ALPS GmbH

ALPS Jahresrückblick 2019

Dezember 2019 Informationssicherheit Adrian Lambeck

Happy Holidays

„Die Weihnachtszeit ist Zeit zum Innehalten“ – allerdings meist eher in der Theorie als in der Praxis. Deshalb möchten wir ganz bewusst zum Jahresende die Gelegenheit nutzen einen Moment das vergangene Jahr Revue passieren zu lassen, dass sich mit seinen Höhen und Tiefen dem Ende neigt.

Die ALPS Highlights und Herausforderungen 2019

Zahlreiche Vorfälle

Das Jahr 2019 hat gezeigt, dass die Anzahl und Schwere der bekannt gewordenen Sicherheitsvorfälle weiter zunimmt. Es wurden erhebliche Strafen für Verstöße gegen das Datenschutzgesetz bzw. DSGVO verhängt. Immer mehr Organisationen werden erstmals explizit mit formalen Sicherheitsanforderungen (z.B. ISO 27001 und TISAX) konfrontiert. Diese Anforderungen treffen auch kleine und Kleinstorganisationen mit weniger als 10 Mitarbeitern. In diesem Jahr hat sich auch gezeigt, dass die Prüforganisationen an Ihre Leistungsgrenzen gehen und in Einzelfällen Kunden mehrere Monate auf einen Audittermin warten müssen.

Trotz existenzbedrohender Strafen und Vorfällen haben noch nicht alle Organisationen akzeptiert, dass personenbezogene und sensible Daten geschützt werden müssen. Neben technischen Maßnahmen ist dies vor allem ein kulturelles Thema. Immer wieder begegnen wir der Erwartungshaltung, dass ein „Projekt“ die Organisation „sicher“ macht und anschließend nichts mehr getan werden muss. Die Aufrechterhaltung des notwendigen Sicherheitsniveaus ist mit kontinuierlicher Arbeit verbunden und umfasst neben der Schulung von Mitarbeitern zum Beispiel auch die Kontrolle von Lieferanten und Dienstleistern.

ALPS berät KMUs mit Förderung des Bundeswirtschaftsministeriums

Das Bundeswirtschaftsministerium fördert mit dem Programm „go-digital“  Maßnahmen zur Verbesserung des Sicherheitsniveaus in KMUs. Die Förderung ist auf 20 Beratertage beschränkt und führt dazu, dass KMUs einen erheblichen Teil der ISMS-Umsetzung selbst leisten müssen. Die Erfahrung 2019 zeigt, dass solche Projekte eine Herausforderung für Berater und Kunden darstellen – unterm Strich aber erfolgreich sind.

Dieses Jahr hat ALPS dank der go-digital Förderung des Bundeswirtschaftsministeriums drei ISMS Projekte – zwei TISAX und ein ISO 27001 – im KMU Bereich erfolgreich abgeschlossen. Für KMUs sind die Kosten zur Einführung und Zertifizierung eines ISMS gemäß ISO 27001 oder TISAX ein erheblicher Kostenfaktor. Neben den externen Kosten für Prüfer und Berater kommen oft noch Zusatzaufwände für technische Maßnahmen, IT-Dienstleister und interne Arbeitszeit der Mitarbeiter zusammen.

Sollbruchstelle IT-Dienstleister

Der Betrieb der IT-Infrastruktur wird ausgelagert – kaum ein Unternehmen betreibt dies noch selbst. Die damit verbundenen Risiken werden unterschätzt. Dieses Jahr wäre ein ISMS Projekt beinahe gescheitert, weil mitten im Projekt der IT-Dienstleister des Kunden über Nacht Insolvenz angemeldet hat. Die Mitarbeiter konnten sich morgens nicht an Ihren Arbeitsplätzen anmelden, Krisenmodus und Zeitdruck einen neuen IT-Dienstleister auszuwählen waren die Konsequenzen. (hierzu unser Artikel betreffend Outsourcing)

Auch wenn dies ein Extrembeispiel ist: viele Organisationen stellen zu unkonkrete Anforderungen an den IT-Dienstleister und kontrollieren diese garnicht oder zu wenig. Zusätzlich fehlt das Verständnis, dass ein IT-Dienstleister „nach Auftrag“ arbeitet, das bedeutet der Dienstleister erbringt „nur“ die Leistungen , für die er beauftragt und bezahlt wird. Unsere Praxiserfahrung zeigt, dass oft gar nicht richtig klar ist was die Organisation benötigt, wofür der Dienstleister beauftragt wurde und ob es eine Lücke gibt. Sicherheitslücken sind in solch einer Konstellation vorprogrammiert.

Ausblick 2020

Aktualisierung der Standards

Dieses Jahr wurden bereits diverse Standards aktualisiert (siehe dazu die vorangegangenen ALPS Beiträge) – für 2020 erwarten wir folgende Aktualisierungen:

  • ISO 22301:2019 – Aktualisierung des Standards zum Business Continuity Management System (BCMS). Die vorgenommenen Änderungen an der ISO 22301 sind gering – ob sich auf Grund der Nähe zur ISO 27001 auch dort 2020 nur geringe Änderungen ergeben bleibt abzuwarten.
  • VDA ISA 4.1.1 – der VDA hat die Anforderungen dieses Jahr zweimal aktualisiert. Auch Organisationen die 2019 oder 2020 kein TISAX Audit vor sich haben, müssen die neuen Anforderungen umsetzen. In 2020 rechnet ALPS mit einer umfangreichen Aktualisierung des VDA-ISA.
  • IT Sicherheitsgesetz 2.0 – die Aktualisierung des IT Sicherheitsgesetzes war für 2019 vorgesehen. Außer dem Leak im März 2019 auf netzpolitik.org hat die Öffentlichkeit jedoch keine Einblicke in das zukünftige Gesetz erhalten. Wir rechnen 2020 mit dem Gesetz und somit auch einer neuen KRITIS Verordnung sowie Anforderungen an die Branchenspezifischen Sicherheitsstandards (B3S).
  • BaFin Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – die BaFin hat 2019 die VAIT und BAIT Anforderungen um ein KRITIS Modul gemäß IT Sicherheitsgesetz erweitert. Während inzwischen alle KRITIS Organisationen die Nachweise gegenüber dem BSI erbracht haben sollten, fangen die Prüfungen der BaFin gerade erst an.

Command & Control 2020

Wir freuen uns wieder beim European Cybersecurity Summit „Command&Control“ dabei zu sein – treffen Sie uns dort vom 03.-04.03.2020.

 

Wir wünschen Ihnen und Ihren Familien ein Frohes Weihnachtsfest und einen guten Rutsch ins Neue Jahr 2020!

Senden Sie uns Ihre Anfrage – wir freuen uns auf einen gemeinsamen Start im neuen Jahr!

Ihr ALPS-Experten-Team