Informationssicherheitsmanagementsystem (ISMS) für KRITIS-Betreiber

Unternehmen, die eine besondere Bedeutung für das Funktionieren des staatlichen Gemeinwesens haben (Unternehmen aus den Sektoren Energie, Ernährung, Finanz- und Versicherungswesen, Gesundheit, Informationstechnik und Telekommunikation, Medien und Kultur, Staat und Verwaltung, Transport und Verkehr sowie Wasser), werden als Betreiber kritischer Infrastrukturen (KRITIS) bezeichnet, die seit dem Inkrafttreten des IT-Sicherheitsgesetzes am 25.07.2015 der Verpflichtung unterliegen, ein ISMS zu betreiben.

Die Steuerung von Produktions- und Verwaltungsprozessen ohne IT-Unterstützung ist heute undenkbar. IT-Nutzung macht die Abläufe effizient und ökonomisch nachhaltig. Jedoch vergrößert IT-Unterstützung auch das Sicherheitsrisiko durch Datenverlust, der aufgrund technischen Versagens, Naturkatastrophen, Hackerangriffen, unbefugten Offenlegens oder Missbrauch vertraulicher Informationen eintreten kann. Der Ausfall oder die Beeinträchtigung kritischer Infrastrukturen und Prozesse kann zu nachhaltig wirkenden Versorgungsengpässen, erheblichen Störungen der öffentlichen Sicherheit oder anderen dramatischen Folgen für das Gemeinwesen führen.
Der Aufbau eines ISMS nach DIN ISO/IEC 27001 sorgt für Schutz gegen solche Angriffe. Dieser internationale Standard für ISMS, dem ein risikobasierter Ansatz zu Grunde liegt, bietet entsprechende Möglichkeiten und Instrumente.