IT-Sicherheit hat höchste Priorität. Das ist auch ein Schlüsselelement der neuen EU-Datenschutz-Grundverordnung, die in wenigen Tagen in Kraft tritt. Darin heißt es unter anderem, dass Datenpannen und Verluste personenbezogener Daten innerhalb von 72 Stunden bei der verantwortlichen Aufsichtsbehörde zu melden sind.

„Darauf ist nicht jedes Unternehmen eingestellt“, sagt Jens Bothe, Director Global Consulting bei der OTRS AG, führender Anbieter von Lösungen zum Prozess- und Kommunikationsmanagement. „Aktuelle Vorfälle wie der Cyber-Angriff auf bundesdeutsche Regierungsnetze zu Beginn dieses Jahres haben bewiesen, wie verletzlich IT-Infrastrukturen sein können. Die EU-Datenschutz-Grundverordnung reagiert darauf und fordert eine zeitnahe Meldung von sicherheitsrelevanten Vorfällen. Deswegen wird es für Unternehmen unerlässlich, IT-Sicherheitsvorfälle zu erfassen und rechtssicher zu dokumentieren.“

Die OTRS AG gibt dafür als langjähriger Experte im Sicherheitsumfeld folgende Empfehlungen:

Pragmatisch einsteigen

Die meisten großen Unternehmen haben bereits definierte Prozesse und Cyber Defense- Teams im Einsatz. Viele kleine und mittlere Unternehmen müssen ihre Strategien hier aber noch ausarbeiten. Es empfiehlt sich, „klein“ anzufangen: Eine Meldestelle für sicherheitsrelevante Vorfälle ist ebenso sinnvoll wie ein dedizierter Ansprechpartner oder ein Team, das für sicherheitsrelevante Ereignisse zuständig ist. Durch die zentrale Dokumentation behalten alle einen klaren Blick.

Erfahrene Experten hinzuziehen

Neben der neuen EU-Datenschutz-Grundverordnung gelten für kritische Branchen, wie Finanzdienstleister, weitere rechtliche Regelungen für Datenschutz und IT-Sicherheitsprozesse. Nicht immer haben Unternehmen die Zeit, alle Regelungen auf die eigene Relevanz zu prüfen. Deswegen sollten sie nicht zögern, auch externe erfahrene Experten hinzuzuziehen sowie Leitfäden und anerkannte Standards wie ISA/IEC-Reihe 27000 zu nutzen.

Klare Definition von IT-Sicherheitsprozessen

Für alle Unternehmen gilt es, klare Prozesse und Verantwortlichkeiten für den Umgang mit sicherheitsrelevanten Ereignissen zu schaffen. Folgende Fragestellungen sollten dabei mitbedacht werden: Wann spricht man überhaupt von einem sicherheitsrelevanten Vorfall? Wann genau muss dieser gemeldet werden? Welche Daten oder Abläufe gilt es besonders zu schützen? Wie hoch kann der potentielle Schaden sein? Wer muss oder darf über einen Vorfall informiert werden? In welcher Reihenfolge und in welchem Zeitfenster muss die Kommunikation erfolgen?

Prozesse digital und zentral festhalten

Um die Sicherheitsereignisse sicher zu dokumentieren und die dazugehörige Information entsprechend zu unterstützen, bieten sich spezialisierte Systeme wie zum Beispiel STORM der OTRS AG an. Sie fungieren als technisches Rückgrat der IT-Sicherheitsprozesse, unterstützen die Kommunikation zu einem Vorfall und speichern diese revisionssicher. Sie machen es möglich, spezifische Prozesse für die Bedrohungsszenarien zu definieren, Anwendern rollenbasierte Freigaben zu erteilen und ermöglichen die verschlüsselte Kommunikation zwischen klar authentifizierten Nutzern.

IT-Sicherheit als kontinuierlicher Prozess

Einmal installiert, werden die IT-Sicherheitsprozesse zum alltäglichen Teil der Unternehmensabläufe. Trotzdem muss bedacht werden, dass sich die Vorschriften, Prozesse und Anforderungen immer wieder verändern können. Deshalb sollten Unternehmen hier immer wieder auf dem aktuellen Stand bleiben. Wenn sie ihr eigenes Know-how verbessern und IT-Sicherheitsteams aufbauen wollen, sollten sie sich mit anderen Sicherheitsverantwortlichen vernetzen und im kontinuierlichen Dialog bleiben.

Mehr Informationen dazu, wie OTRS Unternehmenssicherheit strukturieren kann, finden sich hier.

Über die OTRS AG

Die OTRS AG ist der weltweit größte Dienstleister für die Service Management Suite OTRS und bietet Unternehmen aller Größen flexible Lösungen zum Prozess- und Kommunikationsmanagement, um Zeit und Geld zu sparen. Zu ihren Kunden zählen unter anderem Lufthansa, Airbus, IBM, Porsche, Siemens, Bayer Pharma AG, BSI (Bundesamt für Sicherheit in der Informationstechnik), Max-Planck-Institut, Toyota, Huawei, Hapag Lloyd und Banco do Brazil (Bank of Brazil). Mehr als 170.000 Unternehmen weltweit nutzen OTRS, darunter über 40 Prozent der DAX 30-Unternehmen. OTRS ist in 38 Sprachen verfügbar. Das Unternehmen besteht aus der OTRS AG und ihren fünf Töchtern OTRS Inc. (USA), OTRS S.A. de C.V. (Mexiko), OTRS ASIA Pte. Ltd. (Singapur), OTRS Asia Ltd. (Hongkong) und OTRS Do Brasil Soluções Ltda. (Brasilien). Die OTRS AG ist im Basic Board der Frankfurter Wertpapierbörse gelistet. Weitere Informationen unter: www.otrs.com

Firmenkontakt und Herausgeber der Meldung:

OTRS AG
Zimmersmühlenweg 11
61440 Oberursel
Telefon: +49 (6172) 681988-0
Telefax: +49 (9421) 56818-18
http://www.otrs.com

Ansprechpartner:
Saskia Stähle-Thamm
Global PR Manager
Telefon: +49 (6172) 681988-43
Fax: +49 (9421) 56818-18
E-Mail: saskia.staehle-thamm@otrs.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.