Informationssicherheit: Neue Gesetze regeln Schutz von Daten und IT-Infrastrukturen

Auf Einrichtungen und Unternehmen kommen in nächster Zeit große Herausforderungen bei der Informationssicherheit zu. Neue Regelungen auf europäischer und nationaler Ebene verpflichten zu Maßnahmen für einen besseren Schutz von IT-Infrastrukturen und den dort gespeicherten personenbezogenen Daten.

IT Sicherheit für Organsisationen

Immer mehr Daten werden in IT-Systemen erhoben, gespeichert und weiterverarbeitet. Viele dieser Daten beinhalten sensible, personenbezogene Informationen über Mitarbeiter, Kunden oder Nutzer – und sind somit wertvolle und dringend erforderliche Informationen für die tägliche Arbeit in einer digitalisierten Welt.

Selbst bei einem verantwortungsvollen Umgang mit personenbezogenen Daten lassen sich die Gefahren eines Datenverlusts wegen immer ausgefeilterer Angriffsszenarien und zunehmender Vernetzungsprozesse nicht ausschließen.

Die Gesetzgeber auf nationaler wie europäischer Ebene haben auf diese Entwicklung reagiert und führen mit dem IT-Grundschutz, dem IT-Sicherheitsgesetz sowie der EU-Datenschutz-Grundverordnung Regelungen für die Verarbeitung und den Schutz von personenbezogenen Daten ein.

IT-Grundschutz

Mit dem IT-Grundschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Verfahren entwickelt, das es kleineren Einrichtungen und Organisationen ohne große Investitionen ermöglicht, die notwendigen Sicherheitsmaßnahmen zum Schutz ihrer IT-Systeme zu identifizieren und umzusetzen.

Als Basis für die Informationssicherheit in Unternehmen, Organisationen und öffentlichen Einrichtungen sollen IT-Systeme mit dem IT-Grundschutz auf ein angemessenes und ausreichendes Schutzniveau gebracht werden. Dafür schlägt der IT-Grundschutz eine Reihe von technischen und infrastrukturellen Maßnahmen sowie organisatorische und personelle Schutzmaßnahmen vor.

Derzeit werden die Grundschutz-Regelungen durch das BSI grundlegend überarbeitet mit dem Ziel, unterschiedliche Schutzlevel zu erarbeiten. Zudem werden Bausteine des IT-Grundschutz permanent an aktuelle Entwicklungen angepasst.

Tools helfen bei Umsetzung und Dokumentation

Geeignete ISMS-Tools unterstützen den Implementierungs- und Betriebsprozess aktiv und vereinfachen die Verwaltung auf langfristige Sicht.

Nutzer des vom BSI zur Verfügung gestellten ISMS „GSTOOL“ sollten sich bereits jetzt nach einer Alternative umsehen. Die Weiterentwicklung der derzeit aktuellen GSTOOL-Version 4.8 wurde bereits seit 2013 eingestellt, der Support läuft Ende 2016 aus. Das BSI stellt für die Datenmigration ein Exportwerkzeug zum Download bereit. Vom BSI lizenzierte ISMS-Tools wie verinice der Firma SerNet bieten zudem einen umfangreichen Datenimport.

IT-Sicherheitsgesetz und kritische Infrastrukturen

Seit Juli 2015 ist das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gültig und betrifft den Bereich der Kritischen Infrastrukturen (KRITIS), deren Ausfall gravierende Auswirkungen auf Staat, Wirtschaft und Gesellschaft in Deutschland haben würde. Darunter fallen beispielsweise Bereiche wie die Strom- und Wasserversorgung, Finanzen, Ernährung oder Telekommunikation. Mit dem IT-Sicherheitsgesetz soll die IT-Sicherheit in Unternehmen und Verwaltung und der Schutz vor Bedrohungen im Internet verbessert werden.

Die Verordnungen zur Umsetzung des IT-Sicherheitsgesetzes sind in zwei Etappen unterteilt. Die erste, die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung betreffende, ist seit dem 3. Mai 2016 in Kraft. Teil zwei mit den Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit wird voraussichtlich bis zum Frühjahr 2017 fertiggestellt.

EU-Datenschutz-Grundverordnung

Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) sollen die nationalen Regelungen der EU-Mitgliedstaaten ersetzt und der Datenschutz in Europa vereinheitlicht werden. Die Regelungen der EU-DSGVO sind mit dem Stichtag 25.Mai 2018 rechtsverbindlich. Bis dahin gilt während der Übergangsfrist weiterhin das Bundesdatenschutzgesetz (BDSG).

Während dieser Übergangszeit müssen Einrichtungen und Unternehmen ihre Prozesse den neuen Datenschutzanforderungen anpassen. Dazu gehören beispielsweise die Organisation des Datenschutzes, die Sicherheitskonzepte oder Geschäftsprozesse. Dass es empfehlenswert ist, sich schnell mit den neuen gesetzlichen Regelungen vertraut zu machen und diese umzusetzen, verdeutlichen die möglichen Strafen bei Gesetzesverstößen. Es drohen Geldbußen bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes.

Fazit

Die neuen, verbindlichen Regelungen zur Informationssicherheit sind zum Teil bereits in Kraft getreten oder kommen in den nächsten Jahren auf die Einrichtungen der Kirche zu. Die Termine für das IT-Sicherheitsgesetz, IT-Grundschutz (12/2017 für Evangelische Kirche und Diakonie)  und die EU-Datenschutz-Grundverordnung (05/2018) stehen fest – Einrichtungen sollten die verbleibende Zeit nutzen, um sich vorzubereiten. Wir beraten Sie gerne!

Mit dem ISMS-Tool verinice von SerNet managen Sie Ihre Informationssicherheit