Überblick

Ein wesentlicher Grund dafür, dass neue digitale Technologien in Unternehmen nur zögerlich oder gar nicht umgesetzt werden, sind für viele Betriebe die Risiken der Datensicherheit. Tatsächlich bringt die Nutzung digitaler Technologien für Unternehmen Gefahrenpotenzial mit sich – doch noch mehr Vorteile. Diese Vorteile zu nutzen und dabei die Risiken im Griff zu behalten, folgt in Zeiten der digitalen Transformation und den 4.0-Technologien eigenen Regeln: Mit zunehmender Datenvernetzung smarter Geräte wächst auch die Angriffsfläche von Betrieben und den dort tätigen Menschen. Darüber hinaus können sich Fehlfunktionen schneller auf das Gesamtsystem der Arbeit auswirken als bei Technologien, die nicht miteinander vernetzt sind. Daher kommen Betriebe, die digitale Technologien erfolgreich nutzen wollen, nicht umhin, eine an ihre Anforderungen angepasste systematisch umgesetzte Datensicherheit zu gewährleisten. Hierbei werden an die Fachkraft für Arbeitssicherheit (Sifa) neue Anforderungen gestellt, denn Sicherheit im Betrieb geht nicht ohne Datensicherheit. Im folgenden Beitrag werden die neuen Herausforderungen für Betriebe sowie praktische Maßnahmen der Datensicherheit beschrieben, die auf technischer, organisatorischer und personeller Ebene umgesetzt werden können.

 
Gesetze, Vorschriften und Rechtsprechung

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) verpflichtet Unternehmen, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Ausgenommen sind lediglich Kleinstunternehmen, d. h. Firmen mit weniger als 10 Beschäftigen und weniger als 2 Mio. EUR Jahresumsatz.[1]

In der DIN-Norm ISO 27001 werden Anforderungen an den Aufbau und Umsetzung eines Informationssicherheit-Management-Systems definiert. Zentral sind dabei eine regelmäßige Analyse der Ist-Situation und bei Bedarf die Umsetzung von Anpassungen und Verbesserungen. So wird möglichst früh erkannt, wo das Unternehmen Maßnahmen ergreifen sollte, um mögliche Gefahren abzuwehren. Der Betrieb sorgt so für kontinuierliche Selbstkontrolle und Optimierung.

Zusätzlich sei auf die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen.[2] Der IT-Grundschutz des BSI ist eine bewährte Methodik, die Datensicherheit in Betrieben jeder Größenordnung zu erhöhen. Die Grundschutz-Kataloge dienen als Leitfaden bei der Erkennung und Bekämpfung sicherheitsrelevanter Schwachstellen in IT-Umgebungen. Hier werden grundlegende Aspekte aufgeführt, die Betriebe im Rahmen eines individuellen Sicherheitskonzeptes beschreiben müssen. Dazu gehört z. B., dass ein Unternehmen

  • Sicherheitsziele und eine Sicherheitsstrategie festlegt,
  • eine verantwortliche Führungskraft benennt, die den Prozess steuert,
  • Sicherheitsmaßnahmen durchführt – zur Pflege und zum Verbesserungsprozess,
  • die Grundwerte der Informationssicherheit einhält (vgl. Tab. 1).[3]
[1] Alle Organisationen, die der Telekommunikationsbranche angehören oder zu den sog. Kritischen Infrastrukturen (KRITIS) zählen, unterliegen dem IT-Sicherheitsgesetz. KRITIS sind Anlagen oder Systeme, die für die Erfüllung wichtiger gesellschaftlicher Funktionen unverzichtbar sind. Betriebe müssen eigenständig prüfen, ob sie dazu zählen.
[2] Die dort formulierten Standards dienen Unternehmen und Behörden als Grundlage zur Zertifizierung nach IT-Grundschutz. Siehe u. a.: BSI-Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)"; BSI-Standard 100-2 "IT-Grundschutz-Vorgehensweise"; BSI-Standard 100-3 "Risikoanalyse auf der Basis von IT-Grundschutz"; DIN EN ISO/IEC 27000:2017-10 "Informationstechnik – Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Überblick und Terminologie"; DIN EN ISO/IEC 27001:2017-06 "Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen" und andere Normen aus der 27000-Reihe.
[3] Vgl. BSI-Standard 100-1 "Managementsysteme für Informationssicherheit (ISMS)", S. 27 f.; BSI-Standard 100-2 "IT-Grundschutz-Vorgehensweise", S. 18 ff.

Das ist nur ein Ausschnitt aus dem Produkt Arbeitsschutz Office Professional. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Arbeitsschutz Office Professional 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge