Es ist die alte Leier: Unternehmen sind gehalten, Informationssicherheit und IT-Security in ihren Organisationen zu etablieren. Die Beweggründe dazu sind vielschichtig und vielerorts benannt: Einerseits schreibt die viel zitierte EU-Datenschutz-Grundverordnung die Einhaltung des „Stands der Technik (SdT)“ zur Absicherung der Daten im Unternehmen vor.

Das IT-Sicherheitsgesetz (IT-SiG) beschränkt sich zunächst einmal auf bestimmte Unternehmenskreise, soll aber mit dem IT-SiG 2.0, zu dem seit dem 27.03.2019 der erste Referentenentwurf vorliegt, die IT-Sicherheit für Gesellschaft, Wirtschaft und Staat ganzheitlich auszuweiten. Was das auch immer für Unternehmen bedeuten soll. Diverse Compliance-Vorgaben, die Unternehmen zunehmend folgen wollen oder sollen, tun ihr Übriges.

Was aber wird jetzt von Unternehmen genau erwartet? Klarheit darüber zu erlangen, ist eine Herausforderung. Ein Beispiel: Der SdT wurde vom deutschen Verband der IT-Sicherheit „TeleTrust“ in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik just in diesem Jahr überarbeitet. Wer aber sagt, dass diesem SdT Folge zu leisten ist? Der SdT ist ja keine Vorgabe, sondern hat rein empfehlenden Charakter.

Wie man IT-Security Maßnahmen priorisieren sollte und wie man das Bewusstsein dafür im Unternehmen förden kann, lesen Sie im vollständigen Artikel auf security-insider.de.