Was aber ist ausreichend ? Wie hoch ist das Restrisiko ? Wer haftetet ?
Eine Antwort auf diese und weitere Fragen bietet das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Dieses Handbuch ist mit derzeit über 2500 Seiten sehr umfangreich und komplex. Begriffe wie Verfügbarkeit, Vertraulichkeit und Integrität von Daten sind erklärungsbedürftig. Neben technischen Maßnahmen werden auch organisatorische Regeln und Risikobewertungen gefordert. Hier sprechen Firmenleitung und IT-Verantwortliche häufig sehr unterschiedliche Sprachen. Helfen kann hier ein externer Berater.
Wie aber den richtigen finden ?
"Das BSI hat zahlreiche IT-Grundschutz-Auditoren ausgebildet. Diese Berater sind in der Regel erfahrene Spezialisten mit langjähriger Berufserfahrung im Bereich IT-Sicherheit", so die Aussage von Karlheinz Dauber, Geschäftsführer der "Secure IT Consult" http://www.Secure-IT-Consult.com in Hennef. Herr Dauber ist selbst seit Jahren ein vom BSI "Lizenzierter IT-Grundschutz-Auditor" mit umfassender Projekterfahrung. "Der beste Einstieg in das Thema IT-Grundschutz bietet ein eintägiges Einführungsseminar. Danach sind die wichtigsten Fragen zum IT-Grundschutz geklärt und es kann mit der Umsetzung begonnen werden", führt Herr Dauber aus.
Nach der erfolgreichen Umsetzung des IT-Grundschutzes ist die Haftungsfrage eindeutig geklärt und die gesetzlichen Anforderungen erfüllt. Das Restrisiko ist geklärt und die IT-Sicherheit wird auch für die Firmenleitung transparent. Wer möchte kann sich die IT-Sicherheit abschließend durch das Bundesamt für Sicherheit in der Informationstechnik zertifizieren lassen. Es gibt aber auch Zwischenstufen zur Zertifizierung, so dass es möglich ist die IT-Sicherheit schrittweise den eigenen Bedürfnissen anzupassen. Um mehr rechtliche Sicherheit zu bekommen, sollte sich die Firmenleitung auf jeden Fall auch die Zwischenschritte durch einen Lizenzierten IT-Grundschutz-Auditor attestieren lassen.
"Auf Grund der hohen Nachfrage bieten wir in den Sommermonaten zusätzliche Einführungsveranstaltungen an, so z.B. am 24. und 25 August in Düsseldorf", sagt Herr Dauber.