Digitalisierung und Informationssicherheit gehören untrennbar zusammen.
Es sind sozusagen zwei Seiten einer Medaille und mit beiden zu beschäftigen ist eine wichtige Herausforderung, der du dich als Bürger und Unternehmer zu stellen hast.
Als Steuerberater kann und will ich an dieser Stelle für das Thema sensibilisieren, denn moderne Kommunikation und auch die Zusammenarbeit wird zunehmend online möglich und erledigt.
Daher ist ein gutes Grundverständnis für Datensicherheit und Datenschutz auf beiden Seiten wichtig und sollte als selbstverständlich vorausgesetzt werden dürfen.
Inhaltsverzeichnis
Schutz vor Cyber-Attacken auch für kleine und mittlere Unternehmen (KMU)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass insbesondere kleine und mittelständige Unternehmen (KMU) zunehmend Ziel von Cyber-Attacken werden.
Sie werden nicht gezielt angegriffen, werden aber von großflächig und automatisiert durchgeführten Angriffen – und nicht selten völlig unvorbereitet – mittelbar getroffen.
Es ist also höchste Zeit für kleine und mittlere Unternehmen (KMU) die Informations- und Cyber-Sicherheit auf den neuesten Stand zu bringen.
Quelle: Bundesamt für Sicherheit und Informationstechnik (BSI), abgerufen am 15.07.2024
Für einen ersten Einstieg in das Thema möchte ich auf die Zusammenstellung hilfreicher Informationen verweisen, die das BSI laufend aktualisiert.
- Die Rubrik Leichter Einstieg bietet die Möglichkeit, sich Stück für Stück der Thematik zu nähern. Es werden Basiselemente der Cyber-Sicherheit erläutert. Im Anschluss verdeutlichen kurze Erklärvideos die wichtigen Grundlagen der Informations- und Cyber-Sicherheit. Es folgen Informationen bei Vorliegen eines IT-Sicherheitsvorfalls und zur IT-Notfallkarte.
- Die Rubrik Fortgeschrittene Absicherung bietet einen Überblick für Unternehmen, die bereits über interne oder externe IT-Fachkräfte mit Kenntnissen gängiger IT-Gepflogenheiten und -Sprachgebräuchen verfügen.
- Außerdem werden hilfreiche Tipps angeboten für Unternehmen, die von einem Sicherheitsvorfall betroffen sind.
- Mit der Broschüre „Cyber-Sicherheit für KMU“ bietet das BSI einen leicht verständlichen Einstieg, um das Cyber-Sicherheitsniveau von kleinen und mittleren Unternehmen (KMU) zu verbessern. Sie informiert unter anderem darüber,
- wer für die Informationssicherheit im Unternehmen verantwortlich ist,
- warum Patches und Updates regelmäßig installiert werden sollten,
- warum ein Virenschutzprogramm notwendig ist und
- warum eine Datensicherung so wichtig ist.
- Die DIN SPEC 27076 „IT-Sicherheitsberatung für kleine und Kleinstunternehmen“ beinhaltet den darauf basierenden CyberRisikoCheck. Durch diesen können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist.
- Hersteller und Diensteanbieter können ihre IT-Produkte mit dem IT-Sicherheitskennzeichen des BSI auszeichnen. Sie sichern damit zu, dass ihre Produkte bestimmte Sicherheitseigenschaften besitzen, über die sich Verbraucher:innen und Unternehmer:innen vor und nach dem Kauf von gekauften Produkten und Dienstleistungen informieren können.
Sofern sich im Unternehmen keine Personen mit hinreichenden Kenntnissen im Bereich Informationstechnik und Cyber-Sicherheit befinden, empfehlt sich die dauerhafte Beauftragung eines IT-Dienstleisters.
IT-Grundschutz
Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat einen IT-Grundschutz entwickelt, damit Informationssicherheit als Voraussetzung für eine erfolgreiche Digitalisierung in den Unternehmen gelingt.
Der IT-Grundschutz liefert ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug.
Quelle: Bundesamt für Sicherheit und Informationstechnik (BSI), abgerufen am 10.07.2024
Er ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen.
Zentral ist dabei ein ganzheitlicher Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet.
Dies ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.
Ziel aller Bemühungen ist es, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten.
BSI-Standards für Informationssicherheit
Auf Basis der drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung kann in einer Institution ein Managementsystem für Informationssicherheit (ISMS) implementiert werden.
Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen.
Als Einstieg liefert der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In drei Schritten zur Informationssicherheit“ besonders für kleine und mittelständische Unternehmen und Behörden – mit eigener IT-Abteilung – einen kompakten und übersichtlichen Einstieg zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS).
Soloselbständige und Kleinste Unternehmen sollten sich dennoch mit den Ideen und den BSI-Standards befassen und eine auf sie abgestimmte „kleine“ Lösung für ihre Informationssicherheit suchen.
Zertifizierung nach ISO 27001
Der IT-Grundschutz ist der bewährte Standard zum Aufbau eines ISMS. Mit einem ISO 27001-Zertifikat auf dieser Basis kann eine Institution belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.
Voraussetzung für die Vergabe eines ISO 27001-Zertifikats ist eine Überprüfung des Untersuchungsgegenstandes durch einen vom BSI zertifizierten Auditor für ISO 27001-Audits.
Im Rahmen des Audits werden von der Institution erstellte Referenzdokumente geprüft, eine Vor-Ort-Prüfung durchgeführt und ein Auditbericht erstellt.
Als Prüfgrundlage für die Auditierung müssen die im Dokument „Prüfgrundlage für Zertifizierungen nach ISO 27001 …“ aufgeführten Dokumente in der dort genannten Version verwendet werden (siehe Links in Auflistung).
Für die Vergabe eines ISO 27001-Zertifikats muss der Auditbericht der Zertifizierungsstelle im BSI zur Überprüfung vorgelegt werden.
Einzelheiten findest du hier.
IT-Sicherheitskennzeichen
Das freiwillige IT-Sicherheitskennzeichen soll die grundlegenden Sicherheitseigenschaften von IT-Produkten auf einen Blick erkennbar macht und VerbraucherInnen mehr Transparenz bieten.
Denn während mehr und mehr Alltagsgegenstände mit dem Internet und mit anderen smarten Dingen vernetzt werden, ist es für VerbraucherInnen immer schwieriger zu beurteilen, welche Geräte und Dienste passende Sicherheitseigenschaften besitzen.
Das IT-Sicherheitskennzeichen wird durch das BSI für Produkte oder Dienste erteilt, wenn Sie als Hersteller die Konformität des Produktes zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt haben.
Die Beantragung ist freiwillig und ausschließlich im Rahmen der vom BSI definierten Produktkategorien möglich.
Weitere Informationen findest du hier.
Für wen eignen sich BSI-Standards?
Das IT-Grundschutz-Kompendium und die IT-Grundschutz-Profile eignen sich besonders für den Aufbau eines ISMS in kleinen und mittleren Unternehmen (KMU). Sie sollten zudem über einen eigenständigen IT-Betrieb verfügen.
Für kleine und Kleinstunternehmen (KKU) sind der Aufbau und Betrieb eines vollwertigen ISMS nach IT-Grundschutz in der Regel nicht geeignet.
Allerdings können auch Soloselbständige oder kleine und kleinste Unternehmen sich nicht aus der Verantwortung ziehen. Sie müssen folglich ihrem Bedürfnis nach Informationssicherheit in geeigneter Weise begegnen.
4 BSI-Standards
Die BSI-Standards sind ein elementarer Bestandteil der IT-Grundschutz-Methodik.
- Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Er ist weiterhin kompatibel zum ISO-Standard 27001 und berücksichtigt die Empfehlungen der anderen ISO-Standards wie beispielsweise ISO 27002.
- Der BSI-Standard 200-2 bildet die Basis der bewährten BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Er etabliert drei neue Vorgehensweisen bei der Umsetzung des IT-Grundschutzes. Aufgrund der ähnlichen Struktur der beiden Standards 200-1 und 200-2 können Anwender sich gut in beiden Dokumenten zurechtfinden.
- Der BSI-Standard 200-3 beinhaltet erstmals gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes. Der Vorteil für die Anwender ist ein deutlich reduzierter Aufwand, um ein angestrebtes Sicherheitsniveau zu erreichen. Der Standard bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten. Im Anschluss daran sollte sich möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen.
- Der modernisierte BSI-Standard 200-4 gibt eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren.
Weitere Informationen findest du hier.
IT-Grundschutz-Kompendium
Mit den „Checklisten zum IT-Grundschutz-Kompendium“ kann der aktuelle Status der Umsetzung von IT-Grundschutz-Bausteinen einfach dokumentiert werden.
Damit sind die Listen besonders für den IT-Grundschutz-Check nach BSI-Standard 200-2 nützlich. In den Checklisten sind für jeden Baustein die einzelnen Anforderungen aufgeführt. In Freitextfeldern kann der jeweilige Status inklusive des Zieldatums und der Verantwortlichkeiten eingetragen werden.
Die Listen sollen im Februar eines jeden Jahres in aktualisierter Form veröffentlicht werden; aktuell steht die Edition 2023 im Netz zum Abruf bereit, Stand: 10.07.2024.
Bis August 2024 wird um Kommentierung und Rückmeldung zu einem ersten öffentlichen Entwurf zur IT-Grundschutz-konforme Dokumentation (FAQ und Hilfsmittel zur Dokumentation im IT-Grundschutz Stand Kompendium 2023) gebeten, Stand 17.06.2024.
Mehr Informationen zum IT-Grundschutz erhälst du in dieser Broschüre des BSI.
Leseempfehlungen
Weitere Informationen findest du auf diesen Ressourcen:
Schreibe einen Kommentar