IT-Grundschutz für mehr Cybersicherheit
Ein zertifiziertes ISMS reduziert Cyberrisiken und erhöht die Reputation für dessen Nutzer.
Mit der zunehmenden Digitalisierung häufen sich Cybervorfälle massiv und branchenübergreifend. Ob die NATO oder die Hochschule Harz, die unlängst Opfer von Cyberangriffen wurden – kein Unternehmen und keine Institution ist davor gefeit.
Deshalb ist es immens wichtig, die Vertraulichkeit, die Integrität und die Verfügbarkeit sensibler Informationen bestmöglich zu schützen. Zu diesem Zweck hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den IT-Grundschutz entwickelt: eine Umsetzungsmethode für Sicherheitsmaßnahmen in der Informationstechnik. Der IT-Grundschutz ist als ganzheitlicher Ansatz konzipiert und bezieht daher neben seinen technischen Aspekten auch infrastrukturelle, organisatorische und personelle Themen ein.
Das ISMS bietet bestmöglichen Schutz
Der IT-Grundschutz hat sich zum Standard in Deutschland entwickelt. Unter anderem umfasst er eine Anleitung zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS), womit er sich von anderen internationalen Standards abhebt, die lediglich Anforderungen an ein ISMS stellen. Unternehmen und andere Institutionen, die ein ISMS implementiert haben, können damit Risiken reduzierende Maßnahmen planen und umsetzen, sie mit Blick auf Schutzbedarfe und Angemessenheit evaluieren, Schwachstellen frühzeitig aufdecken, Soll- und Istwerte vergleichen und ihre Compliance mit regulatorischen Anforderungen überprüfen. Letztere sind etwa im Energiesektor sehr umfangreich.
Die Zertifizierung sichert Qualität
Sinnvoll sind zudem Zertifizierungen der Informationssicherheit. Mit einem ISO-27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution nachweisen, dass die bei ihr umgesetzten Maßnahmen zur Informationssicherheit den anerkannten internationalen Standards entsprechen.
Es gibt verschiedene Standards, die sich ergänzen bzw. miteinander kombiniert angewendet werden können. PwC berät und unterstützt Behörden, Unternehmen und andere Institutionen bei der Implementierung eines aufsichtsrechtlich konformen ISMS.
Für die Zertifizierungsreife müssen Unternehmen und andere Organisationen typischerweise die folgenden vier Phasen erfolgreich durchlaufen: Sicherheitskonzept erstellen, Audit vorbereiten, Audit begleiten und – Phase vier – den Reifegrad des ISMS erhöhen. PwC ist mit seiner Erfahrung und seinem ganzheitlichen Vorgehen in der Lage, den Reifegrad der IT-Sicherheit zu erhöhen – auch im öffentlichen Sektor.
Ansprechpartner:
André Glenzer
Kontakt
Prof. Dr. Rainer Bernnat
Partner
Frankfurt am Main