Information Security

Das IT-Sicherheitsgesetz zwingt Unternehmen zum Handeln.
Besonders betroffen sind Unternehmen der kritischen Infrastruktur


Digitalisierung weckt neuen Bedarf

Die fortschreitende Digitalisierung macht es notwendig die Maßnahmen für den Erhalt von Unternehmenskultur und Wirtschaftsethik im Bereich der Informationstechnologie zu erweitern. Im Fokus liegen dabei die obersten Schutzziele die sich aus Wahrung der Verfügbarkeit, der Vertraulichkeit, der Authentizität und der Integrität von Daten und Informationen zusammensetzen.


Staatlicher Einfluss

Es existieren bereits auf staatlicher Seite allgemeingültige Regeln v.a. für Unternehmen der kritischen Infrastruktur wie Normen & Standards (z.B. ISO/IEC 27001, BSI-Grundschutzkatalog), Gesetze (Datenschutzgesetz, IT-Sicherheitsgesetz) und Regularien (MaRisk, TKG, Basel 3). Zum anderen hat jedes Unternehmen auf Grundlage ihrer eigenen IT-Governance Vorgaben, wie Unternehmensziele, Compliance, IKT-Policy oder Verträge von Kunden & Lieferanten, die sie erfüllen müssen.

Informationssicherheitsmanagementsystem (ISMS)

Die Einrichtung eines Managementsystems für Informationssicherheit dient der Steuerung und Kontrolle aller Maßnahmen, die zur Aufrechterhaltung der Sicherheit und der Abwehr von Gefahren getroffen werden, um die oben genannten Schutzziele zu gewährleisten.


Was die Unternehmen tun müssen

  • Meldepflicht: Meldung von Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Organisatorische und technische Sicherheitsmaßnahmen nach Stand der Technik / Branchenspezifische Sicherheitsstandards umsetzen
  • Interne Audits / Regelmäßiger Nachweis des Informationssicherheitsstandards / Zertifizierungen bzw. externe Audits alle 2 Jahre durchführen


Wie die ARCA-Consult unterstützen kann

  • GAP-Analyse
  • Planung
  • Umsetzungsbegleitung
  • Interne Audits
  • Vorbereitung auf die Zertifizierung
  • Workshops (ISMS nach ISO/IEC 27001)
  • Awareness-Trainings für Mitarbeiter und Führungskräfte



KRITIS - Unternehmen der kritischen Infrastruktur

Kritische Infrastrukturen sind Institutionen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.

Kreislauf für Informationssicherheit

Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen ein Informationsmanagementsystem nach Stand der Technik einzuführen und nachzuweisen. Die iterativen Abläufe lassen sich als Kreislauf darstellen.