Das Wichtigste im Überblick
- Informationssicherheit (Cyber Security) bedeutet, physische sowie elektronische/digitale Daten vor unberechtigtem Zugriff zu schützen.
- Um Informationssicherheit zu gewährleisten und für den Ernstfall gewappnet zu sein, etablieren Unternehmen einen Cyber-Vorstand.
- Pflichten für Unternehmen in Sachen Datensicherheit und Datenschutz entstehen aus dem IT-Sicherheitsgesetz 1.0 und 2.0 sowie der DSGVO, in diesem Jahr kommen das Umsetzungsgesetz zur NIS-2-Richtlinie und weitere Rechtsakte der EU hinzu. Daneben gibt es sektorspezifische Vorschriften. Hier ist Compliance gefordert, um Haftung zu vermeiden.
Was ist Informationssicherheit (Cyber Security)?
Bei der Informationssicherheit (Cyber Security) geht es für Unternehmen darum, (unternehmensinterne) Informationen zu schützen. Der Schutz gilt:
- dem unberechtigten Zugriff,
- der Erlangung und/oder
- der Nutzung durch Dritte oder vor Verlust.
Es geht um Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.
Auch wenn Unternehmen dabei regelmäßig direkt an digitale Informationen denken, bezieht sich der Begriff auch auf physische und nicht nur auf elektronische Informationen.
Der Gewährleistung der digitalen Informationssicherheit (Cyber Security) kommt dabei ein besonderer Stellenwert zu. Dieser Bereich wird in Deutschland regelmäßig als IT-Sicherheit bezeichnet. Durch die Digitalisierung und die Anbindung an das World Wide Web sind Informationen heute leichter zugänglich als jemals zuvor. Nicht nur Unternehmen, auch Regierungen und andere Organisationen nutzen digitale Kanäle – und müssen für Informationssicherheit sorgen. Dazu werden verschiedene Maßnahmen und Technologien eingesetzt wie Firewalls, Zugriffskontrollen, Verschlüsselung oder ganz generelle Sicherheitsrichtlinien. Ein wesentlicher Baustein ist auch die Absicherung, dass erkannte Sicherheitslücken in Software und digitalen Produkten durch Updates in angemessener Zeit geschlossen werden.
Datenmanagementsysteme, Internet of Things, Künstliche Intelligenz – die Möglichkeiten für den Einsatz digitaler Tools in Unternehmen sind schon jetzt beinahe grenzenlos. Sie alle bergen Risiken. Gerade die Prozesse und die Menschen innerhalb eines Unternehmens stellen dabei einen besonderen Risikofaktor für die Informationssicherheit und den Unternehmenswert dar (siehe aktuelle Studie Allianz). Das kann, muss aber nicht mit bösen Absichten zusammenhängen.
Lücken in den Sicherheitsvorkehrungen für digitale Zugänge entstehen vor allem durch Unwissenheit und Unachtsamkeit. Deshalb müssen Mitarbeitende immer (und immer wieder) geschult werden. Nur so gelingt es, Informationen inklusive ihrer Vertraulichkeit, Integrität und Verfügbarkeit zu schützen und einen reibungslosen Geschäftsbetrieb zu gewährleisten.
In Unternehmen ist es deshalb sinnvoll, einen geschulten Cyber-Vorstand einzusetzen. Er ist für die Informations- und Cyber-Sicherheit im Unternehmen und alle angrenzenden Belange verantwortlich.
Was ist ein Cyber-Vorstand und warum wird er eingesetzt?
Ein Cyber-Vorstand ist meist weder Informatiker/-in noch Jurist/-in. Aber die Person in dieser Position sollte technikaffin und sensibel in Bezug auf Daten und die rechtlichen Fallstricke in diesem Themenbereich sein. Er oder sie hat also nicht nur Datenschutz und Informationssicherheit im Blick, sondern auch die Compliance, die mit diesen Themen einhergeht. Der Fokus der Aufgabe liegt in der Schaffung der Ressourcen, dem Aufbau eines verlässlichen Teams mit Informatikern/-innen und nicht zuletzt auf der Gewährleistung von Schulungen der Mitarbeitenden, da bei ihnen erhebliche Risiken für die Informationssicherheit liegen. Daneben obliegen dem Cyber-Vorstand auch weitere Schutzvorkehrungen, Frühwarnsysteme und natürlich die adäquate Reaktion im Ernstfall (Notfallplan Cyber-Angriff). Wurde ein Unternehmen gehackt, muss er oder sie wissen, welche Schritte sofort einzuleiten sind. Der Cyber-Vorstand überwacht, dass all dies im Unternehmen in angemessenem Umfang vorhanden ist.
Professionelle Unternehmen etablieren jetzt einen Cyber-Vorstand, wenn er nicht bereits etabliert ist. Ein Cyber-Vorstand ist heute unabdingbarer Bestandteil der Unternehmens-Strategie zur Informationssicherheit. Er kennt die Regularien, behält sie im Blick, sorgt für Compliance und im Ernstfall für ein souveränes und richtiges Handeln. Wir unterstützen Sie gerne bei der Implementierung dieser Position in Ihrem Unternehmen oder auch bei der Begleitung der richtigen Reaktionen im Ernstfall.
IT-Sicherheitspflichten für Unternehmen
Die Pflichten für Unternehmen in Bezug auf die Informationssicherheit entstehen derzeit aus dem IT-Sicherheitsgesetz 1.0 und 2.0 sowie der Datenschutzgrundverordnung (DSGVO). Daneben gibt es sektorspezifische Pflichten zum Beispiel für den Energie- und Telekommunikationssektor. Derzeit wird das IT-Sicherheitsgesetz novelliert durch die Umsetzung der NIS-2-Richtlinie. Das muss bis Oktober 2024 erledigt sein. Weitere Vorgaben aus Brüssel kündigen sich bereits an: Mit dem Cyber Solidarity Act soll ein Schutzschirm gegen Angriffe über die ganze EU aufgespannt werden. Der Cyber Resilience Act wird Sicherheitsmängel von digitalen Produkten zum Mangel erklären. Die Produkthaftungsrichtlinie wird Software als Produkt einordnen. Dann muss bei Sicherheitsmängel ein Update oder schlimmstenfalls ein Rückruf erfolgen, um die verschuldensunabhängige Haftung des Produkthaftungsrechts zu vermeiden.
Das Ziel des IT-Sicherheitsgesetzes und seiner Neuauflage ist ein verbesserter Schutz von Unternehmen sowie Verbrauchern und besonders – aber nicht nur – der kritischen Infrastruktur (KRITIS) in Deutschland. Zuständig für die Kontrolle und Umsetzung der Gesetze ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die DSGVO enthält Regelungen für alle personenbezogenen Daten und wird von den Datenschutzaufsichtsbehörden der Länder und dem Bundesdatenschutzbeauftragten durchgesetzt. Besonders bei ihrer Einführung hat sie für Aufruhr in Unternehmen gesorgt, die die grundlegenden Datenschutzvorkehrungen zunächst etablieren und Datenschutzbeauftragte benennen mussten. Eine wesentliche Pflicht aus der DSGVO ist die Gewährleistung einer angemessenen Datensicherheit. Mit der Novellierung des IT-Sicherheitsgesetzes wird diese Pflicht jetzt nochmals deutlich ausgeweitet, auch auf nicht-personenbezogene Daten.
In beiden Bereichen müssen Unternehmen für die nötige Compliance mit dem gesetzlichen Regelwerk sorgen, was durch einen Cyber-Vorstand umgesetzt werden kann.
Ihre Informationssicherheit in unseren Händen
Das Thema Informationssicherheit ist komplex und berührt in der digitalisierten Zeit nahezu jeden Bereich eines Unternehmens. Schon längst sind nicht mehr nur Unternehmen betroffen, die originär digitale Produkte und Dienstleistungen vermarkten. Wir unterstützen und begleiten Sie bei der Erarbeitung einer Strategie, mit der Sie die Informationssicherheit im Blick behalten. Unsere Prämisse ist es, Vorfälle anhand von Maßnahmen wie der Schulung von Mitarbeitenden zu vermeiden. Aber wir bereiten Sie auch auf Cyberattacken vor – durch Notfalltrainings und eine umfassende und individuelle Strategie für den Ernstfall. Und wenn es soweit gekommen ist, begleiten wir Sie auch bei der richtigen Choreographie und Organisation, um den Schaden für Ihr Unternehmen und Sie möglichst gering zu halten.
Setzen Sie sich mit uns in Verbindung und wir gehen das Thema Informationssicherheit in Ihrem Unternehmen an.
FAQ
Was sind die 3 Grundsätze der Informationssicherheit (Cyber Security)?
Die drei Grundsätze der Informationssicherheit lauten:
- Vertraulichkeit,
- Verfügbarkeit und
- Integrität.
Informationen sollen also nur von solchen Personen, die dazu autorisiert sind, dafür aber jederzeit (ohne Störungen, Ausfälle oder Angriffe) eingesehen werden können. Diese Personen sollen dann die Gewissheit haben, dass diese Informationen korrekt sind und nicht von Unbefugten verändert wurden.
Was ist der Unterschied zwischen IT-Sicherheit, Informationssicherheit und Cyber Security?
Die Begriffe IT-Sicherheit und Informationssicherheit werden oft synonym verwendet. Allerdings bezieht sich der Begriff Informationssicherheit auf ein breiteres Spektrum, da er alle Arten von Informationen umfasst, also auch solche, die nicht elektronisch oder digital vorhanden sind. Er umfasst beispielsweise auch physische Aktenbestände oder auch Richtlinien etc. IT-Sicherheit hingegen bezieht sich speziell auf den Schutz der IT und der Daten, die digital vorhanden sind. Man kann also sagen, dass IT-Sicherheit ein Teilaspekt der Informationssicherheit ist.
Der Begriff „Cyber Security“ ist neu im deutschen Rechtsraum und durch die neuesten EU-Rechtsakte eingeführt worden. Er sollte synonym zum Begriff der Informationssicherheit verwendet werden. Letztlich hätte der EU-Gesetzgeber hier auch auf die deutsche Übersetzung „Informationssicherheit“ zurückgreifen können, anstatt es beim englischen Begriff auch in der deutschen Übersetzung zu belassen.
Sind Cyber Security und Informationssicherheit das gleiche wie Datenschutz?
Datenschutz ist lediglich ein Teilaspekt der Informationssicherheit und geht zugleich darüber hinaus.
Informationssicherheit zielt auf die Sicherheit physisch vorhandener und elektronisch abgelegter Daten, unabhängig davon, ob diese personenbezogen sind oder nicht, wie dies zum Beispiel bei Unternehmens-Know-how oft der Fall ist.
Der Datenschutz konzentriert sich speziell auf personenbezogene Daten und gewährleistet nicht nur deren Sicherheit, sondern eine Reihe weiterer Grundsätze, zum Beispiel die Transparenz gegenüber den betroffenen Personen.
Die Schnittmenge betrifft die Datensicherheit. In dieser Schnittmenge ergänzen sich beide Aspekte der Informationssicherheit und des Datensicherheit und sie sind eng miteinander verbunden.
Welche Anforderungen an Informationssicherheit und Cyber Security gibt es für Unternehmen?
Die Anforderungen an Informationssicherheit und Cyber Security variieren von Branche zu Branche, nach der jeweiligen Unternehmensgröße und je nach den speziellen Bedürfnissen von Unternehmen. Grundlegende Anforderungen bestehen insbesondere in
- Vertraulichkeit,
- Integrität,
- Verfügbarkeit,
- Authentifizierung und Autorisierung,
- Datenschutz im Allgemeinen,
- Sicherheitsbewusstsein und Schulung der Mitarbeitenden,
- Sicherheitsrichtlinien und -verfahren,
- Sicherheitsprüfungen und Audits,
- physischer Sicherheit und
- ganz grundlegend Compliance mit gesetzlichen Regelungen und Industriestandards.
Ihre Ansprechpartnerin: Dr. Kristina Schreiber