Deutsches Sicherheitsgesetz (IT-SiG) in Kraft

29.07.2015

Das erste deutsche IT-Sicherheitsgesetz (IT-SiG) ist seit dem 25. Juli in Kraft. Die Bundesregierung beabsichtigt die Sicherheitsrisiken für Staat, Gesellschaft und Unternehmen einheitlich und verbindlich zu minimieren und ein Mindestniveau an Informationssicherheit zu schaffen.

Das Gesetz konzentriert sich entgegen der Bezeichnung nicht nur auf die IT, sondern schließt auch Prozesse und Organisation sowie physikalischen Schutz der Informationssicherheit mit ein. Daher ist eine breite Anzahl an Unternehmen von den Maßnahmen betroffen. Die Data Center Group informiert als einer der führenden Komplettanbieter für physikalische IT-Infrastrukturen aktiv darüber, welche Maßnahmen von welchen Branchen einzuhalten sind und welche Möglichkeiten sich daraus ergeben.

So gehören zu den Betroffenen alle kritischen Infrastrukturen (KRITIS), also Organisationen, Einrichtungen und Unternehmen, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen zugeordnet werden. Voraussetzung ist, dass sie mehr als zehn Mitarbeiter beschäftigen oder mehr als zwei Millionen Euro jährlich umsetzen. Auch deren Dienstleister und Unterlieferanten müssen die gesetzlichen Vorgaben erfüllen.

„Im Detail müssen sie kritische Cyber-Assets identifizieren und bewältigen, Schutzmaßnahmen ergreifen und ein Informationssicherheitsmanagementsystem (ISMS) auf Basis eines anerkannten Standards zum Management von Informationssicherheit wie ISO/IEC 27001:2013 (ISO 27001) oder BSI IT-Grundschutz betreiben“, erklärt Robert Hellwig, Senior Consultant bei der SECUrisk, einer Tochter der Data Center Group. Im Rahmen seiner Tätigkeit ist er gemäß der Norm ISO 27001 zertifizierter Lead Auditor und IT-SiG-Experte sowie Ansprechpartner für alle Fragen rund um ISMS.

Der Fachmann weiß: Zum einen können KRITIS-Unternehmen ihre Rechenzentren auslagern, was keine unnötigen Kräfte bindet, da sich das eigene Personal weiter auf die Kernkompetenzen konzentrieren kann. Zum anderen können sie ihre Rechenzentren auf dem eigenen Firmengelände unterbringen, was den Unternehmen die notwendige Unabhängigkeit von Dritten ermöglicht. Sei es in Neubauten oder in modularen Kompaktrechenzentren, sofern diese bei Bedarf erweiterbar sind und auch den nötigen Schutz vor Feuer, Einbruch oder Fremdzugriff sicherstellen. „Jedoch sollten Unternehmen in jedem Fall auf einen Partner setzen, der die nötigen Infrastrukturen inklusive der redundanten Kommunikationswege bereits kennt und die entsprechenden technischen Anforderungen erfüllt“, sagt Hellwig. „Die Data Center Group realisiert, optimiert und betreibt Rechenzentren bereits seit 2010 nach jetzt geforderten Auflagen und bietet als Experte zudem Workshops zu den Normen und Gesetzen an.“