Harte Nuss für den Mittelstand

Per IT-Sicherheits-gesetz sollen künftig Unternehmen der Sektoren Energie, Informationstechnik und Telekommu-nikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zu einem besseren Schutz verpflichtet werden.

Die VdS Schadenverhütung hat dazu im vergangenen Sommer ein mehrstufiges Verfahren veröffentlicht, das den Unternehmen bezüglich Sicherheit aufs Pferd helfen soll: Der „Quick-Check für Cyber-Security“ enthält 39 sicherheitsrelevante Aussagen wie etwa: „Unser Topmanagement hat sich schriftlich verpflichtet, die Gesamt-verantwortung für die Informationssicherheit wahrzunehmen“. Diese Aussagen sind jeweils mit „ja“, „nein“, „trifft auf unser Unternehmen nicht zu“ oder „keine Angabe“ zu quittieren. „Am Ende erhalten Sie als Ergebnis eine Matrix, welche die Risikosituation in Ihrem Unternehmen darstellt“, verspricht der VdS auf seiner Internetseite.

Jetzt kommt der „Quick Audit“ ins Spiel. Dazu prüft ein VdS-Vertreter vor Ort, ob die Selbsteinschätzung den Tatsachen entspricht. Das Quick-Audit soll besonders den kleinen Unternehmen schmackhaft gemacht werden. Im Auditbericht sollen die Kunden erfahren, in welchen Bereichen das Unternehmen noch Nachholbedarf hat. Wer jedoch ein Zertifikat des VdS will, muss sich den strengen Richtlinien der „VdS 3473“ unterwerfen.

Diese Richtlinien verlangen zunächst vom „Topmanagement“, einen „Informationssicherheitsbeauftragten“ (ISB) zu bestimmen. Dieser muss demnach die Verantwortung für die Informationssicherheit übernehmen – unabhängig davon, ob nun fünf oder 5000 Menschen auf der Gehaltsliste des Unternehmens stehen. Zudem verlangt die Richtlinie, ein „Informationssicherheitsteam“ (IST) zu bestimmen, das unter anderem aus dem ISB, dem Topmanagement, dem IT-Verantwortlichen, einem Mitarbeiter der Personalabteilung und dem Datenschutzbeauftragten bestehen soll.

Zusammen mit dem IST erstellt der ISB eine „Informations-sicherheitsleitlinie“, in der Ziele und der Stellenwert der Informationssicherheit für das Unternehmen sowie sämtliche Positionen und deren Aufgaben für den „Informationssicher-heitsprozess“ definiert werden. Auf dieser Basis werden zur Unterstützung und Konkretisierung der Leitlinie spezielle Richtlinien formuliert – etwa zum Umgang mit der unternehmenseigenen Informationstechnik.

Besonders wichtig ist das „Identifizieren kritischer IT-Ressourcen“. Diese Ressourcen muss der ISB ermitteln, jährlich prüfen, ob die Aufstellung aktuell ist, und sie bei Bedarf anpassen. Dazu muss das Unternehmen „seine zentralen Geschäftsprozesse und seine Prozesse mit hohem Schadenspotential identifizieren und dokumentieren“. Weiter muss das Unternehmen „jene Informationen ermitteln, die besonders geschützt werden müssen“. Und schließlich muss es „seine kritischen IT-Systeme, mobilen Datenträger und Verbindungen“ und „seine kritische Individualsoftware“ identifizieren. Zur systematischen Strukturierung und Absicherung der IT Systeme muss zudem eine Inventarisierung vorhanden sein, in der alle IT-Systeme des Unternehmens verzeichnet sind. Weitere Forderungen erhebt die VdS 3473 für „Netzwerke und Verbindungen“ sowie „mobile Datenträger“.

Den Lohn der Mühen verrät Jörg Freiherr Frank von Fürstenwerth vom Gesamtverband der Deutschen Versicherungswirtschaft: „Wer seine Daten und Systeme besser schützt, zahlt weniger.“