Das IT-Grundschutzkompendium erleichtert Unternehmen den Einstieg
Braunschweig: Kleine und mittelständische Unternehmen (KMU) sind aktive Protagonisten der digitalen Revolution und modernisieren ihre Geschäftsmodelle, treiben Innovationen voran und bleiben so wettbewerbsfähig. Sorgenkind dabei ist die erhöhte Angreifbarkeit durch Cyber-Attacken und der finanzielle und personelle Aufwand bei der Einführung von Sicherheitsmaßnahmen. Doch es gibt Abhilfe, haben die Besucher des BSI IT-Grundschutztags am 7. März in Braunschweig erfahren.
Der Andrang war groß, als das Bundesamt für Sicherheit in der Informationstechnik (BSI) die gesetzlichen Vorgaben für sichere IT-Systeme und Daten erläuterte. Der Mittelstand ist zwar verunsichert, weiß aber auch, dass er handeln muss. Michael Kirsch, Informationssicherheitsexperte bei der ICS AG, sagt: „Daten sind das Gold der Digitalisierung. Unternehmer müssen also nicht nur vor dem Gesetzgeber nachweisen, dass sie alles in ihrer Macht Stehende tun, um sie zu schützen. Sie sorgen damit auch für ein wichtiges Vertrauensverhältnis ihren Kunden und Lieferanten gegenüber.“
Wie während der Veranstaltung deutlich wurde, fehlen kleinen und mittelständischen Unternehmen oft die Ressourcen und das Fachwissen, um die im IT-Grundschutzkatalog verankerten Maßnahmen umzusetzen. „Zu Techniklastig, zu komplex, zu teuer, haben wir oft gehört. Das schreckt den Mittelstand ab“, berichtet Michael Kirsch. Das BSI hat das erkannt, den IT-Grundschutzkatalog mit dem Grundschutzkompendium aktualisiert und damit Umfang sowie Komplexität verringert.
In drei Schritten zu einer effizienten und kostengünstigen Erstabsicherung
Konkret geht es dabei um technische und organisatorische Maßnahmen mit dem Ziel, ein wirksames und nachhaltiges Informationssicherheits-Managementsystem (ISMS) einzuführen, wie es die internationale Sicherheitsnorm ISO/IEC 27001, kurz ISO 27001, verlangt. Damit ermöglicht der Gesetzgeber einen machbaren und ressourcenschonenden Einstieg in eine Erstabsicherung, die alle Geschäftsprozesse, Komponenten und Daten mit einbezieht.
Das Kompendium sieht die Einführung eines Sicherheits-Managements in drei Schritten vor:
1. Basis-Absicherung, mit der die Mindestanforderungen umgesetzt werden
2. Kern-Absicherung, um den Schutz der ‚Kronjuwelen‘ zu gewährleisten
3. Standard-Absicherung, die auf einen ganzheitlichen Schutz aller Bereiche des Unternehmens abzielt.
Unternehmen können diese Maßnahmen jetzt schrittweise einführen, ohne sich gleich aufwendig zertifizieren lassen zu müssen. Das BSI bringt seit Februar 2018 jährlich ein angepasstes Kompendium heraus und lehnt die geforderten IT-Sicherheitsstandards verstärkt an die ISO 27001 an. Die Sicherheitsnorm spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS. Ein ISMS wiederum definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu gewährleisten. Außerdem bildet es die Basis für eine Zertifizierung nach ISO 27001.
Effiziente und kostengünstige Unterstützung bei der Einführung von Sicherheitsmaßnahmen
Michael Kirsch und seine Kollegen beraten Unternehmen in Sachen Informationssicherheit und unterstützen bei der Analyse ihres Sicherheitsstandes und bei der Implementierung benötigter Maßnahmen bis hin zum ISMS. Wenn gewünscht, führen sie Unternehmen bis zur Zertifizierung nach ISO 27001 und bieten Mitarbeiterschulungen an. Zulieferer und Dienstleister in der Automobilbranche führen sie zum TISAX-Label.
Alle Berater der ICS AG sind nach ISO 27001 personenzertifiziert, DEKRA-geprüfte Fachkräfte für Datenschutz und verfügen über langjährige Erfahrung im Bereich Informationssicherheit. Die ICS AG ist BMWi-autorisiertes Beratungsunternehmen im Förderprogramm go-digital (Modul IT-Sicherheit) und akkreditierter Fachberater für Informations- und IT-Sicherheit bei der bwcon.
(Autorin: Julia Grewe)