Strategiepapier der Arbeitsgruppe Informationssicherheit und Datenschutz

Transkript

1 Strategiepapier der Arbeitsgruppe Informationssicherheit und Datenschutz Initiative: Förderung von Informationssicherheit und Datenschutz im Mittelstand Hamburg, den

2 "Weit mehr als die Hälfte der Arbeitsplätze in Deutschland sind in mittelständischen Unternehmen angesiedelt. Aus dem Mittelstand kommen ebenfalls die wichtigen Innovationen, die der deutschen Wirtschaft in der Konkurrenz auf dem Weltmarkt zu immer neuen Erfolgen verhelfen. Konzerne positionieren sich für einen internationalen Markt und sind nicht nach nationalen Interessen ausgerichtet. Der Mittelstand dagegen ist, auch wenn er sich zunehmend international aufstellt, nach wie vor Garant der nationalen wirtschaftlichen Entwicklung in Deutschland und der eigentliche Jobmotor - nicht nur in Zeiten des Aufschwungs. Trotzdem werden Konzerne weit mehr staatlich gefördert als der Mittelstand. Die Steigerung des Nutzens und der Gerechtigkeit in der deutschen Förderpolitik kann also nur in einer deutlich verstärkten Berücksichtigung des Mittelstandes liegen. Und der Schwerpunkt einer effektiven Förderung ist naturgemäß die Schaffung von Rahmenbedingungen, unter denen sich der deutsche Mittelstand auf seine Produkte und seine Innovationskraft konzentrieren kann. Für den Mittelstand ist es z.b. leider Alltag, dass nicht genügend Ressourcen für Schutz und Sicherheit verwendeter Informationen und Daten eingesetzt werden können. Dies gilt insbesondere für die IT und Datenkommunikation. Der Kampf um die tägliche Marge lässt strukturelle Basisthemen, die mit Dauerkosten verbunden sind ohne dabei direkten Nutzen zu versprechen, als nachrangig erscheinen. Konzerne dagegen besitzen in der Regel allein auf Grund der Größe ihrer Installationen hinreichend eigene Ressourcen. Es liegt im wirtschaftlichen Interesse des deutschen Staates, die Schutzmöglichkeiten für den Mittelstand gerade in Zeiten globaler Märkte und um sich greifender Produktpiraterie zu stärken. Aus diesem Grund ist eine Förderung an dieser Stelle zugleich ein Beitrag zur Gerechtigkeit und zur Stärkung der deutschen Wirtschaft am Weltmarkt. Die Informations- und IT-Sicherheit ist dabei um den Aspekt des Schutzes personenbezogener Daten in Unternehmen zu ergänzen. Die Einhaltung des Bundesdatenschutzgesetzes wird vielfach in Unternehmen als ein lästiges Übel zur Einhaltung eines Gesetzeszwangs angesehen. Richtig ist jedoch, dass mit der Einhaltung dieser Anforderungen auch der Datenschutz für produkt- und geschäftsrelevante Daten geprüft und dokumentiert wird. Gerade vor dem Hintergrund des internationalen Wettbewerbs ist es wichtig, über jede Schwachstelle beim Stand: von 6

3 Datenschutz im eigenen Unternehmen informiert zu sein. Der BVMW hat es sich daher im Rahmen der IKT-Net-Initiative zur Aufgabe gesetzt, einen förderwürdigen Maßnahmenkatalog zu erstellen und diesen durch Mitgliedsunternehmen des IKT-Nets bei mittelständischen Unternehmen umzusetzen. Hierzu wird der Kontakt zu den Gremien der Bundesregierung aufgenommen, um geeignete Lösungen zu definieren. Zu berücksichtigen ist hierbei, dass es sich bei der Informationssicherheit um weit mehr als technische Maßnahmen wie etwa die Einrichtung von Firewalls, Virenschutz und Sicherungsbänder handelt. Die Bedeutung der Informationssicherheit für Unternehmen wächst mit der zunehmenden Abhängigkeit aller Geschäftsprozesse von der Informationstechnologie. Ein Ausfall von IT- Systemen, aber auch unkontrollierte Informationsflüsse oder Datenweitergabe, können mit erheblichen finanziellen Schäden für die Unternehmen selbst oder deren Kunden verbunden sein. Im gleichen Maße werden die Anforderungen der Kunden, der Gesetzgeber sowie von Banken und Versicherungen an die Informationssicherheit im Unternehmen stetig größer. Und immer mehr Auftraggeber des Mittelstandes fordern von ihren Lieferanten konkrete Nachweise. Als Stichworte seien hier ISO 27001, IT-Grundschutz, Basel II, KontraG, FAIT, Sarbanes Oxley Act sowie die Einführung vergleichbarer europäischer Richtlinien genannt. Der Schutz des Unternehmenswissens, des Entwicklungs- und Produktions-Know- Hows macht ein umfassendes Informationssicherheits-Managementsystem erforderlich. Und eine staatliche Förderung bei Einführung und Sicherung solcher Systeme wäre ein starker Beitrag zur Stärkung und Entwicklung des deutschen Mittelstandes. Wie kann eine solche Förderung aussehen? Förderpunkt 1: Entwicklung eines Vorgehensmodells für die Bedarfsanalyse sowie Festlegung der organisatorischen und konzeptionellen Aufgaben zur Umsetzung von Informationssicherheit und Datenschutz im Mittelstand Die bestehenden Kompendien, die Informations- oder IT-Sicherheit für Unternehmen zum Thema haben (vom BSI, regionalen Kammern o.ä.) sind verkürzte Formen von internationalen und nationalen Normen und Standards. Damit wird grundsätzlich die richtige Richtung beschritten. Jedoch bleibt für das Unternehmen eine unübersichtliche Vielzahl von Anforderungen und Stand: von 6

4 notwendigen Anpassungen übrig. Auch ist nicht zu bestreiten, dass Informationssicherheit nur in einer gesamtheitlichen Betrachtung zu erreichen ist. Vor dem Hintergrund eingeschränkter Ressourcen kann aber nicht alles gleichzeitig umgesetzt werden. Wünschenswert ist also eine Priorisierung der Aufgaben, die nach den Regeln von Best Practices aufzustellen ist. Vor diesem Hintergrund wird vorgeschlagen, ein praxisorientiertes Vorgehen für die Umsetzung von Informationssicherheit und Datenschutz im Mittelstand zu entwickeln, das den Unternehmer von der Standortbestimmung über die Risikobewertung bis hin zur Maßnahmenumsetzung begleitet. Die Ausarbeitung dieses Vorgehenskonzeptes sollte in einer interdisziplinären Arbeitsgruppe erfolgen, besetzt mit Vertretern aus Politik, Mittelstand und der IKT-Net-Initiative. Ergebnisse wären ein Ablaufplan und ein praxisorientierter Maßnahmenkatalog mit klaren Qualitätsstandards zur Durchführung einer förderwürdigen Informationssicherheits- und Datenschutz-Analyse und der Risikobewertung im Unternehmen, sowie die Definition der Anforderungen für beratende oder durchführende Dienstleister. Hierbei werden u.a. für folgende Fragen Antworten geliefert: a. Wie ist der Stand von Informationssicherheit und Datenschutz im Unternehmen zu ermitteln? b. Welche Risiken sind im Hinblick auf Sicherheit der vertraulichen Information und der Verfügbarkeit der IT für ein reibungsloses Arbeiten im Unternehmen relevant? c. Wie kann der Unternehmensbetrieb bei Ausfall einzelner Systeme oder ganzer Bereiche (Feuer im Serverraum) in angemessener Zeit wieder aufgenommen werden? d. Wie sind einzelne Maßnahmen zu priorisieren, um das für das jeweilige Unternehmen gewünschte Sicherheitsniveau zu erreichen? e. Welche technischen und organisatorischen Maßnahmen sind förderungswürdig im Sinne eines effizienten umfassenden Informationssicherheits-Managementsystems? Stand: von 6

5 Der BVMW und die Mitgliedsunternehmen des IKT-Nets schlagen vor, dass die Finanzierung der Aufwände für die Erarbeitung dieses Vorgehensmodells und der Qualitätsstandards aus einer Kombination von Fördermitteln und reduzierten Tagessätzen für die mitarbeitenden Firmen und Beratungshäuser erfolgt. Förderpunkt 2: Umsetzungsunterstützung für den Aufbau angemessener Informationssicherheitssysteme im Mittelstand Eine Hilfe bei der Umsetzung der sich ergebenden Anforderungen an das jeweilige Unternehmen könnte darin bestehen, geeignete Angebote bei Beratern und Providern zu fördern, aber auch darin, die interne Arbeit im Unternehmen finanziell zu unterstützen. Hierfür wäre ein Förderbaukasten, der unterschiedliche Bausteine beinhaltet, denkbar. Ausgehend vom jeweiligen Status zur Informationssicherheit in den Unternehmen wären z.b. folgende Fördermaßnahmen denkbar: a. Statusanalyse zur Bestimmung des Sicherheitsniveaus und des Handlungsbedarfs im mittelständischen Unternehmen b. Vorgehens- und Umsetzungs-Beratung für die organisatorischen und konzeptionellen Aufgabenstellungen c. Investitionshilfen für Sicherheitskomponenten (HW/SW) d. Geförderte Sicherheitsdienstleistungen geprüfter Provider Wichtig ist hierbei, dass die Dienstleistungs- und Beratungsunternehmen sich im Rahmen des definierten Vorgehensmodells und der festgelegten Qualitätsstandards bewegen. Es sollten Fördermittel bereit gestellt werden, die von mittelständischen Unternehmen bis zu einer bestimmten Größe zur Sicherstellung der Informationssicherheit beantragt werden können. Das Geld würde zweckgebunden bis zu einer Maximalgrenze bewilligt. Der Zweck wäre einzugrenzen auf Maßnahmen, die in den Ergebnissen zu Punkt 1 aufgeführt sind. Stand: von 6

6 Eine Kombination beider Maßnahmen würde jedes mittelständische Unternehmen in die Lage versetzen, intern oder unter Zuhilfenahme von externen Kräften zügig die eigene Informationssicherheit voran zu treiben. Gerade vor dem Hintergrund der aktuellen Finanz- und Wirtschaftssituation werden BVMW und die Mitglieder der IKT-Net-Initiative im Interesse des gesamten deutschen Mittelstandes die Durchsetzung einer solchen erweiterten Förderungspolitik vorantreiben." Erstellt in Zusammenarbeit von: Bernd Ewert consequa GmbH Süderstraße Hamburg Tel: 040 / Fax: 040 / bernd.ewert@consequa.de Web: Walter Plesnik Ing. Büro Dr. Plesnik GmbH Reutershagweg Aachen Tel. : Fax : gl56@plesnik.de Web: Peter Bodino TRIGONUM GmbH Notkestrasse Hamburg Tel.: +49(0) Fax: +49(0) Peter.Bodino@Trigonum.de Web: Stand: von 6