IT-Sicherheitsgesetz: Anforderungen und Aufgaben für mittelständische Unternehmen mit ERP-Software - 01.08.2023

Das vor zwei Jahren in Kraft getretene IT-Sicherheitsgesetz hat eine wichtige Rolle bei der Stärkung der Cybersicherheit von Unternehmen mit Kritischen Infrastrukturen (KRITIS) im Mittelstand eingenommen. Da diese Unternehmen häufig auch ERP-Software (Enterprise Resource Planning) einsetzen, ist die Einhaltung der neuen Regelungen besonders wichtig. In diesem Blogbeitrag erläutern wir, warum das IT-Sicherheitsgesetz für diese Unternehmen relevant ist und was sie beachten müssen, um ihre Daten und Geschäftsprozesse angemessen zu schützen.

Bedrohungen für den Mittelstand: Warum ist das IT-Sicherheitsgesetz wichtig?

Der Mittelstand ist ebenso wie Großunternehmen ein attraktives Ziel für Cyberkriminelle. Einige mittelständische Unternehmen verfügen jedoch nicht über die gleichen Ressourcen zur Absicherung ihrer IT-Infrastruktur. Das IT-Sicherheitsgesetz 2.0 bietet daher eine wichtige Grundlage für KRITIS-Unternehmen, um sich besser vor Cyber-Angriffen zu schützen und die Abwehr von Bedrohungen zu verbessern Es kann aber auch allen anderen Unternehmen als Basis für ihr Sicherheitskonzept dienen.

Typische Branchen, die unter das IT-Sicherheitsgesetz fallen und als kritische Infrastrukturen gelten können, sind:

Definition des BSI: Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu gehören:

• Energieversorgung: Unternehmen, die in der Energieerzeugung, -übertragung und -verteilung tätig sind, wie Stromnetzbetreiber oder Betreiber von Kraftwerken.
• Wasser- und Abwasserwirtschaft: Unternehmen, die für die Wasserversorgung und die Abwasserentsorgung verantwortlich sind.
• Informationstechnik und Telekommunikation: Unternehmen, die IT- und Telekommunikationsdienstleistungen anbieten, wie Telekommunikationsanbieter oder Rechenzentren.
• Transport und Verkehr: Hierzu zählen Betreiber von Flughäfen, Häfen, Eisenbahnen, öffentlichen Verkehrsmitteln und Verkehrssystemen.
• Gesundheit: Krankenhäuser, Gesundheitseinrichtungen und pharmazeutische Unternehmen.
• Finanz- und Versicherungswesen: Unternehmen, die Finanzdienstleistungen, Bankdienstleistungen und Versicherungen anbieten.
• Lebensmittel und Landwirtschaft: Unternehmen in der Lebensmittelproduktion und -verteilung, Landwirtschaft und Tierhaltung.
• Medien: Unternehmen, die für die Aufrechterhaltung der öffentlichen Meinungsbildung eine wesentliche Rolle spielen, wie Rundfunkanstalten und Presse.

Bitte beachten Sie, dass die genaue Definition und Zuordnung kritischer Infrastrukturen je nach Land und Gesetzgebung variieren kann. Prüfen Sie im Zweifelsfall in Abstimmung mit den Behörden, ob Ihr Unternehmen die KRITIS-Kriterien erfüllt. 

Aber auch mittelständische Unternehmen, die keine Kritische Infrastruktur sind, können von den Regelungen des IT-Sicherheitsgesetzes betroffen sein, wenn sie z.B. in Lieferketten oder Geschäftsbeziehungen mit Kritischen Infrastrukturen stehen oder branchenspezifische Regelungen gelten. Um festzustellen, ob ein Unternehmen den Anforderungen des IT-Sicherheitsgesetzes unterliegt, ist es daher wichtig, die spezifische Gesetzgebung des jeweiligen Landes zu prüfen.

Relevante Regelungen des IT-Sicherheitsgesetzes für mittelständische Unternehmen

Das Gesetz verpflichtet mittelständische Unternehmen, Cyberangriffe und Sicherheitsvorfälle unverzüglich zu melden. Diese Meldepflicht soll helfen, schnelle Gegenmaßnahmen einzuleiten und das Ausmaß der Angriffe besser zu verstehen.

Darüber hinaus definiert das IT-Sicherheitsgesetz Mindeststandards für die IT-Sicherheit, die Unternehmen einhalten müssen. Hier sollten insbesondere mittelständische Unternehmen darauf achten, dass ihre ERP-Software den geforderten Standards entspricht.

Welche Mindeststandards für IT-Sicherheit müssen mit diesem Gesetz umgesetzt werden?

Das IT-Sicherheitsgesetz legt Mindeststandards für die IT-Sicherheit fest, die von den betroffenen Unternehmen einzuhalten sind. Die genauen Mindeststandards können je nach Art des Unternehmens und seiner Rolle in der kritischen Infrastruktur variieren. Das Gesetz definiert jedoch allgemeine Anforderungen, die für viele Unternehmen gelten. Im Folgenden sind einige der Mindeststandards aufgeführt, die typischerweise im IT-Sicherheitsgesetz enthalten sein können:

• Unternehmen müssen angemessene organisatorische und technische Maßnahmen ergreifen, um die IT-Sicherheit zu gewährleisten. Dazu gehören unter anderem Sicherheitsrichtlinien, Zugriffskontrollen, Passwortrichtlinien und Sicherheitskonzepte.
• Unternehmen müssen geeignete Maßnahmen treffen, um personenbezogene Daten angemessen zu schützen. Dies kann die Verschlüsselung sensibler Daten, Zugriffskontrollen und Datenschutzmaßnahmen umfassen.
• Unternehmen müssen Sicherheitsvorfälle, Cyberangriffe und Störungen in der IT-Infrastruktur unverzüglich melden. Dadurch sollen schnelle Gegenmaßnahmen eingeleitet und weitere Schäden minimiert werden.
• Unternehmen müssen Vorkehrungen treffen, um ihre IT-Systeme vor Schadsoftware wie Viren, Würmern und Trojanern zu schützen. Das kann durch Antivirensoftware, Firewalls und regelmäßige Updates erfolgen.
• Unternehmen müssen sicherstellen, dass nur autorisierte Personen Zugriff auf sensible Daten und Systeme haben. Dies erfordert eine klare Zugriffssteuerung und ein effektives Identitätsmanagement.
• Unternehmen sollten regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen durchführen, um potenzielle Sicherheitslücken frühzeitig zu erkennen und zu beheben.
• Unternehmen müssen Notfallpläne für den Fall von Sicherheitsvorfällen und Cyberangriffen haben. Ein effektives Incident-Response-Management ermöglicht es, schnell auf Bedrohungen zu reagieren und Schäden zu begrenzen.
• Unternehmen müssen sicherstellen, dass die Kommunikation über ihre Netzwerke sicher ist, insbesondere bei der Übertragung sensibler Daten.

Es ist wichtig zu beachten, dass die konkreten Mindeststandards je nach Land und Gesetzgebung variieren können. Die Einhaltung dieser Mindeststandards ist entscheidend, um die IT-Sicherheit zu gewährleisten und die Cyber-Resilienz von Unternehmen zu stärken. Unternehmen sollten daher sorgfältig prüfen, welche spezifischen Anforderungen für sie gelten, und geeignete Maßnahmen ergreifen, um die gesetzlichen Anforderungen zu erfüllen.

Herausforderungen bei der Umsetzung des IT-Sicherheitsgesetzes für ERP-Systeme im Mittelstand

Ressourcenbeschränkungen:
Mittelständische Unternehmen verfügen unter Umständen nicht über die finanziellen oder personellen Ressourcen, um komplexe IT-Sicherheitsmaßnahmen zu implementieren und aufrechtzuerhalten. In diesem Fall sollten sie prüfen, ob sie auf externe Unterstützung zurückgreifen können.

Kompatibilität mit bestehenden ERP-Systemen:
Die Integration von Sicherheitsmaßnahmen in bestehende ERP-Software kann eine Herausforderung darstellen. Es ist wichtig, dass die Sicherheitsmaßnahmen nahtlos in die Geschäftsprozesse integriert werden können, ohne die Effizienz zu beeinträchtigen.

Maßnahmen zur Sicherung von ERP-Systemen im Mittelstand

Sicherheitsbewusstsein schaffen:
Sensibilisierung der Mitarbeiter für IT-Sicherheit ist entscheidend. Schulungen und Trainings können das Sicherheitsbewusstsein erhöhen und Mitarbeiter dazu befähigen, Bedrohungen frühzeitig zu erkennen und zu melden.

Sicherheitslücken identifizieren und schließen:
Regelmäßige Sicherheitsaudits und Schwachstellenanalysen können dazu beitragen, potenzielle Sicherheitslücken in der ERP-Software zu entdecken und zu beheben.

Zusammenarbeit mit Experten:
Die Zusammenarbeit mit erfahrenen IT-Sicherheitsdienstleistern kann mittelständischen Unternehmen dabei helfen, maßgeschneiderte Sicherheitslösungen zu entwickeln und umzusetzen.

Mehr Sicherheit durch das IT-Sicherheitsgesetz

All dies macht deutlich, dass das IT-Sicherheitsgesetz eine wichtige Grundlage zur Stärkung der Cybersicherheit im Mittelstand ist. Gerade für KRITIS-Unternehmen, die ERP-Software einsetzen, sind die Regelungen von großer Bedeutung, um Daten und Geschäftsprozesse vor Cyber-Angriffen zu schützen. Durch die Umsetzung geeigneter Sicherheitsmaßnahmen und die Einhaltung der gesetzlichen Vorgaben können mittelständische Unternehmen ihre IT-Infrastruktur besser absichern und sich langfristig vor möglichen Bedrohungen schützen.