\nBSI IT-Grundschutz<\/td>\n | \n\n \n Der vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) entwickelte Grundschutzkatalog bietet einen umfassendes Kompendium f\u00fcr Informationssicherheit. Er umfasst die Beschreibung einer detaillierten Methodik hinsichtlich des Aufbaus eines ISMS und ber\u00fccksichtigt dabei die komplexen Anforderungen an IT-Systeme und sicherheitsrelevanten Prozesse.<\/div>\n<\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n <\/div> <\/div> Diese Vorschriften und Standards sind von entscheidender Bedeutung, denn sie stellen unter anderem Folgendes sicher:<\/p>\n \n- Strukturiertes Vorgehen:\u00a0<\/strong>Unterst\u00fctzung von Unternehmen beim methodischen und effizienten Management von Cybersicherheitsrisiken.<\/li>\n
- Compliance:<\/strong>\u00a0Hilfsmittel f\u00fcr die Organisationen zur Einhaltung gesetzlicher sowie regulatorischer Anforderungen.<\/li>\n
- Zuverl\u00e4ssigkeit:<\/strong>\u00a0Etablieren von Sicherheitsprinzipien innerhalb und au\u00dferhalb des Unternehmens durch transparent dokumentiertes Engagement f\u00fcr Cybersicherheit.<\/li>\n<\/ul>\n
Unternehmen, die sich im Bereich der Cybersicherheit engagieren, sch\u00fctzen sich nicht nur vor Angriffen, sondern bauen damit ebenso einen nachhaltigen Wettbewerbsvorteil auf.<\/p>\n<\/div> <\/div> \u00dcberblick zur NIS2 Richtlinie<\/strong><\/h2><\/div>Mit der NIS2 wird der zunehmenden Anzahl von Cyber-Bedrohungen und Vorf\u00e4llen begegnet, indem ein hohes allgemeines Sicherheitsniveau f\u00fcr Netzwerke und Informationssysteme in der EU geschaffen wird.\u00a0 Es handelt sich um eine Aktualisierung der bestehenden EU Richtlinie, die unter anderem den Geltungsbereich deutlich erweitert.<\/p>\n<\/div> <\/div> Wer ist davon betroffen?<\/h3><\/div>NIS2 betrifft ein breites Spektrum an Unternehmen in den Branchen der T\u00e4tigkeitsfelder:<\/p>\n \n- Wesentliche Organisationen:\u00a0<\/strong>Energie, Verkehr, Bankwesen, digitale Infrastruktur, Gesundheitsweisen.<\/li>\n
- Wichtige Organisationen<\/strong>: Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel.<\/li>\n
- Digitale Dienste:\u00a0<\/strong>Cloud Computing Dienste, Online-Marktpl\u00e4tze und -Suchmaschinen.<\/li>\n<\/ul>\n
Durch diese Ausweitung des Geltungsbereichs wird sichergestellt, dass zuk\u00fcnftig mehr Organisationen solide Cybersicherheitspraktiken etablieren.<\/p>\n<\/div> <\/div> Hauptbestandteile und rechtliche Anforderungen<\/h3><\/div>Die NIS2-Richtlinie enth\u00e4lt umfassende Anforderungen zur St\u00e4rkung der Cybersicherheit in den Bereichen:<\/p>\n \n- Risikomanagement:\u00a0<\/strong>Konzepte f\u00fcr die Risikoanalyse, -bewertung und -mitigation durch geeignete Ma\u00dfnahmen.<\/li>\n
- Umgang mit Vorf\u00e4llen:\u00a0<\/strong>Verfahren zum effektiven Management sowie der Eind\u00e4mmung von Cybersicherheitsvorf\u00e4llen.<\/li>\n
- Business Continuity Management:\u00a0<\/strong>Umfasst den Umgang mit Backups, die Wiederherstellung nach Unterbrechungen und ein umfassendes Krisenmanagement.<\/li>\n
- Supply Chain Security:\u00a0<\/strong>Betrifft Gesch\u00e4ftsbeziehungen und Abh\u00e4ngigkeiten zwischen einem Unternehmen und seinen direkten Lieferanten und Dienstleistern.<\/li>\n
- Access Control and Asset Management:\u00a0<\/strong>Sicherheitsma\u00dfnahmen, die unter anderem Schulungen, Kryptographie, Need-to-know-Prinzipien und die Trennung von Aufgaben umfassen.<\/li>\n<\/ul>\n
Mit diesen rechtlichen Anforderungen soll sichergestellt werden, dass Unternehmen nicht nur die h\u00f6chsten Sicherheitsstandards einhalten, sondern auch proaktiv gegen die sich st\u00e4ndig weiterentwickelnden Cyber-Bedrohungen vorgehen k\u00f6nnen.<\/p>\n<\/div> <\/div> Die Bedeutung von DORA f\u00fcr Finanzdienstleistunger<\/strong><\/h2><\/div>Die Verordnung DORA (Digital Operational Resilience Act) ist ein neuer, von der Europ\u00e4ischen Union geschaffener, Rechtsrahmen, der die operative Widerstandsf\u00e4higkeit des Finanzsektors verbessern soll. Mit der Einf\u00fchrung von DORA soll sichergestellt werden, dass alle Unternehmen im Bereich der Finanzdienstleister \u00fcber ad\u00e4quate Schutzma\u00dfnahmen verf\u00fcgen, um Cyber-Risiken zu mindern und den unterbrechungsfreien Betrieb im Falle von IKT-St\u00f6rungen aufrechterhalten k\u00f6nnen. DORA erweitert und pr\u00e4zisiert die\u00a0 Anforderungen der NIS2-Richtlinie und versch\u00e4rft diese insbesondere f\u00fcr Unternehmen im Finanzsektor sowie deren IT-Dienstleister.<\/p>\n<\/div> <\/div> Wer ist davon betroffen?<\/h3><\/div>DORA verfolgt einen ganzheitlichen Ansatz, der sich an eine breit definierte Zielgruppe an Finanzunternehmen richtet, die k\u00fcnftig in den Anwendungsbereich der Regulierung fallen.<\/p>\n \n- Finanzinstitute:\u00a0<\/strong>Ausweitung des Anwendungsbereichs von Banken und Versicherungen, die bereits mit den EBA\/EIOPA-Leitlinien f\u00fcr IKT-Sicherheit und Outsourcing vertraut sind, auf Handelsplattformen, Einrichtungen zur betrieblichen Altersversorgung, Kryptodienstleister, Versicherungsvermittler und zahlreiche weitere Finanzunternehmen.<\/li>\n
- IKT-Dienstleister:\u00a0<\/strong>Zus\u00e4tzlich fallen nunmehr auch IT-Dienstleister, die f\u00fcr Finanzinstitute t\u00e4tig sind, unter die DORA, wenn sie als „kritische IKT-Anbieter“ eingestuft werden. Die Kriterien f\u00fcr diese Einstufung, die von den Europ\u00e4ischen Aufsichtsbeh\u00f6rden (ESAs) weiter spezifiziert werden sollen, h\u00e4ngen in erster Linie davon ab, wie kritisch die erbrachten Dienstleistungen f\u00fcr den Finanzmarkt sind, wie gro\u00df die Abh\u00e4ngigkeit von dem IKT-Anbieter ist und wie leicht er ersetzt werden kann.<\/li>\n<\/ul>\n
Dieser umfassende Geltungsbereich ist von entscheidender Bedeutung, da er sicherstellt, dass das gesamte Finanz\u00f6kosystem, einschlie\u00dflich der unterst\u00fctzenden IKT-Infrastruktur, einheitliche Standards f\u00fcr die Resilienz einh\u00e4lt. Dadurch wird das systemische Risiko erheblich verringert und die Stabilit\u00e4t der Finanzm\u00e4rkte innerhalb der Europ\u00e4ischen Union erh\u00f6ht.<\/p>\n<\/div> <\/div> Die Eckpfeiler des DORA<\/h3><\/div>Um die Cybersicherheit des Finanzsektors in der gesamten Europ\u00e4ischen Union zu verbessern, st\u00fctzt sich DORA auf die folgenden Eckpunkte:<\/p>\n \n- IKT-Risikomanagement:\u00a0<\/strong>Entwicklung eines umfassenden Informationssicherheitskonzepts und -rahmens, einschlie\u00dflich der Bewertung der bestehenden Widerstandsf\u00e4higkeit und der Einrichtung von Sicherheitssystemen zur laufenden Identifikation.<\/li>\n
- Berichterstattung \u00fcber IKT-Vorf\u00e4lle:\u00a0<\/strong>Aufbau von Fr\u00fchwarnindikatoren und Instrumenten zur Klassifizierung von Vorf\u00e4llen sowie deren Handhabung und Nachbereitung.<\/li>\n
- Testen der digitalen operationalen Resilienz:\u00a0<\/strong>Erstellung von Notfallpl\u00e4nen, Durchf\u00fchrung regelm\u00e4\u00dfiger Tests und deren Bewertung (z. B. end-to-end, Performance, Penetration oder Kompatibilit\u00e4t) sowie Mitarbeiterschulung.<\/li>\n
- Management des IKT-Drittparteienrisikos:<\/strong>\u00a0Bewertung des Umfangs, der Komplexit\u00e4t und der Relevanz von IKT-bezogenen Abh\u00e4ngigkeiten von Dienstleistern, einschlie\u00dflich vertraglicher Vereinbarungen und deren Dokumentation.<\/li>\n
- Vereinbarungen \u00fcber den Austausch von Informationen:\u00a0<\/strong>\u00dcbermittlung von Informationen \u00fcber Cyber-Bedrohungen innerhalb vertrauensw\u00fcrdiger Netzwerke, um die Sicherheit zu erh\u00f6hen und sicherzustellen, dass die Details gesch\u00fctzt sind und den Vertraulichkeits- und Wettbewerbsrichtlinien gen\u00fcgen.<\/li>\n<\/ul>\n
Zusammen st\u00e4rken diese Punkte die digitale Infrastruktur des Finanzsektors und stellen somit sicher, dass St\u00f6rungen des Betriebs, im Zusammenhang mit IKT-Problemen, effektiv begegnet werden k\u00f6nnen. Dies sichert die Integrit\u00e4t der M\u00e4rkte und st\u00e4rkt das allgemeine Vertrauen.<\/p>\n<\/div> <\/div> Der Anwendungsbereich des NIST CSF 2.0<\/strong><\/h2><\/div>Das Cybersecurity Framework des National Institute of Standards and Technology stellt einen vorstrukturierten und frei skalierbaren Ansatz f\u00fcr das Management von Cyber-Risiken bereit. In seiner neuesten Fassung \u2013 NIST CSF 2.0 \u2013 wurden die bew\u00e4hrten Praktiken vertieft und um die neuesten Erkenntnisse aus Wissenschaft und Forschung erg\u00e4nzt.<\/p>\n Die Zielsetzungen des\u00a0NIST CSF 2.0\u00a0betreffen:<\/p>\n \n- Reduktion der Komplexit\u00e4t von Cybersicherheit, indem klare und \u00fcbersichtliche Strukturen geschaffen werden, die f\u00fcr alle Mitarbeitenden eines Unternehmens zug\u00e4nglich sind – von Applikationsverantwortlichen bis C-Level.<\/li>\n
- Aufbau einer fundierten Entscheidungsgrundlage zum effizienten Einsatz von Ressourcen hinsichtlich Vermeidung, Identifikation und Bew\u00e4ltigung von Cybersicherheits-Vorf\u00e4llen.<\/li>\n
- Zum Schutz der unternehmerischen Verm\u00f6genswerte \u2013 von Kernprozessen, Anwendungen bis hin zu Daten \u2013 vor externen wie internen Bedrohungen.<\/li>\n<\/ul>\n<\/div>
<\/div> Aufbau und Zielsetzung<\/h3><\/div>Das NIST CSF 2.0 gliedert sich in die folgenden sechs Kernfunktionen: Govern, Identify, Protect, Detect, Respond, and Recover. Diese zielen darauf ab in ihrer Gesamtheit einen einen ganzheitlichen Ansatz zur Bew\u00e4ltigung von Cybersicherheitsrisiken zu erm\u00f6glichen.<\/p>\n \n- Govern:<\/strong>\u00a0Definition, Kommunikation und Monitoring von Strategie, Erwartungen und Richtlinien des Unternehmens an das Management von Cybersecurity-Risiken.<\/li>\n
- Identify:\u00a0<\/strong>Priosisieren von Cybersicherheitsinitiativen nach ganzheitlicher Betrachtung, unter Ber\u00fccksichtigung von Risiken sowie den davon betroffenen Assets.<\/li>\n
- Protect:<\/strong>\u00a0Umsetzung von Schutzma\u00dfnahmen zur Minderung von Cybersecurity-Risiken sowie nachhaltige Sicherung essentieller Unternehmenswerte, unter anderem Kernprozesse und -anwendungen.<\/li>\n
- Detect:\u00a0<\/strong>Durch geeignete Ma\u00dfnahmen wird sichergestellt, dass Vorf\u00e4lle im Bereich der Cybersicherheit fr\u00fchzeitig erkannt und vollst\u00e4ndig analysiert werden k\u00f6nnen.<\/li>\n
- Respond:\u00a0<\/strong>Aufbau eines umfassenden Ma\u00dfnahmenkatalogs zur Eind\u00e4mmung und Bew\u00e4ltigung eingetretener Vorf\u00e4lle \u2013 inklusive Analyse, Eingrenzung, Reporting und Kommunikation.<\/li>\n
- Recover: <\/strong>Zeitnahe Wiederherstellung von Prozessen und Assets, die von Cybersicherheitsvorf\u00e4llen betroffen waren \u2013 dabei werden Auswirkungen m\u00f6glichst gering gehalten und die Kommunikation transparent gestaltet.<\/li>\n<\/ul>\n
Jede der sechs Kernfunktionen wird dar\u00fcber hinaus in Kategorien und Subkategorien unterteilt, die jeweils detaillierte und direkt umsetzbare Beispiele umfassen. Diese betreffen Stakeholder, Prozesse, Applikationskataloge sowie empfohlene Kommunikationskan\u00e4le.<\/p>\n<\/div> <\/div> Vorteile durch die Einf\u00fchrung von NIST CSF 2.0<\/h3><\/div>Das\u00a0NIST CSF 2.0\u00a0best\u00e4rkt Unternehmen darin, Cybersicherheitsrisiken als Bestandteil des Gesch\u00e4ftsprozessmanagement zu verstehen. Nur durch einen holistischen Ansatz ist gew\u00e4hrleistet, dass sicherheitsrelevante Aspekte in allen Gesch\u00e4ftst\u00e4tigkeiten ber\u00fccksichtigt werden und einen umfassenden \u00dcberblick \u00fcber potenzielle Schwachstellen erlauben. Dadurch wird ein proaktives und vorausschauendes Risikomanagement erm\u00f6glicht.<\/p>\n Wesentliche Vorteile<\/p>\n \n- Ganzheitliches Risikomanagement<\/strong>: Durch den Einbezug von Cybersicherheit in das Risikomanagement des Unternehmens wird eine einheitliche und transparente Methodik erm\u00f6glicht.<\/li>\n
- Einhaltung von Compliance-Vorgaben<\/strong>: Effiziente Umsetzung und Dokumentation von regulatorischen Anforderungen.<\/li>\n
- Effiziente Betriebsabl\u00e4ufe<\/strong>: Durch optimierte Prozesse werden Fehlerh\u00e4ufigkeit, Kosten und ben\u00f6tigte Ressourcen reduziert.<\/li>\n
- Transparenz erh\u00f6hen<\/strong>: Verbessern der M\u00f6glichkeiten zum Monitoring, um die Erkennungs- und Reaktionszeiten zu verk\u00fcrzen.<\/li>\n
- Skalierbarkeit<\/strong>: Flexible Adaption, in Abh\u00e4ngigkeit des Unternehmenswachstums und der damit verbundenen Bedrohungen.<\/li>\n
- Security als Teil der Unternehmenskultur<\/strong>: Verankerung von (Cyber-)Sicherheit als grundlegender Bestandteil der Unternehmenswerte.<\/li>\n<\/ul>\n<\/div>
<\/div> ISO 27001 – Der Standard f\u00fcr Informationssicherheit<\/strong><\/h2><\/div>Die ISO 27001 ist eine internationale Norm, welche die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) spezifiziert. Sie zielt darauf ab Organisationen beim Schutz relevanter Informationen zu unterst\u00fctzen.<\/p>\n Die Norm schafft einen Rahmen f\u00fcr Organisationen, um ein ISMS einzuf\u00fchren, zu betreiben sowie kontinuierlich zu verbessern und verfolgt dabei einen prozessbasierten Ansatz.<\/p>\n Das CIA-Dreieck:<\/p>\n \n- Confidentiality (Vertraulichkeit):\u00a0<\/strong>Schutz sensibler Informationen vor unbefugtem Zugriff.<\/li>\n
- Integrity (Integrit\u00e4t):\u00a0<\/strong>Konsistenz, Korrektheit und Vollst\u00e4ndigkeit sind \u00fcber den gesamten Lebenszyklus hinweg sicherzustellen.<\/li>\n
- Availability (Verf\u00fcgbarkeit):\u00a0<\/strong>Relevante Informationen m\u00fcssen f\u00fcr autorisierte Benutzer jederzeit zug\u00e4nglich sein.<\/li>\n<\/ul>\n<\/div>
<\/div> Wesentliche Merkmale der ISO 27001<\/h3><\/div>Der Aufbau der Norm sieht vor, dass sie flexibel und f\u00fcr Organisationen jeder Gr\u00f6\u00dfe und Branche anwendbar ist. Zu den wichtigsten Elementen des Rahmenswerkes geh\u00f6ren:<\/p>\n \n- Anwendungsbereich und Informationssicherheitspolitik:\u00a0<\/strong>Definition des Konzepts und der Abgrenzung der Informationssicherheitsanforderungen der Organisation.<\/li>\n
- Zielsetzung:\u00a0<\/strong>Festlegung klarer Ziele f\u00fcr die Informationssicherheit, einschlie\u00dflich detaillierter Pl\u00e4ne und Meilensteine, wie sie erreicht werden sollen.<\/li>\n
- Interne Verbindlichkeit:\u00a0<\/strong>Einbezug des Managements in die ISMS-Aktivit\u00e4ten, um erforderliche Ressourcen und Befugnisse sicherzustellen.<\/li>\n
- Risikobewertung:\u00a0<\/strong>Identifikation von signifikaten Risiken und deren Auswirkung auf sicherheitsrelevante Informationen.<\/li>\n
- Risikomitigation:\u00a0<\/strong>Umsetzung geeigneter Ma\u00dfnahmen, Minderung der festgestellten Risiken auf ein akzeptables Niveau.<\/li>\n
- Laufende Kontrollen:\u00a0<\/strong>Aufbau und Nachhaltung eines Kontrollportfolios auf Basis der Risikobewertungen.<\/li>\n
- Kontinuierliche Fortbildung:\u00a0<\/strong>Personen mit Bezug zum ISMS werden regelm\u00e4\u00dfig und ihren Aufgaben entsprechend geschult.<\/li>\n
- Controlling & interne Revision:\u00a0<\/strong>Periodische Durchf\u00fchrung von internen Audits, unter Einbezug von Kontrolltests.<\/li>\n<\/ul>\n<\/div>
<\/div> Mehrwert der ISO 27001 Umsetzung<\/h3><\/div>Die Umsetzung eines ISMS nach ISO 27001 bringt Organisationen zahlreiche Vorteile:<\/p>\n \n- Risikominderung:\u00a0<\/strong>Methodisches Vorgehen zur Identifikation, Bewertung und Mitigation von Risiken.<\/li>\n
- Compliance:\u00a0<\/strong>Einhaltung gesetzlicher und regulatorischer Anforderungen in Bezug auf Informationssicherheit und Datenschutz.<\/li>\n
- Schutz von Verm\u00f6genswerten:\u00a0<\/strong>Absicherung von geistigem Eigentum sowie weiteren immateriellen Assets.<\/li>\n
- Effizientere Prozesse:\u00a0<\/strong>Definieren, dokumentieren, implementieren und unterst\u00fctzen von Prozessen zur Erreichung von Gesch\u00e4ftszielen – effizient auf allen Ebenen.<\/li>\n
- Kontinuierliche Verbesserung:\u00a0<\/strong>Etablieren einer Unternehmenskultur, die sich durch systematisches Vorgehen laufend weiterentwickelt und verbessert.<\/li>\n<\/ul>\n
Die Einf\u00fchrung eines ISMS nach ISO 27001 dient nicht nur der Pr\u00e4vention von Cyberangriffen und Datenschutzverletzungen, sondern sichert ebenso den unterbrechungsfreien Gesch\u00e4ftsbetrieb unter nahezu allen Umst\u00e4nden.<\/p>\n<\/div> <\/div> BSI IT-Grundschutz: Deutschlands Ansatz zur Cybersicherheit<\/strong><\/h2><\/div>Der vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) entwickelte BSI IT-Grundschutz bietet einen umfassenden und praxisnahen Ansatz f\u00fcr die Informationssicherheit. Er enth\u00e4lt detaillierte Richtlinien und Methoden, mit denen Unternehmen ihre Assets effektiv absichern k\u00f6nnen. Das f\u00fcr seinen ausf\u00fchrlichen Umfang bekannte Rahmenwerk umfasst Sicherheitsma\u00dfnahmen, die f\u00fcr typische Gesch\u00e4ftsprozesse und Anwendungen geeignet sind und auf die spezifischen Anforderungen von Unternehmen zugeschnitten beziehungsweise erweitert werden k\u00f6nnen.<\/p>\n<\/div> <\/div> Aufbau und Bestandteile<\/h3><\/div>Das BSI behandelt in eigenen Standards Themen, die f\u00fcr die Informationssicherheit von grundlegender Bedeutung sind. Diese Standards definieren die Anforderungen, die ein Managementsystem erf\u00fcllen muss, und beschreiben geeignete Ans\u00e4tze f\u00fcr deren Einf\u00fchrung.<\/p>\n Das BSI publiziert in diesem Zusammenhang die folgenden Normen:<\/p>\n |