Welche Maßnahmen sollten Unternehmen unverzüglich ergreifen?

15:34 16 Juni in IT-Sicherheitsgesetz OnePage

Unternehmen sehen sich derzeit mit den Herausforderungen konfrontiert, dass sie oftmals noch nicht einschätzen können, ob und in welchem Umfang sie vom Gesetzgeber als Unternehmen mit KRITIS eingeordnet werden.

Hinzu tritt der Umstand, dass die neuen gesetzlichen Anforderungen, welche das IT-SicherheitsG verlangt, durch eine Vielzahl von vagen Formulierungen noch im Rahmen praktischer Umsetzungen von Maßnahmen für den Einzelfall zu definieren sein werden.

Vor dem Hintergrund, dass viele Unternehmen oftmals nicht einschätzen können, ob und in welchem Umfang sie vom Gesetzgeber als Unternehmen mit KRITIS eingeordnet werden, und sie darüber hinaus vielfach nicht in der Lage sind den Umfang der gesetzlichen Anforderungen abzuschätzen, empfiehlt sich, dass Unternehmen umgehend prüfen, ob das IT-SicherheitsG unmittelbare oder mittelbare Auswirkungen für sie entfaltet. Auch für Unternehmen, die gegebenenfalls nicht auf den ersten Blick als Betreiber von KRITIS angesehen würden, können sich aus dem IT-SicherheitsG, z.B. aufgrund abgeleiteter Verpflichtungen, neue eigene Pflichten ergeben.

In Anbetracht der Gefahr von hohen Geldbußen im Falle von Verletzungen von aus dem IT-SicherheitsG resultierenden Pflichten, ist dringend eine fachliche und rechtliche Beratung durch ausgewiesene Spezialisten für IT-Sicherheit zu empfehlen.

WPNO berät und begleitet Sie bei der Identifizierung von verpflichtenden Maßnahmen und deren Umsetzung im Rahmen der Vorgaben des IT-SicherheitsG.

Betroffenheitsanalyse

Unsere Wirtschaftsprüfer, Steuerberater, Rechtsanwälte, IT- und Datenschutz-Spezialisten gleichermaßen wie unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie die spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte begleiten Sie bei der Prüfung der Frage, ob Sie als Betreiber einer KRITIS nach Maßgabe des IT-SicherheitsG angesehen werden und welche Pflichten Ihnen nach einer positiven Prüfung obliegen.

Gemeinsam mit Ihnen analysieren wir im Rahmen interaktiver Workshops, die von unseren IT-Sicherheitsexperten moderiert werden, ob und inwiefern Teile Ihrer Organisation, Ihrer Prozesse oder Ihrer Anlagen als KRITIS im Sinne des IT-SicherheitsG anzusehen sind.

WPNO stellt Ihre sämtlichen Prozesse im Rahmen einer Risikoanalyse auf den Prüfstand und untersucht diese in Bezug auf die folgenden Fragestellungen:

  • In welchem Bereich Ihres Unternehmens können Ausfälle entstehen?
  • Warum können dort Ausfälle entstehen?
  • Wie können Ausfälle entstehen?
  • Welche Konsequenzen / Schäden drohen bei Eintritt eines Ausfalls?

Wir wenden im Rahmen dieser Analyse die entsprechenden Vorgaben aus dem IT-SicherheitsG sowie die für Ihre Organisation relevanten sektorspezifischen Verordnungen an.

Auf Grundlage der gewonnenen Ergebnisse können im Anschluss unternehmensspezifische Sicherheits-maßnahmen für Ihr Unternehmen definiert und umgesetzt werden.

Ihr Unternehmen gewinnt mit einer solchen Analyse Rechtssicherheit in Bezug auf die Erfüllung möglicher Pflichten aus dem IT-SicherheitsG und die Möglichkeit der kurzfristigen Umsetzung von entsprechenden Maßnahmen für eine verbesserte IT-Sicherheit.

Sollten Sie unabhängig von einer externen Betroffenheitsanalyse der Ansicht sein, dass Ihre Organisation nicht als Teil von KRITIS nach dem IT-SicherheitsG anzusehen ist, so unterstützen Sie unsere Wirtschaftsprüfer, Steuerberater, Rechtsanwälte sowie IT- und Datenschutz-Spezialisten, gleichermaßen wie unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie die spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte gerne im Rahmen einer entsprechenden Kommunikation mit den zuständigen Behörden.

Informationssicherheitsmanagementsystem (ISMS)

Gemäß einer Studie im Auftrag der Kollegen von PwC aus dem Jahr 2015 wurde im vergangenen Jahr jedes zehnte mittelständische Unternehmen ein Opfer von Cyberangriffen. Die Höhe der eingetretenen Schäden belief sich auf durchschnittlich 80.000 EUR.

Wie die Studie weiter offenbart, verfügen derzeit lediglich 41 % der befragten mittelständischen Unternehmen mit einer KRITIS ein zertifiziertes ISMS.

Trotz steigender Anforderungen an die IT-Sicherheit durch Geschäftspartner und Kunden und einer vor dem Hintergrund von zunehmender Vernetzung und Digitalisierung immer schwieriger werdenden Abgrenzung zwischen kritischen und nicht-kritischen Infrastrukturen gehen viele Unternehmen den Auf- und Ausbau entsprechender Sicherheitsmaßnahmen in ihrer IT zu verhalten an.

WPNO unterstützt Sie beim Aufbau eines schlanken und flexiblen ISMS. Verfügen Sie bereits über ein solches, so helfen wir Ihnen bei der Erweiterung desselben in Bezug auf die aus dem IT-SicherheitsG resultierenden zusätzlichen Anforderungen.

Ein bedarfsgerechtes und handhabbares ISMS stellt insbesondere für die kleineren Betreiber von KRITIS ein zentrales Erfordernis dar, um IT-Sicherheit überhaupt zu gewährleisten.

Nur mit einem ISMS lassen sich Schwachstellen in der eigenen IT identifizieren, Cyberangriffe frühzeitig erkennen und Maßnahmen zur Abwehr ergreifen.

Unsere Wirtschaftsprüfer, Steuerberater, Rechtsanwälte sowie IT- und Datenschutz-Spezialisten und unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie die spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte unterstützen und begleiten Sie auf Basis unseres Know-hows und unserer langjährigen Expertise bei der gesetzeskonformen Umsetzung Ihrer Sicherheitsorganisation.

Ergänzend dazu beraten wir Sie bei der Erstellung der notwendigen Regel- und Vorgabenwerke und bei dem Aufbau eines IS-Risikomanagements.

WPNO erarbeitet mit Ihnen ein rechtskonformes Sicherheits- und Datenschutzkonzept auf Basis M 2.500 ff. und BSI IT-Grundschutz, die im Rahmen erhöhter Sicherheitsanforderungen in Verbindung mit dem IDW PS 980, IDW EPS 981, IDW EPS 982, IDW PS 951 n.F. und dem IDW PS 330 als Nachweis über das Vorliegen eines ausreichenden ISMS angesehen werden können. Dabei berücksichtigen wir auch die ISO Standards DIN EN ISO 9001:2015, DIN ISO/IEC 27001:2015, DIN ISO/IEC 20000-1:2011, DIN EN ISO 22301:2014 sowie CobiT u.ä. Dem liegt die Intention zugrunde, dass die vorgenannten Standards und Normen Überschneidungen aufweisen, die bei einer systematischen Herangehensweise für Sie als Synergien nutzbar gemacht werden können. Schließlich orientieren wir uns auch an einer Kombination aus „Stand der Technik“ und „Stand von Wissenschaft und Technik“.

In diesem Zusammenhang sei nochmals auf die Notwendigkeit von Compliance und der Einrichtung eines CMS hingewiesen. Die bloße Einrichtung eines CMS entfaltet in einem Schadensfall jedoch keine haftungsreduzierende Wirkung. Dafür hat der Gesetzgeber eine Wirksamkeitsprüfung nach IDW PS 980, IDW EPS 981, IDW EPS 982  vorgesehen, welche ausnahmslos durch Wirtschaftsprüfungsgesellschaften erfolgt. Die vorgelagerte Konzeptions- und/oder Angemessenheitsprüfung des CMS sind in der Wirksamkeitsprüfung des CMS zwar enthalten, entfalten für sich allein jedoch keine haftungsrelevanten Auswirkungen.

Vor dem Hintergrund der Implementierung eines ISMS können wir im Übrigen diesbezüglich bereits ein Pre-Audit durchführen. Dies ermöglicht Ihnen die zeitnahe Zertifizierung Ihres ISMS und vermeidet womöglich doppelten Aufwand.

Sensibilisierung Ihrer Mitarbeiter

Von entscheidender Bedeutung für Ihre IT-Sicherheit ist auch die entsprechende Sensibilisierung Ihrer Mitarbeiter. Durch den vermehrten Einsatz mobiler Endgeräte in Kombination mit schlecht geschulten Mitarbeitern steigen die Gefahren von Cyberangriffen exponentiell an.

Vor dem Hintergrund, dass eine Vielzahl von Cyberattacken durch die Unkenntnis oder Unachtsamkeit von Mitarbeitern ermöglicht werden, bieten sich hier Mitarbeiterfortbildungen an, die Ihre Mitarbeiter mit den Gefahren von zunehmender Mobilität und Vernetzung vertraut machen.

WPNO schult und sensibilisiert Ihre Mitarbeiter im sicherheitsrelevanten Umgang mit Mobile Devices und der voranschreitenden Digitalisierung.

Meldeorganisation

WPNO unterstützt und begleitet Sie im Rahmen der Ausgestaltung von Verfahren und Prozessen, mit denen Sie eine Meldeorganisation aufbauen, und versetzt Sie dadurch in die Lage Informationssicherheitsvorfälle zeitnah aufdecken und melden zu können.

Unsere Wirtschaftsprüfer, Steuerberater, Rechtsanwälte, IT- und Datenschutz-Spezialisten und unsere externen BSI-IT-Grundschutz-Auditoren, die hauseigenen ISO 27001 Lead-Auditoren sowie die spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräfte stehen Ihnen bei der Implementierung von Methoden zur Erkennung von Sicherheitsvorfällen beratend zur Seite und zeigen Ihnen Möglichkeiten zur Risikobeurteilung, der Klassifizierung von Vorfällen und zur angemessenen Reaktion auf diese im Rahmen einer „Incident Response“ auf.

Eine adäquate Dokumentation eingetretener Vorfälle, ein umfassendes Berichtswesen und eine ordnungsgemäße Meldung an das BSI bilden dabei zentrale Bestandteile.

Wenn Ihr Unternehmen bereits über entsprechende Prozesse verfügt, analysieren wir diese gerne in Bezug auf deren Konformität mit dem IT-SicherheitsG.

Zertifizierung

WPNO bietet Ihnen als akkreditierte Zertifizierungs- und Prüfungsgesellschaft, mit seinem Team aus Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten, IT- und Datenschutz-Spezialisten und unseren externen BSI-IT-Grundschutz-Auditoren, den hauseigenen ISO 27001 Lead-Auditoren sowie den spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräften die Zertifizierung Ihres ISMS nach DIN ISO/IEC 27001-2:2015 an. Vor dem Hintergrund, dass diese allein keinesfalls ausreicht, um die hohen Anforderungen des IT-SicherheitsG zu erfüllen, orientieren wir uns darüber hinaus am IT-Grundschutz des BSI, sowie den Wirtschaftsprüfertestaten IDW PS 330, IDW PS 951 n.F. und IDW PS 980, IDW EPS 981. Branchenspezifische Standards wie der IT-Sicherheitskatalog der Bundesnetzagentur oder DIN ISO/IEC TR 27019:2015 für die Energiewirtschaft finden dabei selbstverständlich die erforderliche Berücksichtigung. Im Rahmen der Zertifizierung würden wir Ihnen auch Tools zur Seite stellen, die die Erlangung der Zertifizierung signifikant vereinfachen. Die Tools entsprechen dabei u.a. den Vorgaben Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und sind darüber hinaus IDW RS FAIT 1, IDW PS 261 n.F., 330, 880, 951 n.F. sowie ISAE 3402 konform.

Vorfallsanalyse und Investigation

Jede Stärkung und Verbesserung der Sicherheitsinfrastruktur setzt im Vorfeld eine systematische Erfassung des IST-Zustands voraus bzw. eine Auseinandersetzung mit in der Vergangenheit liegenden Sicherheitsvorfällen. WPNO mit seinen interdisziplinären „Incident Response“- und „Forensic Investigation“-Teams bestehend aus Wirtschaftsprüfern, Steuerberatern, Rechtsanwälten, IT- und Datenschutz-Spezialisten und seinen externen BSI-IT-Grundschutz-Auditoren, den hauseigenen ISO 27001 Lead-Auditoren sowie den spezialisierten CISA-, CISM-, CGEIT- und CRISC-Fachkräften berät und begleitet Sie bei der Analyse und Bearbeitung von Sicherheitsvorfällen.

Auf Basis dieser fundierten Analysen können Sie Schwachstellen in Ihren Prozessen und Kontrollmechanismen aufdecken. Zudem ermöglichen Ihnen die Analysen die Identifizierung von dolosen Handlungen zu Lasten Ihrer Organisation durch interne oder externe Personen.

Wir begleiten Sie im Rahmen Ihrer Erstreaktion, bei der Lagebeurteilung, bei ersten Maßnahmen zur Eindämmung des Vorfalls, bei der Beweissicherung und bei der Analyse des Vorfalls. Wir bereiten die gewonnenen Erkenntnisse gerichtsverwertbar auf und präsentieren gemeinsam mit Ihnen die entsprechenden Untersuchungsergebnisse.