Was haben diese Begriffe gemeinsam?
Nun, sie beschäftigen sich alle mit dem Thema Informationssicherheit. Nur aus unterschiedlichen Perspektiven und mit unterschiedlichen Zielen. Und sie beschäftigten einige ED-Mitarbeiter über viele Monate:
Mit dem IT-Sicherheitsgesetz (IT-SiG), dem damit geänderten BSI-Gesetz (BSIG) und der ergänzenden BSI-KRITIS-Verordnung (KritisV) fordert der Gesetzgeber die nachgewiesene Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zur Herstellung von Informationssicherheit. Hintergrund ist die Sorge, dass Unternehmen, die zur Grundversorgung der deutschen Bevölkerung z.B. mit Energie, Nahrung oder auch Finanzdienstleistungen beitragen (die sogenannten „Kritischen Infrastrukturen“, kurz KRITIS), von den allgegenwärtigen IT-Systemen in großem Maße abhängig sind. Ein längerer Ausfall, zum Beispiel nach einem Hackerangriff, könnte die Versorgung von mehr oder weniger großen Teilen der Bevölkerung gefährden.
Auch die EU-Datenschutz-Grundverordnung (EU-DSGVO) fordert die Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ zur Herstellung von Informationssicherheit. Allerdings mit Blick auf die Sicherheit von personenbezogenen Daten. Jeder, der solche Daten verarbeitet, soll für Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen sorgen.
Die Anforderungen der beiden Rechtsnormen sind über weite Strecken deckungsgleich: Zum Beispiel können mit einer Firewall oder einer Endpoint-Security-Lösung sowohl die persönlichen Daten unserer Kunden als auch die Steuerungssysteme des Tanklagers wirksam gegen einen Hackerangriff geschützt werden.
Leider genügt es den Anforderungen nicht, geeignete technische und organisatorische Maßnahmen in der Praxis umzusetzen. Darauf legen wir schon seit Jahren in der gesamten Unternehmensgruppe großen Wert. Vielmehr muss die Herleitung der Maßnahmen und deren Angemessenheit nachprüfbar dargelegt werden. Hierzu ist eine umfassende Risikoanalyse durchzuführen und zu dokumentieren, die alle internen und externen Aspekte des Unternehmens, alle relevanten rechtlichen Anforderungen, die Erwartungen von Kunden und Geschäftspartnern berücksichtigt. Dabei sind alle Prozesse und alle sogenannten Informationswerte (nicht nur Hardware, Software und Daten, auch Mitarbeiter, Gebäude u.v.m.) in die Betrachtung einzubeziehen und daraus nachvollziehbar geeignete Maßnahmen abzuleiten. Schließlich muss sichergestellt werden, dass das erreichte Sicherheitsniveau messbar ist und fortlaufend optimiert wird. Das geeignete Instrument hierzu ist ein Informationssicherheits-Managementsystem, kurz ISMS.
Wir haben uns deshalb entschieden, als Basis ein gemeinsames ISMS für die Unternehmensgruppe zu errichten und entsprechend den Anforderungen der verschiedenen Rechtsnormen zu ergänzen. Dabei haben wir uns an der einschlägigen internationalen Norm ISO 27001 orientiert und die ED Business Solutions GmbH & Co. KG als zentralen internen IT-Dienstleister vom TÜV Süd auch gleich erfolgreich zertifizieren lassen.
Festzuhalten ist aber leider auch, dass wir für die Umsetzung in Summe einen recht hohen finanziellen und personellen Aufwand leisteten. Zudem gehen wir davon aus, dass die Aufrechterhaltung des ISMS und geforderte Folgeaudits weitere Kosten verursachen, die jährlich deutlich im fünfstelligen Bereich liegen werden. Soviel zu der von der Politik seit Jahren angekündigten Entbürokratisierung der Wirtschaft. Mit der PSD2 rollt die nächste Anforderung auf uns zu. Dies sind alles Aufwendungen, die wir keinem Kunden in irgendeiner Form anlasten können und die permanent Mitarbeiter einbinden, deren ursächliche Arbeit ganz woanders liegen sollte und könnte, nämlich näher an Dingen, die der Kunde will.