Unternehmen je nach Geschäftsmodell entsprechend priorisiert vorgehen können. Denn für Betriebe mit hohen Verfügbarkeitsanforderungen sind andere Überlegungen wichtiger als für solche, bei denen das Thema Vertraulichkeit den höchsten Stellenwert hat.

„Unternehmen aus den im IT-Sicherheitsgesetz genannten Branchen sollten sich möglichst bald mit der Sicherheit ihrer Informationstechnik auseinandersetzen“, ergänzt Alexander Häußler. „Denn sobald die Rechtsverordnung in Kraft tritt, haben sie nur sechs Monate Zeit, eine Kontaktstelle für das Bundesamt für Sicherheit in der Informationstechnik zu benennen, und innerhalb von zwei Jahren müssen die definierten Mindeststandards umgesetzt sein.“ Wer schon jetzt die Voraussetzungen für ein gesundes und nachhaltiges Management von Informationen schafft, kann den gesetzlichen Neuerungen gelassen entgegensehen.“

Der TÜV Süd bietet Unternehmen dazu unter anderem Vor-Audits an, durch die sich feststellen lässt, inwieweit die Anforderungen der ISO 27001 bereits umgesetzt sind oder welche Maßnahmen noch sinnvoll sind. Außerdem ist die Zertifizierung nach ISO 27001 möglich.

Weitere Informationen zu den Themen Datenschutz und Datensicherheit erhalten Interessenten unter www.tuev-sued.de/ms/iso-27001.