IT-Standards

Sicherheit ist ein zentrales Thema der IT-Standards

15.02.2018 von Michael Kranzer
Unternehmen, die sich auf die Datenschutz-Grundverordnung (DSGVO) vorbereiten, sollten die Chance nutzen, ihre IT-Sicherheit ganzheitlich zu entwickeln. Neben der DSGVO gibt es viele weitere Compliance-Anforderungen und Standards, die die IT-Sicherheit betreffen. Wir haben mit dem Verantwortlichen zur Umsetzung der DSGVO bei Bechtle gesprochen, wie sich Synergien ermöglichen und Widersprüche im IT-Sicherheitskonzept vermeiden lassen.

Für viele Unternehmen steht die Datenschutz-Grundverordnung (DSGVO / GDPR) weit oben auf der Agenda. So wichtig und drängend die neue EU-Datenschutzverordnung auch ist, es sollte nicht vergessen werden, dass es weitere externe und interne Anforderungen an die IT-Sicherheit des Unternehmens gibt, die ebenfalls zu erfüllen sind.

Dieser Umstand sollte nicht als zusätzliche Belastung gesehen werden, sondern als Chance, so der Datenschutzkoordinator von Bechtle. Die gegenwärtig laufenden Projekte zur Umstellung auf die Datenschutz-Grundverordnung können zu Synergien führen, wenn das Unternehmen den richtigen Ansatz bei der Anpassung des IT-Sicherheitskonzeptes wählt.

DSGVO mit anderen Compliance-Forderungen abgleichen

Abhängig von der Branche und der individuellen vertraglichen Verpflichtungen unterliegt jedes Unternehmen neben der DSGVO weiteren Anforderungen, zum Beispiel KRITIS bei Betreibern kritischer Infrastrukturen, PSD2 im Zahlungsverkehrsmarkt oder GMP (Good Manufacturing Practice) in der Pharmazeutischen Industrie. Jeder dieser Standards und Compliance-Regelwerke enthält Vorgaben zur IT-Sicherheit. Anstatt nun Standard für Standard zu bearbeiten und die IT-Sicherheitsvorgaben getrennt voneinander anzugehen, empfiehlt es sich, die IT-Sicherheitsanforderungen der verschiedenen Standards miteinander abzugleichen.

Achtung: Gleiche Anforderungen haben verschiedene Bezeichnungen

Wie die Erfahrung des Bechtle-Datenschutzkoordinators zeigt, muss zuerst eine gemeinsame Begrifflichkeit für die Anforderungen gefunden werden, um Übereinstimmungen und mögliche Synergien zu erkennen. Dafür ist es hilfreich, einen erfahrenen Moderator zu haben, der die verschiedenen Branchen und Standards kennt, die Bezeichnungen fachlich übersetzen und so die Überlappungen zwischen den Anforderungen sichtbar machen kann.

Das Resultat des Abgleichs und damit die Summe der IT-Sicherheitsanforderungen finden dann Eingang in eine IT-Sicherheitsleitlinie, die das oberste Dokument für die Organisation der IT-Sicherheit darstellt. Alle weiteren IT-Sicherheitsrichtlinien beziehen sich auf diese Leitlinie und werden daraus abgeleitet.

Wichtig: Die jeweils höchste Sicherheitsanforderung zählt

Wenn zum Beispiel ein Standard eine Zugangskontrolle fordert und ein anderer eine starke Zugangskontrolle mittels Zwei-Faktor-Authentifizierung verlangt, dann wird in der Sicherheitsleitlinie die höhere Sicherheitsanforderung festgeschrieben. Dadurch wird die schärfere Anforderung genauso erfüllt wie die normale. Durch diese Konsolidierung lassen sich Widersprüche in den Sicherheitsrichtlinien vermeiden.

Der Weg zur einheitlichen Sicherheitsleitlinie

Zusammenfassend empfehlen sich folgende Schritte:

Dieses Vorgehen macht aus dem DSGVO-Projekt ein umfassendes Compliance-Projekt, das sich durch die Synergien weitaus leichter stemmen lässt als viele, teils widersprüchliche Einzelprojekte.