Skip to content

Standards und Gesetze

__Risikomanagement.drawio.svg

gesetzliche Grundlagen

IT-Sicherheitsgesetz

  • fokus auf KRITIS (Betreiber kritischer Infrastrukturen)
  • verpflichtet Implementierung von Mindeststandards für IT-Sicherheit
  • verpflichtet zur Meldung von Sicherheitsvorfällen

BSI-Gesetz

  • regelt, welche Aufgaben das Bundesamt für Sicherheit in der Informationstechnik hat

EU-Datenschutzgrundverordnung (DSGVO)

  • regelt den Umgang mit personenbezogenen Daten in der EU

Bundesdatenschutzgesetz (BDSG neu)

  • Regelungen auf nationaler Ebene zum Datenschutz
  • bspw. zu Datenschutzbeauftragen und Verarbeitung von Mitarbeiterdaten

standards + Zertifikate

BSI-Standards

Beispiele:

  • BSI IT-Grundschutz-Kompendium: Dieser Standard gibt spezifische Sicherheitsmaßnahmen vor, wie etwa die Verschlüsselung von E-Mails und den sicheren Umgang mit Passwörtern, um die IT-Systeme eines Unternehmens vor Angriffen zu schützen.
  • BSI-Standard 200-3: Dieser Standard beschreibt detailliert, wie Unternehmen ihr Informationssicherheitsmanagementsystem (ISMS) aufbauen, inklusive der regelmäßigen Risikoanalysen und der Dokumentation von Sicherheitsvorkehrungen, wie z.B. dem Schutz vor unbefugtem Zugriff auf Serverräume.
  • BSI-Standard 100-4: Der Standard legt fest, wie Notfallpläne für IT-Systeme aussehen müssen, z.B. wie eine schnelle Datenwiederherstellung nach einem Cyberangriff oder einem Stromausfall durchgeführt wird, um Ausfallzeiten zu minimieren.

ISO/IEC 27001

Beispiele:

  • ISO/IEC 27001:2013: Ein Unternehmen muss Maßnahmen wie Zugriffskontrollen auf kritische Daten und eine kontinuierliche Überwachung der Netzwerkaktivitäten umsetzen, um unbefugte Zugriffe auf sensible Informationen zu verhindern.
  • ISO/IEC 27002: Diese Norm legt fest, dass Unternehmen klare Richtlinien zur Passwortsicherheit (z.B. mindestens 12 Zeichen, Mischung aus Zahlen und Sonderzeichen) und zur sicheren Nutzung mobiler Geräte (z.B. Verschlüsselung von Firmendaten auf Smartphones) umsetzen müssen.
  • ISO/IEC 27005: Sie hilft Unternehmen, Risiken in ihrer IT-Infrastruktur zu bewerten, etwa wie die Wahrscheinlichkeit eines Datenlecks durch eine unsichere Netzwerkverbindung oder unzureichende Mitarbeiterschulung reduziert werden kann.

Generell sind Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes möglich.