Das wichtigste zum IT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0

Datenschutz VerstehenIT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0

Kurze Einleitung:

Die eigenen Unternehmensdaten sind sehr wertvoll für jedes Unternehmen. Umso wichtiger stellt es sich somit dar, diese gut vor Angriffen zu schützen, unabhängig von der Größe des Unternehmens. Hierzu ist ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) in Kraft getreten. Doch was ist überhaupt ein IT-Sicherheitskonzept und welche Regelungen bringt das IT-Sicherheitsgesetz 2.0 mit sich?

Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

 

Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept kann als Informationsverbund gesehen werden und ist Bestandteil des IT-Sicherheitsmanagements. Seine Erforderlichkeit wird aus Art. 25 und Art. 32 DSGVO abgeleitet. Es umfasst Schutzziele und Richtlinien, die schriftlich festgehalten werden. Ein IT-Sicherheitskonzept dient zur Informationssicherheit, um Verfügbarkeit, Integrität und Vertraulichkeit von Daten sicherzustellen. 

Für ein IT-Sicherheitskonzept werden Unternehmensdaten und Maßnahmen klassifiziert. Dadurch ist es möglich, den Ist- und Sollzustand zu vergleichen. Ein IT-Sicherheitskonzept verfügt darüber hinaus auch über Mechanismen zur Zugriffskontrolle und Technologien für die Verschlüsselung. 

Vorab müssen jedoch der Geltungsbereich, die Risiken, der Schutzbedarf sowie das Schutzniveau geklärt werden. Im Zuge dessen sollten wichtige Fragen gestellt und beantwortet werden. Dabei handelt es sich um Fragen darüber, um welche Informationen es überhaupt geht und wie diese geschützt werden können. 

Ein IT-Sicherheitskonzept ist von großer Bedeutung, um den Datenschutz zu gewährleisten. Durch technische und organisatorische Maßnahmen (kurz: TOM) können Datenpannen verhindert werden. Bei einem IT-Sicherheitskonzept muss die gesamte IT des Unternehmens berücksichtigt werden. Darüber hinaus können auch Mitarbeiterschulungen zu diesem Thema durchgeführt werden. 

IT-Sicherheitsgesetz 2.0
 

Wer braucht ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept ist für jedes Unternehmen wichtig, da Angriffe – unabhängig von der Größe eines Unternehmens – vollzogen werden können. Gerade im Zuge der Digitalisierung gewinnt ein starkes IT-Sicherheitskonzept zunehmend an Bedeutung. Gem. Art. 32 DSGVO muss jeder, der mit personenbezogenen Daten arbeitet oder mit eben diesen in Berührung kommt, ein angemessenes Schutzniveau nachweisen. Enorm wichtig ist ein IT-Sicherheitskonzept dabei bei Unternehmen, bei denen besonders sensible Daten verarbeitet werden, wie zum Beispiel Berufsgeheimnisträger. Zu diesen zählen neben Steuerberatern auch Rechtsanwälte, Notare und Ärzte.

 

Ziel eines IT-Sicherheitskonzepts

Als Ziel eines IT-Sicherheitskonzepts stellt sich die Gewährleistung der Informationssicherheit im Unternehmen sowie die Datensicherheit im Internet dar. Hierdurch können Risiken und Sicherheitslücken erkannt und eliminiert werden. Dies sichert einerseits das Kundenvertrauen und bietet auf der anderen Seite somit einen Wettbewerbsvorteil für Unternehmen gegenüber Konkurrenten. Darüber hinaus dient es in hohem Maße der Rechtssicherheit. IT-Sicherheit findet dabei bereichsübergreifend statt, wobei das ganze Unternehmen miteinbezogen wird. Auch die Mitarbeiterakzeptanz steigt durch die geschaffene IT-Sicherheit. Als Schutzziele eines IT-Sicherheitskonzepts lassen sich Vertraulichkeit, Integrität und Verfügbarkeit nennen, welche deckungsgleich zu den Zielen der Datenschutz-Grundverordnung zu sehen sind.

Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

externer Datenschutzbeauftragter - Termin buchen
 

Bestandteile eines IT-Sicherheitskonzepts 

Ein IT-Sicherheitskonzept besteht aus verschiedenen Teilen, die individuell auf das jeweilige Unternehmen angepasst sind. Dabei beinhaltet ein solches Konzept nach ISO 27001 acht Phasen.

Schritte zur Erarbeitung eines Konzeptes:

1. Bestandsanalyse

In dem ersten Schritt wird der Schutzbedarf ermittelt, um den Geltungsbereich des IT-Sicherheitskonzepts zu begrenzen. Hierbei wird der Informationsverbund definiert, organisatorische, infrastrukturelle und personelle Komponenten berücksichtigt werden. 

2. IT-Strukturanalyse

Hier wird der Ist-Zustand analysiert und der Informationsverbund strukturiert erfasst. 

3. Schutzbedarfserstellung

Der Schutzbedarf wird mit Hilfe von Schutzbedarfskategorien ermittelt. Die Bewertung erfolgt dann aufgrund einer qualitativen Abschätzung eines potenziellen Schadens. 

4. Modellierung

In diesem Schritt wird ein realer Informationsverbund anhand von Bausteinen der IT-Grundschutz-Kataloge und eines Schichtenmodells nachgestellt. 

5. Basis-Sicherheitscheck

Der Basis-Sicherheitscheck stellt dann die Soll-Vorgabe der erforderlichen Maßnahmen dar und ergibt sich aus dem Ergebnis der Modellierung. 

6. Ergänzende Sicherheitsanalyse

Eine ergänzende Sicherheitsanalyse ist für manche Elemente des Informationsverbundes notwendig, die einen hohen Schutzbedarf haben, nicht in der Modellierung darstellbar sind oder in Einsatzszenarien betrieben werden, die beim IT-Grundschutz nicht berücksichtigt werden. 

7. Konsolidierung des Sicherheitskonzepts

In diesem Schritt werden die abgeleiteten Sicherheitsmaßnahmen geprüft und zusammen gebracht. Hierbei können auch einzelne Maßnahmen ersetzt werden. Ziel ist es, am Ende nur noch Maßnahmen, die ein angemessenes Schutzniveau bieten, übrigzuhaben. 

8. Ergänzender Basis-Sicherheitscheck

Im letzten Schritt wird der Basis Sicherheitscheck aus Schritt 5 wiederholt, um gegebenenfalls entstandene Lücken herauszufinden. 

Diese Maßnahmen wirken nur, wenn sie vollständig umgesetzt werden. Zudem ist die regelmäßige Durchführung von Kontrollen von großer Notwendigkeit, da sich die Systeme verändern und teilweise auch Zertifizierungen notwendig werden. Im Zuge dessen kann dabei ein Leitfaden zum Download für das jeweilige Unternehmen erstellt werden. 

 

Wer ist für das IT-Sicherheitskonzept verantwortlich?

Ein IT-Sicherheitskonzept wird sowohl von der IT-Leitung, als auch von dem Informationssicherheitsbeauftragten sowie dem Datenschutzbeauftragten zunächst ausgearbeitet und in einem weiteren Schritt daraufhin umgesetzt. Allerdings ist es wichtig, dass alle Mitarbeiter das Konzept und Vorgehen verstanden haben und so dazu beitragen, dass dieses funktioniert.

 

Was ist das IT-Sicherheitsgesetz 2.0?

Das IT-Sicherheitsgesetz 2.0 dient der sicheren Umsetzung der Digitalisierung. Inhaltlich stärkt das IT-Sicherheitsgesetz 2.0 das BSI (Bundesamt für Sicherheit in der Informationstechnik) in bestimmten Punkten. Es legt Mindeststandards für Behörden fest, die regelmäßig kontrolliert werden müssen. Weiterhin stärkt es das BSI vor allem in den Punkten Detektion von Sicherheitslücken und Abwehr von Cyberangriffen. Darüber hinaus trägt das Gesetz zur Gestaltung einer sicheren Digitalisierung bei. Besonders soll die Cybersicherheit in den Mobilfunknetzen durch Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Ordnung gewährleistet werden. So müssen Netzbetreiber hohe Sicherheitsanforderungen erfüllen und bestimmte Zertifizierungen vorweisen, auch um die Informationssicherheit einzuhalten. 

Durch das IT-Sicherheitsgesetz 2.0 wird das BSI Anlaufstelle für Verbraucher bei IT-Sicherheitsfragen auf Bundesebene. Das BSI ist außerdem für die Überwachung und Durchsetzung der Vorschriften im Rahmen der EU Schemata für die Cybersicherheitszertifizierung zuständig.

Außerdem schreibt das IT-Sicherheitsgesetz 2.0 die Einführung eines IT-Sicherheitskennzeichens vor, damit die Transparenz für Verbraucher gewahrt wird. 

Auch in Zukunft werden weitere Unternehmen, die von besonderem öffentlichen Interesse sind, bestimmte IT-Sicherheitsmaßnahmen umsetzen müssen.

 

Wer ist von dem IT-Sicherheitsgesetz 2.0 betroffen?

Durch das IT-Sicherheitsgesetz 2.0 zählt nun auch der Sektor “Entsorgung” zum Kreis der möglichen Betreiber kritischer Infrastrukturen. Zu den bereits existierenden Sektoren (KRITIS-Sektoren) gehören darüber hinaus: Energie, Informationstechnik, Telekommunikation und Transport und Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen. 

Auch Unternehmen im besonderen öffentlichen Interesse, wie z.B. Rüstunternehmen und Chemieunternehmen gelten als dazugehörig. Diese treffen im Zuge dessen eigene weiterführende Pflichten. Sie zählen zum Teil zu den größten Unternehmen Deutschlands und müssen sich ebenfalls an die KRITIS-Regulierung halten. 

 

Welche Auswirkungen hat das IT-Sicherheitsgesetz 2.0 auf die Unternehmen?

Durch das IT-Sicherheitsgesetz 2.0 werden den Betreibern von kritischer Infrastruktur neue Pflichten auferlegt. Diese müssen Mindestsicherheitsstandards erfüllen. Außerdem gibt es höhere Sicherheitsanforderungen für kritische Komponenten. Darüber hinaus bestehen Informations- sowie Meldepflichten gegenüber dem BSI. Für Unternehmen von besonderem öffentlichen Interesse gilt zudem die Pflicht, sich beim BSI zu registrieren und einen Ansprechpartner zu benennen. Alle zwei Jahre müssen diese daher eine Selbsterklärung über Zertifizierungen, Sicherheitsaudits, Prüfungen, Sicherung der besonders schützenswerten IT-Systeme, Komponenten und Prozesse abgegeben. Zu kritischen Komponenten zählen dabei IT-Produkte, die in heiklen Infrastrukturen eingesetzt werden und auch bedeutend für das Funktionieren des Gemeinwesens sind. Dies ist der Fall, wenn sie die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der kritischen Infrastruktur gewährleisten. Außerdem zählen IT-Produkte dazu, die entweder aufgrund eines Gesetzes als kritische Komponenten bestimmt werden oder eine kritische Funktion im Unternehmen realisieren. 

Bei Nichteinhaltung der Pflichten ist mit Bußgeldern von bis zu 20 Mio. € zu rechnen.

Datenschutz-Managementsystem
Datenschutz-Management-System

Wir führen Sie individuell durch unsere Datenschutz-Management-Software (DSMS). Wir geben Ihnen Einblicke in verschiedene Funktionen des DSMS und zeigen Ihnen auf, welche Vorteile Sie mit einem DSMS erzielen.

0

Über 200 globale Vorlagen helfen Ihnen in Ihrer täglichen Arbeit. Sie können beliebig viele Vorlagen erstellen.

0%

Über 62% Effizienzsteigerung werden von unseren Kunden in der Optimierung des Datenschutzes verzeichnet.

Datenschutz-Management-System
 

Zusammenhang vom IT-Sicherheitskonzept und IT-Sicherheitsgesetz 2.0 

Der Zusammenhang zwischen den beiden Gesetzen besteht quasi in der Neuerung. Diese Neuerung des Gesetzes für die Cyber- und Informationssicherheit war aufgrund von immer häufigeren und komplexeren Cyberattacken und der voranschreitenden Digitalisierung notwendig. Dabei demonstriert sie die Wichtigkeit eines IT-Sicherheitskonzepts. Durch die Neuerung sind bestimmte Unternehmen somit verpflichtet, ein IT-Sicherheitskonzept zu eruieren und dies beim BSI durch Zertifizierungen nachzuweisen. Weiterhin bewirkt die Änderung des Gesetztes eine Ausdehnung des Schutzbereiches, woraus resultiert, dass eine deutliche höhere Anzahl an Unternehmen betroffen ist. So müssen KRITIS Unternehmen nun ein System zur Angriffserkennung einsetzten, welches Teil des IT-Sicherheitskonzepts sein muss. 

Das IT-Sicherheitsgesetz 2.0 verpflichtet außerdem dazu, Reaktionspläne und Präventionsmaßnahmen auszuarbeiten, welche ebenfalls als Teil des IT-Sicherheitskonzeptes fungieren.

 

FAQ: IT Sicherheit

 

Fazit

Zusammenfassend lässt sich sagen, dass ein IT-Sicherheitskonzept im Zuge der Digitalisierung immer wichtiger wird und darauf nicht verzichtet werden sollte. So schützt es zum Beispiel vor Cyberangriffen, stellt Kundenzufriedenheit her und verschafft dem Unternehmen einen Wettbewerbsvorteil. Grundsätzlich sollte jedes Unternehmen ein IT-Sicherheitskonzept vorweisen können. Wichtig ist dabei auch, die Beschäftigten zu diesem Thema zu schulen und zu sensibilisieren.

Menü