3grc.de im Interview mit Michael Langhoff, HiScout GmbH
Interviewpartner: Michael Langhoff
Funktion: Geschäftsführer
Unternehmen: HiScout GmbH
Website: www.hiscout.com
Beschreiben Sie kurz Ihr Unternehmen. Welche Zielgruppe sprechen Sie hauptsächlich an?
Die HiScout GmbH ist einer der führenden Lösungsanbieter für IT-gestützte GRC-Management-Tools im deutschsprachigen Raum. Zu unseren Kunden zählen namhafte Institutionen aus dem Dienstleistungs-, Finanz- und Industriesektor sowie der öffentlichen Verwaltung.
Im Juli dieses Jahres trat das IT-Sicherheitsgesetz in Kraft. Welche Auswirkungen hat dies auf deutsche Unternehmen?
Die Auswirkungen kann man in drei konkrete Schwerpunkte unterteilen:
Zuerst ist die Aufforderung der Unternehmen zu nennen, entsprechende Vorkehrungen für die Informationssicherheit zu treffen. Diese Vorkehrungen müssen sich dabei am sogenannten „aktuellen Stand der Technik“ orientieren.
Als zweites wirkt sich die Nachweispflicht aus. Die Unternehmen müssen alle zwei Jahre durch geeinigte Maßnahmen wie Sicherheitsaudits oder Prüfungen die Nachhaltigkeit nachweisen. In diesem Zusammenhang empfiehlt sich die Einführung eines Informationssicherheitsmanagement (ISMS) inkl. einer Zertifizierung nach ISO 2700x als anerkannter Standard. Er attestiert den Unternehmen eine sicherheitsbewusste Arbeitsweise.
Der dritte Schwerpunkt ist die Meldepflicht für Sicherheitsvorfälle. Hier fordert der Gesetzgeber, analog der strengen Meldepflichten in der Lebensmittelindustrie, auch für schwerwiegende Vorfälle im Rahmen der Informationssicherheit eine Benachrichtigung an die zuständige Behörde.
Welche Unternehmen / Branchen sind Ihrer Meinung nach besonders verpflichtet, ein Informationssicherheitsmanagement System einzuführen?
Die Branchen sind im IT-Sicherheitsgesetz über sogenannte Sektoren relativ klar abgegrenzt wie z.B. in Energie, Gesundheit, Transport und Verkehr. Unklar ist jedoch, welche Unternehmenskennzahlen darüber entscheiden, ob das IT-Sicherheitsgesetz für das jeweilige Unternehmen verpflichtend ist. Es könnten Kriterien wie Anzahl der Mitarbeiter, Umsatz oder die Bedeutung für die öffentliche Grundordnung eine Rolle spielen. Hier ist der Gesetzgeber aktuell gefordert, durch genaue Indikatoren darüber Auskunft zu geben, ob ich als Unternehmen betroffen bin oder nicht.
Für den Sektor Energie ist durch den IT-Sicherheitskatalog der Bundesnetzagentur schon eine Konkretisierung für diese Branche vorgenommen worden. Beispielsweise wurden alle betroffenen Versorgungsunternehmen aufgefordert, bis zum 30.11.2015 einen Ansprechpartner für die IT-Sicherheit an die Bundesnetzagentur zu melden. Bis zum 31.01.2018 muss eine ISO 27001 Zertifizierung nachgewiesen werden.
NSA-Spionage, Handy-Abhöraffäre, Datenklau im Bundestag – reicht das IT-Sicherheitsgesetz Ihrer Meinung nach aus, um unsere sensiblen Daten vor Missbrauch zu schützen?
Natürlich nicht. Es ist nicht möglich, Risiken komplett auszuschließen. Wenn insbesondere staatliche Spionageabteilungen auf ein Unternehmen angesetzt werden, wird eine Abwehr schwierig. Es wäre jedoch grob fahrlässig, daraus zu schlussfolgern, sich dem Thema Informationssicherheit zu verweigern. Jedes Unternehmen sollte alles für das Erreichen des bestmöglichen Sicherheitsniveaus tun, sowohl technisch, als auch organisatorisch. Insbesondere der sichere Umgang mit sensiblen Kundendaten sollte hier im Vordergrund stehen, da aktuelle Vorfälle – z.B. der Missbrauch von Kreditkarteninformationen – zu erheblichen Reputationsschäden der betroffenen Unternehmen führen.
Wie weit sind deutsche Unternehmen generell bei der Einführung und Umsetzung eines Informationssicherheitsmanagement-Systems? Wo sehen Sie noch große Lücken?
Der Reifegrad eines ISMS hängt stark von der jeweiligen Branche ab. Aufgrund strenger Vorgaben der BaFin sehe ich den Sektor Finanz- und Versicherungswesen bereits gut aufgestellt. Durch den IT-Sicherheitskatalog scheinen nun insbesondere die Energieversorger zunächst in die Pflicht genommen zu werden.
Leider ist die Selbstverpflichtung der Unternehmen oftmals nicht ausreichend ausgeprägt. Erst durch gesetzliche Vorgaben, wie durch das IT-Sicherheitsgesetz, ist die Sensibilisierung der Unternehmensführung, dieses Thema ernst zu nehmen, gefördert worden.
Nicht zu vernachlässigen ist, dass ein ISMS nur dann seine volle Wirkung entfaltet, wenn die Mitarbeiter die daraus resultierenden Anforderungen verinnerlicht haben. Daher ist neben der Umsetzung technischer Maßnahmen vor allem auf die organisatorischen Aspekte großer Wert zu legen. Eine Awarenesskampagne für die Mitarbeiter ist bei einem ISMS Einführungsprojekt unabdingbar.
Ein kurzes Statement zum Schluss:
Grundsätzlich begrüße ich das IT-Sicherheitsgesetz, weil es die Unternehmen dazu drängt, sich diesem wichtigen Thema entsprechend zu widmen. Häufig fehlt es an Bewusstsein, was ein Angriff auf die kritischen Infrastrukturen der Bundesrepublik Deutschland für einen immensen Schaden verursachen kann. Es bleibt zu hoffen, dass die Einhaltung der Vorgaben des IT-Sicherheitsgesetzes mit dem entsprechenden Nachdruck überprüft wird.