Die Mittelstandsoffensive. Eine Handlungsempfehlung zur Auswahl der Richtlinien und Gesetze bezüglich der IT-Sicherheit bei klein- und mittelständischen Unternehmen

Inhalt

Abkurzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Problemstellung des Teams
1.2 Aufbau und Zielsetzung der Arbeit
1.3 Definition von klein- und mittelstandischen Unternehmen
1.3.1 Quantitative Abgrenzung
1.3.2 Qualitative Abgrenzung
1.4 Besondere Bedurfnisse von KMU an die IT

2 Theoretische Grundlagen
2.1 Sicherheitsbegriffe
2.1.1 Informationssicherheit
2.1.2 IT-Sicherheit
2.2 Grundlagen der IT-Sicherheit
2.2.1 Bedeutung der IT-Sicherheit
2.2.2 Allgemeine Schutzziele der IT-Sicherheit
2.3 Regulatorische und gesetzliche Anforderungen der IT-Sicherheit

3 ISO/IEC 27000 Familie vs. BSI IT-Grundschutz
3.1 Die ISO/IEC 27000 Familie
3.1.1 Struktur der ISO/IEC 27000 Familie
3.1.2 Bedeutende Inhalte der ISO/IEC 27001 und ISO/IEC
3.2 Der IT-Grundschutz (BSI)
3.2.1 Struktur des IT-Grundschutzes
3.2.2 Bedeutende Inhalte der BSI-Standards
3.3 Gegenuberstellung und Vergleich der Standards

4 Handlungsempfehlung
4.1 Empfehlung bezuglich des Sicherheitsniveaus
4.2 IT-Wirtschaftlichkeitsbetrachtung bei KMU
4.3 Empfehlung bezugliches des qualitativen und quantitativen Nutzens von IT- SicherheitsmaBnahmen
4.4 Anpassung des Angebotsportfolios
4.4.1 Produktkatalog
4.4.2 Sensibilisierung und Schulungen
4.4.3 Lokationen und Kundenbetreuung
4.4.4 Zertifizierungen

5 Zusammenfassung
5.1 Kritische Reflektion der eigenen Ergebnisse
5.2 Fazit
5.3 Ausblick

Literaturverzeichnis

Abkurzungsverzeichnis

BCM Business Continuity Management

BDSG Bundesdatenschutzgesetz

BSI Bundesamt fur Sicherheit in der Informationstechnik

DIN Deutsches Institut fur Normung

DSGVO Datenschutz-Grundverordnung

EU Europaische Union

HGB Handelsgesetzbuch

IfM Institut fur Mittelstandsforschung

ISMS Informationssicherheits-Management-System

ISO/ IEC Organization for Standardization/ International Electrotechnical Commission

IT Informationstechnik

KMU Kleine und mittlere Unternehmen

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Abbildungsverzeichnis

Abbildung 1 - Fokus der Informationssicherheit (eigene Darstellung, in Anlehnung an: Konigs, 2017 S. 16)

Abbildung 2 - Uberblick ISO/IEC 27000-Familie (eigene Darstellung, in Anlehnung an: Monka, 2020)

Abbildung 3 - Kapitel und Abschnitte nach PDCA (eigene Darstellung, in Anlehnung an Muller, 2018 S.110)

Abbildung 4 - Ubersicht uber BSI-Publikationen (eigene, angepasste Darstellung, in Anlehnung an BSI, 2017c S. 11f)

Abbildung 5 - Ubersicht Absicherungsklassen (Quelle: BSI, 2021b)

Abbildung 6 - Bestimmung des Sicherheitsniveaus (eigene Darstellung, in Anlehnung an Softwareforen Leipzig S. 14)

Tabellenverzeichnis

Tabelle 1 - KMU-Definition der EU (in Anlehnung an: Knop 2009, S. 8)

Tabelle 2 - Kernfamilie (in Anlehnung an: Klipper, 2015 S. 38)

Tabelle 3 - Auditierung und Zertifizierung (in Anlehnung an: Muller, 2018 S. 105)

1 Einleitung

1.1 Problemstellung des Teams

Atos Information Technology GmbH ist ein IT-Dienstleister, der sich unter anderem auf die IT-Beratung spezialisiert hat. Um den Kunden optimalen Produkte prasentieren zu konnen, wurde eine Abteilung, das sogenannte Regional Solution Center, mit dem Entwerfen von IT- Losungen und Services betraut. Das Center ist in unterschiedliche Teams gegliedert, welche sich auf bestimmte IT-Themen konzentrieren. Eines dieser Teams ist fur das Gebiet IT- Security zustandig. Es versucht durch das gezielte Einsetzen von Verfahrensweisen und Methoden das Unternehmen so zu unterstutzen, dass die Unternehmensprozesse optimiert und die Ressourcen gewinnbringend genutzt werden konnen. Dabei gibt es eine breite Palet­te von Werkzeugen wie die ISO/IEC 27000 Familie, den BSI Grundschutz, COBIT oder auch ITIL. Im Jahr 2020 hat Atos eine neue Initiative ins Leben gerufen, die den Fokus der IT- Beratung von GroBunternehmen um kleine- und mittelstandische Unternehmen (KMU) erwei- tern soll. Durch dieses Programm mochte Atos seine Zielgruppe erweitern und neue Markte erschlieBen. Allerdings stellt die sogenannte Mittelstandsoffensive die Mitarbeiter in vielen Bereiche, so auch in der IT-Security, vor neue Herausforderungen.

1.2 Aufbau und Zielsetzung der Arbeit

Ziel der Arbeit ist es, die Besonderheiten von kleinen und mittelstandischen Unternehmen zu erlautern und anschlieBend zu erortern, wie sich diese Eigenheiten auf die IT-Sicherheit auswirken. Um eine Basis fur die Handlungsempfehlung zu schaffen werden zudem die Un- terschiede zwischen der ISO/IEC 27000 Familie und dem BSI-Grundschutz herausgearbeitet und abgewogen, welcher Ansatz besser auf die Bedurfnisse eines KMU eingeht. Aufgrund dieser Arbeit kann das Team schnellstmoglich mit den IT-Security Eigenheiten von KMU ver- traut gemacht werden und durch die Handlungsempfehlung spezifische Losungen fur klein- und mittelstandische Unternehmen entwickeln. Die Arbeit ist in funf Teile unterteilt. Zu Be- ginn der Arbeit wird die Problemstellung des Teams beleuchtet.

Im darauffolgenden Kapitel liegt der Fokus auf der Begriffsdefinition und der theoretischen Basis. Dies ist von groBer Bedeutung, da die Bezeichnungen das Grundgerust bilden und im weiteren Verlauf auf diese zuruckgegriffen wird. Aus diesem Grund wird zunachst einmal abgegrenzt, bei welchen Unternehmen es sich um klein- und mittelstandische Unternehmen handelt, dies geschieht anhand qualitativer und quantitativer Unterschiede, daruber hinaus werden auch die Grundbegriffe der IT-Security naher beleuchtet. Im dritten Bereich der Ar­beit liegt der Fokus auf den Standards und den Gesetzen. Deshalb werden am Anfang die unterschiedlichen gesetzliche Anforderungen an die IT-Sicherheit erlautert. Danach werden die Standards der ISO/IEC 27000 Familie und der IT-Grundschutz des Bundesamts fur Si cherheit in der Informationstechnik thematisiert und hierbei ein besonderer Blick auf den Aufbau und die bedeutendsten Inhalte geworfen. AbschlieBend werden die Unterschiede hervorgehoben. Um im vierten Kapitel eine Handlungsempfehlung fur das Team ausspre- chen zu konnen, muss zunachst erortert werden, welche speziellen Anforderungen Klein- und mittelstandische Unternehmen an die IT-Sicherheit haben und wie den entstehenden Problemen am besten begegnet werden kann. AbschlieBend wird ein Fazit gezogen und die Ergebnisse reflektiert.

1.3 Definition von klein- und mittelstandischen Unternehmen

Versucht man eine Definition fur klein- und mittelstandische Unternehmen zu finden, fallt auf, dass es keine einheitliche Begriffsdefinition gibt.¹ Um fur den weiteren Verlauf der Arbeit ein gemeinsames Verstandnis zu schaffen, ist es sinnvoll eine quantitative und eine qualitative Klassifizierung vorzunehmen.² Die quantitative Abgrenzung wird haufig durch erhobene Zah- lenwerte, wie beispielsweise die Unternehmens- bzw. BetriebsgroBe, anhand verschiedener GroBenklassen vorgenommen. Diese Abgrenzung bildet in der Praxis die gebrauchliche Me- thode.³ Allerdings ist diese Methodik nur bedingt geeignet, da mehrere Wirtschaftsbereiche, wie beispielsweise Industrie, Handel, Handwerk, Dienstleistungen und Freie Berufe vereint werden, diese jedoch spezifische Eigenheiten aufweisen, die die Vergleichbarkeit abschwa- chen.^{4 5} Aus diesem Grund ist es notwendig, die Differenzierung um qualitative Kriterien zu erweitern, um beschreibende Wesensmerkmale ebenfalls berucksichtigen zu konnen. Zu diesen Merkmalen zahlen unter anderem die „bestehende organisatorische und strukturelle Heterogenitat, die Dynamik und die Vielschichtigkei“ der Unternehmen.

1.3.1 Quantitative Abgrenzung

Eine der gangigsten Definitionen geht aus einer Empfehlung der EU-Kommission im Jahr 2003 hervor. Sie teilt die Unternehmen in Kleinstunternehmen, kleine Unternehmen und mitt- lere Unternehmen ein⁶. Die nachfolgende Tabelle stellt die vorgenommene Abgrenzung dar.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1 - KMU-Definition der EU (in Anlehnung an: Knop 2009, S. 8)

Demnach werden Unternehmen, die eine Mitarbeiterzahl unter 10 und einen Jahresumsatz oder eine Bilanzsumme von unter zwei Millionen Euro ausweisen, als Kleinstunternehmen definiert. Als kleinere Unternehmen werden Betriebe beschrieben, die maximal 49 Mitarbeiter und einen Jahresumsatz oder eine Bilanzsumme von weniger als zehn Millionen Euro ver- zeichnen. Eine weitere Abgrenzung, die getroffen wird, betrifft sog. mittlere Unternehmen, diese haben zwischen 50 und 250 Mitarbeiter und einen Jahresumsatz bis zu 50 Millionen Euro oder eine Bilanzsumme bis zu 43 Millionen Euro. Betrachtet man die Tabelle, fallt auf, dass es noch ein weiteres Kriterium gibt, die sogenannte Unabhangigkeit. Diese sagt aus, dass ein Unternehmen eigenstandig handeln muss, was so viel bedeutet, dass das Unter- nehmen weder Partner eines anderen Unternehmens noch mit einem anderen Unternehmen verbunden sein darf (weniger als 25 % Anteile als Anteilseigner oder Anteilgeber).⁷ Bei der Eingruppierung mussen alle drei Kriterien erfullt werden, jedoch genugt bei Punkt (2) die Bilanzsumme oder der Jahresumsatz.⁸

Eine weitere quantitative Abgrenzung fur KMU stellt das Institut fur Mittelstandsforschung (IfM) Bonn dar. Bis 2016 unterschied das IfM nicht zwischen kleinst— und kleinen Unterneh- men. Um eine Angleichung an die EU-Empfehlung vorzunehmen, wurde die Abgrenzung erweitert. Seitdem definiert das IfM die Gesamtheit der KMU als Unternehmen, die unter 500 Mitarbeitern und einen Jahresumsatz von maximal 50 Millionen Euro haben. Allerdings hebt das IfM hervor, dass eine Abgrenzung rein auf Basis der quantitativen Aspekte nicht aussa- gekraftig ist, sondern auch qualitative Grundlagen wie die „Einheit von Eigentum und Lei- tung“ ⁹ betrachtet werden mussen.

1.3.2 Qualitative Abgrenzung

Bei einer qualitativen Klassifizierung wird nicht auf Zahlenwerte, wie die UnternehmensgroBe oder deren Umsatz zuruckgegriffen, sondern der Fokus auf die unterschiedlichen Wesensar- ten des Unternehmens gelegt. Hierbei werden Kriterien betrachtet, wie die Art und Weise der Unternehmensfuhrung, deren Rechtsform oder der Produktpolitik.¹⁰

Ein KMU zeichnet sich dadurch aus, dass es keinen personellen Unterschied zwischen Ei- gentum und der Verfugungsmacht gibt¹¹, ein solches Unternehmen wird als inhabergefuhrtes Unternehmen bezeichnet.¹² Dieses sagt aus, dass der Unternehmer die volle Verantwortung und das Risiko fur das Unternehmen tragt und das personliche Wohl sehr stark, mit dem des Unternehmens verflochten ist.¹³ Diese enge Verbindung beeinflusst die Auswahl und auch die Tragweite der Unternehmensentscheidungen.¹⁴ Dementsprechend ist zu beobachten, dass KMU durch die Verdrahtung mit dem Eigentumer eine geringere Risikobereitschaft aufweisen und sich hauptsachlich auf ein ausgepragtes Handlungsfeld fokussieren und auch spezialisieren.¹⁵ Eigenheiten lassen sich auch bei der Betrachtung von Leitung und Personal erkennen. Oftmals lasst sich eine sehr enge Verbindung zwischen der Chefetage und den Angestellten ausmachen, der Umgang ist familiar gepragt und zeichnet sich durch einen in- formellen und personlichen Kontakt aus.¹⁶ Der Fuhrungsstil ist von einer flachen Hierarchie gepragt und es wird oftmals auf moderne Management Methodiken verzichtet. Auch lasst sich von der Verschmelzung von Unternehmen und Unternehmer eine gleichbleibende Stabi- litat abgeleitet werden die „langfristig neben der Unternehmenskultur insbesondere Unter- nehmenswert[e] entwickel[t] und festig[t]“.¹⁷ Beim Betrachten des Produktportfolios von KMU fallt auf, dass die Unternehmen sich auf einen oder wenige Markte spezialisieren. Die Bezie- hungen zwischen den Stakeholdern basieren generell auf Vertrauen und werden durch die lokale Nahe und die personliche Verbindung verstarkt. Auch verfugt der Unternehmer uber ein weitreichendes, langfristiges Netzwerk und nutzt dieses fur Geschaftszwecke.¹⁸ Das Un- ternehmen kann durch den Eingang auf individuelle Kundenwunsche erhebliche Wettbe- werbsvorteile, bei der Flexibilitat und auch der Geschwindigkeit, erreichen.¹⁹

1.4 Besondere Bedurfnisse von KMU an die IT

Die Wichtigkeit von KMU fur die deutsche Wirtschaft lasst sich nicht leugnen. Rund 99% der Unternehmen in Deutschland sind den KMU zuzuordnen und erbringen ca. 50% der Deut- schen Wertschopfung. Auch auf dem Arbeitsmarkt bilden sie das Ruckgrat der Wirtschaft, denn sie bieten uber 55% der Arbeitnehmer Arbeit und stellen rund 82% der Ausbildungs- platze.²⁰ Betrachtet man die Arbeitsweisen eines KMU fallt auf, dass samtliche Schritte des Unternehmens von IT gepragt sind. So nutzen 98% der Unternehmen E-Mails, 85% betrei- ben Online-Banking und acht von zehn Unternehmen betreiben ein IT-gesteuertes Rech- nungswesen. Daruber hinaus stellt fast ausnahmslos jedes Unternehmen seinen Kunden und Lieferanten Informationen zu den Waren und Dienstleistungen online zur Verfugung o­der beschafft diese auf elektronischem Weg.²¹ Aufgrund dieser Zahlen lasst sich gut folgern, welche Abhangigkeiten und Zusammenhange es zwischen dem Erfolg des Unternehmens und den funktionierenden IT-Systemen gibt. Jedes zweite KMU hatte im Jahr 2018 einen Sicherheitsvorfall, der die Prozesse des Unternehmens eingeschrankt hat.²² Sicherheitslu- cken, die sich in den KMU auftun, sind fur diese oftmals existenzbedrohend und die Zahl der Angriffe steigt stetig.²³ Ein besonders beliebtes Ziel sind KMU bei Wirtschaftsspionage und Online-Kriminalitat. Da die Unternehmen oftmals sehr spezifisches und auch einzigartiges Fachwissen haben, wird durch Angriffe versucht das Know-how abzugreifen und gewinn- bringend zu nutzen. Diese Art von Angriffen schaden den Unternehmen erheblich, da ihre Tatigkeit oftmals nur auf einem Gebiet spezialisiert ist und ihr geringer Kundenstamm dieses Fachwissen schatzt und ihnen auch ein Alleinstellungsmerkmal bietet.²⁴ Ein weiterer Scha- den der auftreten kann ist, dass die Lieferketten durch IT-Ausfalle gestort werden. Viele KMU verfugen aus Kostengrunden uber kein Lager, sondern nutzen das Logistikprinzip „Just-in- Time". Kommt es nun zu einem Systemausfall oder einer Kommunikationsstorung zwischen Unternehmen und Lieferanten werden die benotigten Waren nicht wie gewohnt, zum richti- gen Zeitpunkt geliefert. In Folge dessen kommt es zu Produktionsausfallen und im schlimms- ten Fall zu Imageschaden, aufgrund der nicht eingehaltenen Liefertermine.

2 Theoretische Grundlagen

2.1 Sicherheitsbegriffe

In der Praxis werden die Begriffe IT-Sicherheit und Informationssicherheit oft als Synonym verwendet. Da dies fachlich inkorrekt ist, ist es sinnvoll die Begriffe naher zu durchleuchten.

2.1.1 Informationssicherheit

Der Begriff Informationssicherheit setzt sich aus den beiden Wortern „Information“ und „Si- cherheit“ zusammen. Informationen konnen als „zweckorientiertes Wissen“ ²⁵ definiert wer- den, welche dazu dienen, eine Handlung oder Entscheidung vorzubereiten oder letztendlich durchzufuhren.²⁶ Informationen konnen in unterschiedlicher Form vorliegen, wie beispiels- weise digital, auf Papier oder auch in Prozeduren.²⁷ Der Begriff der Sicherheit lasst sich in der Literatur als „den Zustand, frei von unvertretbaren Risiken oder als gefahrenfrei definie- ren“ ²⁸. Verbindet man nun die zwei Begriffe, lasst sich als Definition festhalten, dass sich die Sicherheit und der Schutz auf jegliche Arten von Informationen bezieht, unabhangig von de­ren Beschaffenheit und sich somit auch auf Daten, Systeme und Kommunikation bezieht. Dementsprechend kann man auch festhalten, dass die IT-Sicherheit als ein Teilbereich der Informationssicherheit zu werten ist.²⁹

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 - Fokus der Informationssicherheit (eigene Darstellung, in Anlehnung an: Konigs, 2017 S. 16)

2.1.2 IT-Sicherheit

Wendet man die getroffene Definition der Informationssicherheit auf die Informationstechno- logie an, ergibt sich folgende Definition des BSI: „IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Malinahmen auf ein tragbares Mali reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integritat und Ver­fugbarkeit von Informationen und Informationstechnik durch angemessene Malinahmen ge- schutzt sind.‘Q 0 Eckert weitet die Definition aus, und beschreibt die IT-Sicherheit als MaB- nahmen, die zum Schutz vor Manipulation und Stdrungen der „Aufgaben, Unternehmen und deren Werke (Know-How, Kundendaten, Personaldaten)"^{30 31} getroffen werden. Somit lasst sich festhalten, dass sich die IT-Sicherheit nicht nur auf den Schutz der Daten begrenzt, die aufgrund der Informationstechnik gefahrdet sind, sondern auch die MaBnahmen umfassen, die dazu dienen Schwachstellen und Angriffen vorzubeugen.

2.2 Grundlagen der IT-Sicherheit

2.2.1 Bedeutung der IT-Sicherheit

Die heutige Welt ist gepragt von der Digitalisierung. In nahezu alien Bereichen der Wirtschaft lasst sich IT finden: Gesundheit, mobile Infrastruktur, Unterhaltung Oder die Logistik sind hierfur nur einige Beispiele. Ein Unternehmen, welches ohne den Einsatz von IT arbeitet, ist kaum mehr vorstellbar.³² So ist es kein Wunder, dass bereits 2011 bei rund 21% der Unter­nehmen in Deutschland die IT Kernbestandteil der Unternehmensstrategie ist und bei rund 18% die IT-Abteilung sogar in der Geschaftsfuhrung vertreten ist.³³ Dementsprechend ist es nicht erstaunlich, dass Untersuchungen zu dem Ergebnis gekommen sind, dass Unterneh­men, die einen Totalausfall der IT erleiden, nur wenige Tage uberleben konnen.³⁴ Angriffe sind heutzutage kein Hexenwerk mehr, „Ein gebrauchter Computer, eine Anbindung an das Internet und entsprechendes - oftmals geringes - Know-how und schon kann von fast Jedem

Punkt der Erde ein Angriff gefahren werden.“³⁵ Die Angriffe reichen von Spionage der Kon- kurrenz bis hin zur Losegelderpressung. Umso wichtiger ist es, der IT-Sicherheit eine bedeu- tende Schlusselrolle in dieser Entwicklung zukommen zu lassen.

2.2.2 Allgemeine Schutzziele der IT-Sicherheit

Um Angriffe, die dem Unternehmen und den Geschaftsablauf Schaden zufugen konnten einzudammen, ist es wichtig, die Daten und Informationen so zu schutzen, dass sie weiterhin dem Geschaftszweck dienen. Zur Gewahrleistung des Schutzes ist es wichtig, dass das Un- ternehmen im Rahmen der IT-Sicherheit einige wichtige Voraussetzungen erfullt.³⁶ Der Zu- griff auf die Daten des Unternehmens mussen so begrenzt und kontrolliert werden, dass nur denen der Zugang gestattet ist, welche auch entsprechend befugt sind.³⁷ Diese Vorausset- zungen werden in der Literatur als Schutzziele der Informationssicherheit bezeichnet. Diese konnen in allgemeine Schutzziele gegliedert werden, zu denen die Vertraulichkeit, Integri- tat und die Verfugbarkeit zahlen. Oft werden die Ziele auch um die Verbindlichkeit (Zure- chenbarkeit) und die Authentizitat erweitert. Ein weiteres Ziel, die Belastbarkeit (Resilienz) wurde neu im Rahmen der DSGVO Art. 32 Abs. 1 begrundet. Die Ziele werden im nachfol- genden erlautert.

Vertraulichkeit

Der Begriff Vertraulichkeit wird erreicht, wenn „[gewahrleistet ist, dass] nur Befugte an die Informationen herankommen konnen“.³⁸ Die Vertraulichkeit kann auf mehrere Arten miss- braucht werden. Auf der einen Seite ist es wichtig, dass die Daten und Informationen so ge- schutzt und unzuganglich aufbewahrt werden, dass diese von Dritten weder einsehbar, noch offengelegt werden konnen. Hierzu ist es notwendig, dass von Unternehmen, Personen be- stimmt werden, die berechtigt sind, auf die Daten zuzugreifen und anderen der Zugriff ver- wehrt bleibt.³⁹ Auf der anderen Seite kann es zu einem Verlust der Vertraulichkeit kommen, wenn die Daten beim Transport auf dem Ubertragungsweg von Dritten abgegriffen und eine boswillige Informationsgewinnung erfolgt.⁴⁰ Diesem Vertrauensverlust kann beispielsweise durch Verschlusselung entgegengewirkt werden, sodass die Daten nur vom Absender und vom Empfanger gelesen und verwendet werden konnen.⁴¹

Integritat

Die Integritat wird bei den Schutzzielen auf die Datenintegritat ausgeweitet. Diese sagt aus, dass die Daten in ihrer korrekten Beschaffenheit vorliegen mussen. Die Datenintegritat ga- rantiert somit, dass die Daten „nur in zulassiger Weise durch Befugte geandert worden sind“⁴² und nicht von dritten Subjekten unbemerkt manipuliert oder geloscht werden. Datenin- tegritat liegt immer dann vor, wenn die Daten zu einer bestimmten, festgelegten Stichzeit „als integer festgestellt, die zulassigen Anderungen als solche definiert werden und der Kreis der Befugten festgelegt wurden.“ ⁴³ AuBerdem muss, um die Datenintegritat sicherzustellen auch immer protokolliert werden, dass Anderungen stattgefunden haben und von wem sie durch- gefuhrt wurden.⁴⁴

Verfugbarkeit

Ist eine Person berechtigt und auch als solche identifiziert, muss sichergestellt werden, dass der Zugang und der Zugriff zu bzw. auf die entsprechenden Daten sichergestellt sind. Diesen Zustand bezeichnet man als Verfugbarkeit.⁴⁵ Die Verfugbarkeit der Daten muss so geregelt sein, dass die Daten zur benotigten Zeit, am relevanten Ort, in der gewunschten Qualitat vorliegen.⁴⁶ Zu Verletzungen der Verfugbarkeit kann es kommen, wenn die gewunschten Daten entweder geloscht wurden, oder falschlicherweise kein Zugriffsrecht auf die Daten besteht. In diesem Fall spricht man auch von missbrauchlicher Vorenthaltung der Daten. Ein anderer Fall der Verfugbarkeitsverletzung liegt vor, wenn die Daten zwar physikalisch beste- hen allerdings nicht zu gewunschten Zeit abgerufen werden konnen, da es zu einem Ausfall oder einer Verzogerung der IT-Systeme kommt.⁴⁷

Verbindlichkeit

Das Ziel der Verbindlichkeit wird oftmals auch mit Begriffen wie Nicht-Abstreitbarkeit oder Zurechenbarkeit umschrieben. Dieses Schutzziel sagt aus, dass die ausgetauschten Infor- mationen und Daten als verbindlich gelten und nicht in Abrede gestellt werden konnen.⁴⁸ Die Aussage, die hinter diesem Ziel steckt ist, dass jederzeit sichergestellt und erfasst werden muss, welche und wie oft die Daten gesendet wurden. Der Absender kann somit nicht leug- nen, welche Transaktionen er ausgefuhrt hat und welche nicht. AuBerdem kann auch uber- pruft werden, wie oft die Daten beim Empfanger angekommen sind.⁴⁹

Authentizitat

Eine Person ist authentisch, wenn sich nachweisen lasst, dass es sich um die Person selbst handelt. Die Authentizitat liegt dementsprechend dann vor, wenn die Daten tatsachlich von dem angegebenen Urheber modifiziert werden und nicht von jemanden, der sich als eine andere Person ausgibt.⁵⁰ Das Ziel ist erfullt, wenn das Subjekt anhand von aussagekraftigen Charaktereigenschaften identifiziert werden kann.⁵¹ Da eine eindeutige Identifizierung durch eine Passworteingabe nicht gewahrt ist, da das Passwort beispielsweise gefunden sein kann, muss ein weiterer Punkt zur Authentifizierung hinzugefugt werden. Diese Verbindung von mehreren Identifizierungsschritten nennt man Zwei-Faktor-Authentifizierung. Gut erkla- ren lasst sich dies am Beispiel des Online-Bankings. Wenn eine Person versucht eine Uber- weisung zu tatigen, wird neben dem Passwort noch eine Transaktionsnummer (TAN) ver- sendet, die uberpruft, dass der Ausfuhrende auch im Besitz des Mobiltelefons ist und somit eine personenspezifische Eigenschaft, in diesem Fall das Handy, aufweist.⁵²

Belastbarkeit (Resilienz)

Betrachtet man den Artikel 32 der DSGVO, fallt auf, dass zu den allgemeinen Schutzzielen das Ziel der Belastbarkeit hinzukommt. Allerdings wird dieses Ziel nicht weiter ausgefuhrt, sodass mehrere Interpretationen moglich sind. In der englischen Version der DSGVO wird anstelle von Belastbarkeit von „resilience“ gesprochen, sodass sich die Ubersetzung von Belastbarkeit nicht anbietet, da sie unzureichend erscheint. Weitere Ubersetzungsmoglich- keiten waren Widerstandsfahigkeit, Robustheit, Elastizitat oder Anpassungsfahigkeit. Der Wortursprung kommt aus dem lateinischen und wird oftmals dazu benutzt, um auszudru- cken, dass ein Gegenstand nach einer Verformung wieder „zuruckspringt“ und in den Aus- gangszustand gelangt. Wendet man dies auf den IT-Kontext an, gelingt die Parallele, dass die Sicherheit nie zu 100% garantiert werden kann, selbst wenn man versucht, vorab alle Risiken zu berucksichtigen. Ziel ist es allerdings trotz der Einschrankungen eine gunstige Verarbeitung zu gewahrleisten, um die funktionsfahige Ausgangssituation schnellstmoglich, erfolgreich wiederherzustellen.⁵³ Folglich soll das IT-System nicht gegen die einwirkenden Storungen robust sein und diese abwehren, sondern in unvorhergesehenen Situationen die Funktionsfahigkeit aufrechterhalten.⁵⁴

2.3 Regulatorische und gesetzliche Anforderungen der IT-Sicherheit

MaBnahmen der IT-Sicherheit werden nicht nur aus finanziellen Aspekten getatigt, sondern sind auch im Rahmen vieler Gesetze direkt oder indirekt vorgeschrieben, wie beispielsweise innerhalb der DSGVO, dem KonTraG oder auch dem HGB.⁵⁵ Seit der Einfuhrung der Daten- schutz-Grundverordnung 2018 gibt es innerhalb der EU einen einheitlichen Standard, bezug- lich des Datenschutzes. Dieser wurde geschaffen, um nationalen Differenzen vorzubeugen und allen Unternehmen, die im Rahmen der Globalisierung Waren und Dienstleistungen in der EU anbieten, die gleichen Regularien zu prasentieren. Die Richtlinien aller 94 Artikel bauen auf den sieben Grundsatzen der DSGVO auf und beschreiben genau, zu welchem Zweck, in welchem Umfang, wie lange Daten gespeichert werden durfen und welche Rechte die Betroffenen haben. Die IT-Sicherheit ist stark in dem Grundsatz Jntegritat und Vertrau- lichkeit“ verankert und sagt aus, dass, „geeignete technische und organisatorische Ma&nah- men [getroffen werden mussen], um ein dem Risiko angemessenes Schutzniveau zu ge- wahrleisten“⁵⁶. Die DSGVO enthalt 69 Offnungsklauseln, bei denen das nationale Recht die Datenschutz-Grundverordnung erweitern und konkretisieren kann bzw. muss. Diese Konkre- tisierungen wurden in Deutschland im neuen Bundesdatenschutzgesetz (BDSG) umgesetzt. Hierzu wurden im §64 BDSG 14 Schutzziele definiert. Diese umfassen unter anderem die Speicherkontrolle, die Wiederherstellbarkeit oder auch die Zugriffskontrolle. Eine weitere Anforderung stellt das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Dieses fordert eine Risikoversorgung durch ein Uberwachungssystem und zieht bei VerstoBen die Geschaftsleitung heran, dementsprechend ist die IT-Sicherheit nicht nur Aufgabe der IT-Abteilung und dem abgestellten Systemadministrator.⁵⁷ Neben den explizier- ten Gesetzen, welche die IT-Sicherheit behandelt, gibt es weitere zahlreiche Gesetze, die entsprechende MaBnahmen fordern, wie beispielsweise „§78a SGB zum Schutz personen- bezogener Sozialdaten, §§107 und 109 TKG zum Schutz von (nicht nur personenbezoge- nen) Fernmeldedaten, §4 TDDSG zum Schutz von personenbezogenen Nutzerinteressen von Telediensten und §18 MDStV zum Schutz von personenbezogenen Nutzerinteressen von Mediendiensten“⁵⁸. Das Thema IT-Sicherheit und besonders der Datenschutz sollte von den Unternehmen als ernstes Thema betrachtet werden, denn entsprechende VerstoBe ge- gen die DSGVO oder andere spezifische gesetzliche Anforderungen konnen Haftungs- und Schadensersatzanspruche mit sich bringen.⁵⁹

3 ISO/IEC 27000 Familie vs. BSI IT-Grundschutz

In diesem Kapitel soll auf den Aufbau und die einzelnen Merkmale der beiden Standards ISO/IEC 27000 und dem BSI Grundschutz eingegangen werden. AnschlieBend werden die Unterschiede herausgearbeitet und miteinander verglichen.

3.1 Die ISO/IEC 27000 Familie

Die International Standardization Organization (ISO), zu deutsch Internationale Organisation fur Normung, hat die Aufgabe, technische und organisatorische Normen fur nahezu alle Ge- schaftsbereiche bereitzustellen. Das Deutsche Institut fur Normung (DIN) vertritt innerhalb der ISO/IEC die deutschen Interessen. Im Jahr 2001 veroffentliche die ISO/IEC die 27000- Reihe. Diese wurde geschaffen, um die nicht kompatiblen, anderen Standards zu IT-Themen abzulosen und einen international gultigen Standard zu schaffen.⁶⁰ Die ISO/IEC 27000- Standardisierungsreihe ist ein Rahmenwerk, welches die Anforderungen fur den Aufbau und den dauerhaften Betrieb eines Informationssicherheits-Management-System (ISMS) bereit- stellt. Dabei wird beabsichtigt, dass sowohl den Anforderungen eines Grundschutzes, als auch dem Management der IT-Sicherheit, sowie den Risiken der Informationen in einem Un- ternehmen gerecht wird.⁶¹

3.1.1 Struktur der ISO/IEC 27000 Familie

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 - Uberblick ISO/IEC 27000-Familie (eigene Darstellung, in Anlehnung an: Monka, 2020)

Die Familie lasst sich in drei Bereiche gliedern. Der erste Teil der Familie 27000 bis 27005 stellt den Kern der Publikationen dar und thematisieren das Information Security Manage­ment und das zugehorige ISMS.⁶²

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2 - Kernfamilie (in Anlehnung an: Klipper, 2015 S. 38)

Der zweite Teil der Familie thematisiert die Qualitatssicherung der ISMS. Somit stehen die Auditoren und die Zertifizierungen im Fokus dieses Bereichs.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3 - Auditierung und Zertifizierung (in Anlehnung an: Muller, 2018 S. 105)

Im dritten Bereich der Familie werden weitere Themen behandelt. Hierbei handelt es sich entweder, um eigenstandige Thematiken oder eine Konkretisierung zu Kernfamilie (27001­27005). Ein Beispiel ware hierbei die ISO/IEC 27011, ISO/IEC 27019 und ISO/IEC 27099 die, die ISO/IEC 27002 branchenspezifisch erweitern.⁶³

Auf die weiteren Bestandteile der Familie wird nicht weiter eingegangen, da im weiteren Ver- lauf der Fokus auf die ISO/IEC 27001 und ISO/IEC 27002 gelegt werden soll.

[...]

---

¹ Vgl. (Leeser, 2019 S. 22)

² Vgl. (Knop, 2009 S. 7)

³ Vgl. (Hamer, 2006 S. 28)

⁴ Vgl. (Knop, 2009 S. 7)

⁵ (Rudolph, 2009 S. 64)

⁶ Vgl. (Knop, 2009 S. 8)

⁷ Vgl. (Europaische Kommision, 2019 S. 7)

⁸ Ebd.

⁹ (Institut fur Mittelstandsforschung IfM Bonn)

¹⁰ Vgl. (Knop, 2009 S. 9)

¹¹ Vgl. (Institut fur Mittelstandsforschung IfM Bonn)

¹² Vgl. (Rudolph, 2009 S. 67)

¹³ Vgl. (Behringer, et al., 2012 S. 23)

¹⁴ Vgl. (Rudolph, 2009 S. 68)

¹⁵ Vgl. (Knop, 2009 S. 9)

¹⁶ Vgl. (Rudolph, 2009 S. 68)

¹⁷ Ebd.

¹⁸ Vgl. (Knop, 2009 S. 9)

¹⁹ Vgl. (Behringer, et al., 2012 S. 23)

²⁰ Vgl. (BMWi, 2021)

²¹ Vgl. (BMWi, 2020)

²² Ebd.

²³ Vgl. (Behringer, 2016 S. 160)

²⁴ Ebd. S. 175

²⁵ (Wirtschaftslexikon24, 2020)

²⁶ Vgl. (Wirtschaftslexikon24, 2020)

²⁷ Vgl. (Hellmann, 2018 S. 2)

²⁸ (Hellmann, 2018 S. 2)

²⁹ Vgl. (Konigs, 2017 S. 161)

³⁰ (BSI, 2020b)

³¹ (Eckert, 2018 S.1f.)

³² Ebd. (Eckert, 2018 S.V)

³³ Vgl. (Herrmann, 2010)

³⁴ Vgl. (Muller, 2018 S. 1)

³⁵ Ebd.

³⁶ Vgl. (Deutsch, et al., 2007 S. 57)

³⁷ Vgl. (Eckert, 2018 S. 7)

³⁸ (Hellmann, 2018 S. 5)

³⁹ Vgl. (Kersten, et al., 2015 S. 63f)

⁴⁰ Vgl. (Eckert, 2018 S. 15)

⁴¹ Vgl. (Gadatsch, et al., 2017 S. 21)

⁴² (Kersten, et al., 2015 S. 65)

⁴³ Ebd.

⁴⁴ Vgl. (Eckert, 2018 S. 9)

⁴⁵ Vgl. (Hellmann, 2018 S. 6)

⁴⁶ Vgl. (Deutsch, et al., 2007 S. 57f)

⁴⁷ Ebd.

⁴⁸ Vgl. (Gadatsch, et al., 2017 S. 22)

⁴⁹ Vgl. (Hellmann, 2018 S. 5)

⁵⁰ Vgl. (Gadatsch, et al., 2017 S. 22)

⁵¹ Vgl. (Eckert, 2018 S. 8)

⁵² Vgl. (Gadatsch, et al., 2017 S. 22f)

⁵³ Vgl. (Gonscherowski, et al., 2018 S. 1)

⁵⁴ Vgl. (Kamp, 2018)

⁵⁵ Vgl. (Deutsch, et al., 2007 S. 56)

⁵⁶ (Europaisches Parlament, 2018 S. Art. 24 Abs.1 ; Art. 32 Abs.1)

⁵⁷ Vgl. (Witt, 2006 S. 4)

⁵⁸ Ebd. S. 131f

⁵⁹ Vgl. (Eckert, 2018 S. 25f)

⁶⁰ Vgl. (Bachmann, 2015)

⁶¹ Vgl. (Konigs, 2017 S. 200f)

⁶² Vgl. (Klipper, 2015 S. 38)

⁶³ Vgl. (Konigs, 2017 S. 201)