In verschiedenen Gesetzen ist zu lesen, dass die Informationstechnik im Unternehmen sichergestellt sein muss, beziehungsweise das Geschäftsführer, Vorstände und Aufsichtsräte die Informationssicherheit sicherstellen müssen.
Ist diesem Personenkreis der Schutzbedarf der Unternehmensinformationen in Bezug auf:
- Verfügbarkeit (Daten werden im Rahmen festgelegter Zeiten zur Verfügung gestellt),
- Vertraulichkeit (Daten können nur durch Befugte genutzt werden),
- Integrität (keine unbefugte Änderung während der Datenübermittlung) und
- Authentizität (Identität der Datenherkunft ist sichergestellt)
bewusst?
Alle reden immer nur von personenbezogenen Daten, aber was passiert denn mit einem Unternehmen, wenn die Entwicklungsdaten abhanden kommen?
Der § 9 BDSG beschreibt die Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
Neben verschiedenen Standards (ISO 27001 und die IT-Grundschutz-Kataloge) die sich mit der Umsetzung von Maßnahmen zur Informationssicherheit befassen, existieren noch unterschiedliche Rahmenwerke (ITIL und CObIT). Diese Rahmenwerke befassen sich allerdings eher mit dem Servicelevel-Management und weniger mit der Informationssicherheit.
Die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) aufgeführten Maßnahmen in den IT-Grundschutz-Katalogen sind allerdings lediglich Empfehlungen. Jedes Unternehmen muss natürlich für sich selbst entscheiden, ob es sich nach Standards zertifizieren lassen möchte.
Es ist keine Frage, ob man sich um Informationssicherheit kümmern muss, nur die Frage welchen Stellenwert die Unternehmensleitung diesem Punkt einräumt und ob dieser Stellenwert mit einem eigenen Informationssicherheitsgesetz mehr Rechnung getragen werden kann.