IT-Sicherheit hat höchste Priorität. Das ist auch ein Schlüsselelement der neuen EU-Datenschutz-Grundverordnung, die in wenigen Tagen in Kraft tritt. Darin heißt es unter anderem, dass Datenpannen und Verluste personenbezogener Daten innerhalb von 72 Stunden bei der verantwortlichen Aufsichtsbehörde zu melden sind.
„Darauf ist nicht jedes Unternehmen eingestellt“, sagt Jens Bothe, Director Global Consulting bei der OTRS AG, führender Anbieter von Lösungen zum Prozess- und Kommunikationsmanagement. „Aktuelle Vorfälle wie der Cyber-Angriff auf bundesdeutsche Regierungsnetze zu Beginn dieses Jahres haben bewiesen, wie verletzlich IT-Infrastrukturen sein können. Die EU-Datenschutz-Grundverordnung reagiert darauf und fordert eine zeitnahe Meldung von sicherheitsrelevanten Vorfällen. Deswegen wird es für Unternehmen unerlässlich, IT-Sicherheitsvorfälle zu erfassen und rechtssicher zu dokumentieren.“
Die OTRS AG gibt dafür als langjähriger Experte im Sicherheitsumfeld folgende Empfehlungen:
Pragmatisch einsteigen
Die meisten großen Unternehmen haben bereits definierte Prozesse und Cyber Defense- Teams im Einsatz. Viele kleine und mittlere Unternehmen müssen ihre Strategien hier aber noch ausarbeiten. Es empfiehlt sich, „klein“ anzufangen: Eine Meldestelle für sicherheitsrelevante Vorfälle ist ebenso sinnvoll wie ein dedizierter Ansprechpartner oder ein Team, das für sicherheitsrelevante Ereignisse zuständig ist. Durch die zentrale Dokumentation behalten alle einen klaren Blick.
Erfahrene Experten hinzuziehen
Neben der neuen EU-Datenschutz-Grundverordnung gelten für kritische Branchen, wie Finanzdienstleister, weitere rechtliche Regelungen für Datenschutz und IT-Sicherheitsprozesse. Nicht immer haben Unternehmen die Zeit, alle Regelungen auf die eigene Relevanz zu prüfen. Deswegen sollten sie nicht zögern, auch externe erfahrene Experten hinzuzuziehen sowie Leitfäden und anerkannte Standards wie ISA/IEC-Reihe 27000 zu nutzen.
Klare Definition von IT-Sicherheitsprozessen
Für alle Unternehmen gilt es, klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen zu schaffen. Folgende Fragestellungen sollten dabei mitbedacht werden: Wann spricht man überhaupt von einem sicherheitsrelevanten Vorfall? Wann genau muss dieser gemeldet werden? Welche Daten oder Abläufe gilt es besonders zu schützen? Wie hoch kann der potentielle Schaden sein? Wer muss oder darf über einen Vorfall informiert werden? In welcher Reihenfolge und in welchem Zeitfenster muss die Kommunikation erfolgen?
Prozesse digital und zentral festhalten
Um die Sicherheitsereignisse sicher zu dokumentieren und die dazugehörige Information entsprechend zu unterstützen, bieten sich spezialisierte Systeme wie zum Beispiel STORM der OTRS AG an. Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse, unterstützen die Kommunikation zu einem Vorfall und speichern diese revisionssicher. Sie machen es möglich, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen die verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.
IT-Sicherheit als kontinuierlicher Prozess
Einmal installiert, werden die IT-Sicherheitsprozesse zum alltäglichen Teil der Unternehmensabläufe. Trotzdem muss bedacht werden, dass sich die Vorschriften, Prozesse und Anforderungen immer wieder verändern können. Deshalb sollten Unternehmen hier immer wieder auf dem aktuellen Stand bleiben. Wenn sie ihr eigenes Know-how verbessern und IT-Sicherheitsteams aufbauen wollen, sollten sie sich mit anderen Sicherheitsverantwortlichen vernetzen und im kontinuierlichen Dialog bleiben.
Mehr Informationen dazu, wie OTRS Unternehmenssicherheit strukturieren kann, finden sich hier.
„Darauf ist nicht jedes Unternehmen eingestellt“, sagt Jens Bothe, Director Global Consulting bei der OTRS AG, führender Anbieter von Lösungen zum Prozess- und Kommunikationsmanagement. „Aktuelle Vorfälle wie der Cyber-Angriff auf bundesdeutsche Regierungsnetze zu Beginn dieses Jahres haben bewiesen, wie verletzlich IT-Infrastrukturen sein können. Die EU-Datenschutz-Grundverordnung reagiert darauf und fordert eine zeitnahe Meldung von sicherheitsrelevanten Vorfällen. Deswegen wird es für Unternehmen unerlässlich, IT-Sicherheitsvorfälle zu erfassen und rechtssicher zu dokumentieren.“
Die OTRS AG gibt dafür als langjähriger Experte im Sicherheitsumfeld folgende Empfehlungen:
Pragmatisch einsteigen
Die meisten großen Unternehmen haben bereits definierte Prozesse und Cyber Defense- Teams im Einsatz. Viele kleine und mittlere Unternehmen müssen ihre Strategien hier aber noch ausarbeiten. Es empfiehlt sich, „klein“ anzufangen: Eine Meldestelle für sicherheitsrelevante Vorfälle ist ebenso sinnvoll wie ein dedizierter Ansprechpartner oder ein Team, das für sicherheitsrelevante Ereignisse zuständig ist. Durch die zentrale Dokumentation behalten alle einen klaren Blick.
Erfahrene Experten hinzuziehen
Neben der neuen EU-Datenschutz-Grundverordnung gelten für kritische Branchen, wie Finanzdienstleister, weitere rechtliche Regelungen für Datenschutz und IT-Sicherheitsprozesse. Nicht immer haben Unternehmen die Zeit, alle Regelungen auf die eigene Relevanz zu prüfen. Deswegen sollten sie nicht zögern, auch externe erfahrene Experten hinzuzuziehen sowie Leitfäden und anerkannte Standards wie ISA/IEC-Reihe 27000 zu nutzen.
Klare Definition von IT-Sicherheitsprozessen
Für alle Unternehmen gilt es, klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen zu schaffen. Folgende Fragestellungen sollten dabei mitbedacht werden: Wann spricht man überhaupt von einem sicherheitsrelevanten Vorfall? Wann genau muss dieser gemeldet werden? Welche Daten oder Abläufe gilt es besonders zu schützen? Wie hoch kann der potentielle Schaden sein? Wer muss oder darf über einen Vorfall informiert werden? In welcher Reihenfolge und in welchem Zeitfenster muss die Kommunikation erfolgen?
Prozesse digital und zentral festhalten
Um die Sicherheitsereignisse sicher zu dokumentieren und die dazugehörige Information entsprechend zu unterstützen, bieten sich spezialisierte Systeme wie zum Beispiel STORM der OTRS AG an. Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse, unterstützen die Kommunikation zu einem Vorfall und speichern diese revisionssicher. Sie machen es möglich, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen die verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.
IT-Sicherheit als kontinuierlicher Prozess
Einmal installiert, werden die IT-Sicherheitsprozesse zum alltäglichen Teil der Unternehmensabläufe. Trotzdem muss bedacht werden, dass sich die Vorschriften, Prozesse und Anforderungen immer wieder verändern können. Deshalb sollten Unternehmen hier immer wieder auf dem aktuellen Stand bleiben. Wenn sie ihr eigenes Know-how verbessern und IT-Sicherheitsteams aufbauen wollen, sollten sie sich mit anderen Sicherheitsverantwortlichen vernetzen und im kontinuierlichen Dialog bleiben.
Mehr Informationen dazu, wie OTRS Unternehmenssicherheit strukturieren kann, finden sich hier.
