ISMS – Information Security Management

Unser Thema auf dem 84. IT-Unternehmerfrühstück am 7.7.2017 in Eschborn: ISMS Information Security Management

Wir hatten zu diesem Thema eine rege Diskussion und haben folgende wichtige Kernaussagen festgehalten:

ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu:

  • definieren,
  • steuern,
  • kontrollieren,
  • aufrechtzuerhalten und
  • fortlaufend weiter zu entwickeln.

IT-Unternehmen unterliegen dem IT-Sicherheitsgesetz IT-SIG und haben dafür Sorge zu tragen, dass ein ISMS im Unternehmen existiert und gelebt wird.

IT-Unternehmer sind damit persönlich haftend, wenn die Forderungen des IT-SIG nicht erfüllt werden.

Ohne ein ISMS könnten im Schadenfall ggfls. grobe Fahrlässigkeit nachgewiesen werden.

Die meisten Schadenfälle z.B. durch wannacry (Schadsoftware) sind Angriffe auf niedrigsten Niveau. Dies allein könnte schon als Fahrlässigkeit interpretiert werden, wenn eine derartige Schadsoftware Daten auf den Rechnern verschlüsseln.

Tom Volkert Geschäftsführer der Byteaction Solutions GmbH prognostiziert, dass die Vorschriften des IT-SIG Jahr für Jahr verschärft werden und damit an Relevanz gewinnen werden.

IT-Unternehmen die bereits geprüft wurden stehen besonders unter Handlungszwang, da aufgrund der Revisionsprotokolle die getroffenen Maßnahmen und Optimierungen nachweisbar sein müssen.

Viele IT-Unternehmer und Geschäftsführer von Unternehmen meinen, dass sie durch die Auslagerung des IT-Betriebs in ein Rechenzentrum das Risiko auf den RZ-Betreiber erfolgreich verlagert haben.

Dies ist aber ein Trugschluss, so Tom Volkert und Christian Kress Sicherheitsexperten des IT-Unternehmerfrühstücks in Frankfurt/Eschborn und Karlsruhe. Unsichere Applikationen werden durch die Verlagerung in das Rechenzentrum nicht sicherer und die Verträge mit den Rechenzentren sind so formuliert, dass die Haftung aus unsicheren Applikationen weiterhin bei den  Systemeigentümern verbleibt. Dies gilt im Übrigen auch für die Versicherungspolicen – wer hätte es anders erwartet.

Geschäftsführer sollten sich darüber im Klaren sein, dass Sie persönlich dafür zu sorgen haben, dass ein effektives ISMS im Unternehmen implementiert wird – wenn nicht droht im Schadenfall die persönliche Haftung. Die Schadenssummen haben sich in den letzten Jahren erheblich erhöht und können sich im Schadensfall existenzgefährdend für die Geschäftsführer auswirken.

Also ein wichtiges Thema, bei dem guter Rat gefragt ist und ein Thema, das eine hohe Priorität im IT-Unternehmen haben sollte.