Nachrichten Gesetze & Regularien

Regularien: Für mehr Datensicherheit

Mit zunehmender Digitalisierung und Vernetzung steigt auch für Hersteller:innen und Formulierer:innen von Lacken und Farben das Risiko für Cyber-angriffe, die zu Datenverlust, -missbrauch oder gar Produktionsausfall führen können. Von Bettina Huck und Jürgen Knopp, QUMsult

Wie können Lackunternehmen ihre Daten schützen?
Wie können Lackunternehmen ihre Daten schützen? Quelle: Koto Amatsukami - stock.adobe.com

Sie müssen sich u.a. gegen den unautorisierten Zugriff auf Rezepturdaten schützen, Kund:innen fordern einen Nachweis über die Sicherheit ihrer Daten. Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018, wann, wie und auf welcher Grundlage personenbezogene Daten verarbeitet werden dürfen, welche Rechte betroffene Personen haben und welche Pflichten datenverarbeitende Stellen erfüllen müssen.

Der international anerkannte Standard

ISO 27001 hilft Unternehmen, Informationssicherheit strukturiert zu managen, Risiken zu minimieren und gesetzliche Vorgaben zu erfüllen. Unternehmen müssen entscheiden, wie sie Informationssicherheit umsetzen.

Managementsystem für Informationssicherheit

Unternehmen müssen beim Verarbeiten personenbezogener Daten die Anforderungen der DSGVO ermitteln und umsetzen. Ein Managementsystem z. B. nach ISO 27001 ermöglicht eine strukturierte Vorgehensweise und schafft Vertrauen bei Kunden und Geschäftspartnern. Die DIN EN ISO/IEC 27001:2024-01 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ legt sowohl Anforderungen für Einrichten, Umsetzen, Aufrechterhalten und fortlaufende Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) als auch an die Beurteilung und Behandlung von Informationssicherheitsrisiken fest.

Für die Einführung eines Managementsystems nach ISO 27001 spricht v.a.:

  • Gesetzliche Anforderungen werden erfüllt: Compliance-Anforderungen wie DSGVO und branchenspezifische Vorgaben, u.a. die Nachweispflicht zur Datensicherheit.
  • Sensible Informationen werden geschützt: Strukturierte Prozesse und Maßnahmen stellen Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicher. Risiken wie Datenverlust oder -missbrauch können minimiert werden.
  • Systematisches Risikomanagement: Unternehmen erkennen und bewerten potenzielle Sicherheitslücken frühzeitig und können präventiv handeln.
  • Haftungsrisiken werden verringert: Ein funktionierendes ISMS senkt das Haftungsrisiko (Organisationsverschulden).
  • Effizientere Prozesse: Dokumentierte Abläufe sorgen für rechtssicheres Arbeiten, Unternehmen sparen Zeit und Geld.
  • Fortlaufende Verbesserung: Durch regelmäßiges Überprüfen und Anpassen der Prozesse steigen Schutzniveau und Bewusstsein für Informationssicherheit im Unternehmen.
  • Erhöhtes Vertrauen bei Kund:innen und Geschäftspartner:innen als Wettbewerbsvorteil: Das Zertifikat dient als Nachweis gegenüber Kund:innen und zuständiger Behörde; für viele Kund:innen ist es Voraussetzung für eine Geschäftsbeziehung.

TISAX kann erforderlich sein, wenn Kund:innen aus der Automobilindustrie spezifische Anforderungen zum Schutz sensibler Daten stellen.

Soll im ersten Schritt kein ISMS eingerichtet werden, können KMU:

  • kritische Schutzbedarfe priorisieren, z. B. Rezepturen, Kundendaten, Produktionsprozesse.
  • pragmatische, modulare Schutzmaßnahmen statt umfassender Zertifizierungsprozesse nutzen.
  • Dokumentation und Prozesssteuerung realisieren, die mit geringen Ressourcen umsetzbar ist.
  • Produktsicherheitsanforderungen integrieren.

Informationen dazu bieten z.B. die Broschüre „Cybersicherheit für KMU“ des BSI, u.a. mit Links zu BSI IT-Grundschutz (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cybersicherheit_KMU.html) sowie branchenspezifische Empfehlungen oder Checklisten zur Informationssicherheit.

Cybersicherheit für Anlagen

Cybersicherheit für industrielle Anlagen gewinnt durch Digitalisierung und Vernetzung zunehmend an Bedeutung, insbesondere für überwachungsbedürftige Anlagen wie Aufzugsanlagen, Druckanlagen, Anlagen in explosionsgefährdeten Bereichen sowie Tankstellen und Gasfüllanlagen. Wesentliche Anforderungen und Pflichten regelt die TRBS 1115, Teil 1 „Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen“. Anlagenbetreiber müssen Gefährdungen für Beschäftigte und andere Personen durch Cyberbedrohungen wie Softwarefehler oder Hackerangriffe vermeiden.

Wesentliche Aufgaben sind v.a.:

  • Gefährdungen auch aufgrund von Cyberbedrohungen beurteilen (§§ 3, 4 BetrSichV): Fachkundiges Personal muss prüfen, ob Cyberrisiken für Anlagen bestehen, Risiken müssen bewertet werden. Leitfrage: Welche sicherheitsrelevanten Mess-, Steuer- und Regeleinrichtungen (MSR) sind vorhanden und sind sie vor Cyberbedrohungen geschützt?
  • Anforderungen an Cybersicherheit festlegen und Maßnahmen ableiten, z. B. Netzwerksegmentierung, Zugangs- und Zugriffskontrollen sowie Notfallmanagement.
  • Wirksamkeit der Maßnahmen überprüfen
  • Prüfung vor Inbetriebnahme und Wiederinbetriebnahme nach prüfpflichtigen Änderungen (§§ 4, 14, und 15 BetrSichV)
  • Wiederkehrende Prüfung (§§ 14 und 16

BetrSichV) durch zur Prüfung befähigte Personen bzw. zugelassene Überwachungsstellen (ZÜS), die im Rahmen ihrer Prüfungen Cyberbedrohungen und getroffene Schutzmaßnahmen bewerten. Können Vorgaben der TRBS 1115, Teil 1 nicht nachgewiesen werden, drohen nicht nur Bußgelder, sondern auch strafrechtliche Konsequenzen und ggf. sogar die Untersagung des Betriebs der betroffenen Anlage.

  • Betrieb, Instandhaltung und regelmäßige Kontrolle der Funktionsfähigkeit der Maßnahmen zur Cybersicherheit
  • Dokumentation: „Eine im Rahmen eines Managements der Cybersicherheit nach Anhang 1 TRBS 1115, Teil 1 vorhandene Dokumentation erfüllt für sicherheitsrelevante MSR-Einrichtungen die Dokumentationspflichten nach § 3 Absatz 8 BetrSichV.“

Legal Compliance und Rechtskataster

Arbeitgeber:innen müssen geltende rechtliche Anforderungen erfüllen. Diese ergeben sich aus externen Vorschriften und unternehmensinternen Verhaltensregeln: Legal Compliance bedeutet, dass Organisationen alle für sie zutreffenden, relevanten Rechtsvorschriften erfüllen und geregelt haben, wie diese aufrechterhalten und neue bzw. geänderte Anforderungen umgesetzt werden. Verhaltensregeln (Code of Conduct) betreffen z.B. den Umgang mit Geschäftspartner:innen, den Umgang mit Geschenken und Einladungen oder Verantwortung bezgl. Umweltschutz.

Im ersten Schritt ermitteln Unternehmen im Rahmen eines Compliance-Audits, welche Vorschriften für sie relevant sind. Erforderliche Maßnahmen müssen festgelegt und umgesetzt werden. Das Ergebnis ist in der Regel ein individuelles Rechtskataster, das neben Rechtsvorschriften und unternehmensinternen Verhaltensregeln auch erforderliche Genehmigungen enthalten kann. Dabei ist das Managen geltender Vorschriften kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess.

Anforderungen an ein geeignetes Rechtsregister sind v.a., dass der Stand der Aktualisierung stets erkennbar ist, die Bedeutung von Änderungen und Neuerungen fürs eigene Unternehmen beurteilt wird, Pflichten abgeleitet und Maßnahmen umgesetzt und überwacht werden sowie eine Archivierung vorhanden ist, ein Anbieter für eine webbasierte Lösung ist QUMsult.

Fazit

Unternehmen müssen sich vor Cyberbedrohungen schützen und Datensicherheit gewährleisten. Ein Managementsystem nach ISO 27001 ermöglicht ein strukturiertes Vorgehen, das Management der Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen (MSR) kann integriert werden.