„Qualys-Box“ – EU-DSGVO und ISO 27001 bieten Systemhäusern Umsatzmöglichkeiten

Schwachstellen- oder Vulnerability Management ist plötzlich im Mittelstand gefragt. Weshalb das so ist erklärt Thomas Ströbele vom IT-Systemhaus yourIT GmbH aus Hechingen.

Seit mittlerweile 10 Jahren beschäftigt sich das IT-Systemhaus yourIT mit dem Thema Schwachstellenmanagement. 2007 suchte der Systemhausverbund comTeam in seinen Reihen nach einem geeigneten Mitglied, das sich für den Betrieb eines verbandsweit einzusetzenden Vulnerability-Scanners eignete.

„Wir erkannten sofort das enorme Potential eines cloudbasierten und proaktiven Vulnerability Managements. Als wir die Lösung 2007 mittelständischen Kunden vorstellten, konnten die den Begriff noch nicht mal aussprechen,“ so Ströbele. „Das änderte sich nach und nach in den Folgejahren. Aber erst seit 2016 erhalten wir vermehrt Anfragen. Gründe sind meist die EU-DSGVO und die ISO 27001.“

Die schwächste Stelle bricht
yourIT-Partner bietet Systemhäusern Umsatzmöglichkeiten mit Schwachstellen-Management

Welche Unternehmen müssen diese Normen bis wann umsetzen?

Durch das IT-Sicherheitsgesetz von Mitte 2015 sind alle Unternehmen der sogenannten Kritis (Kritische Infrastruktur) gezwungen, kurzfristig ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 einzuführen und zu betreiben. Dazu gehören z.B. Stadtwerke, Krankenhäuser und Transportunternehmen. Außerdem stehen die Automobilzulieferer unter starkem Druck durch die Hersteller. Über kurz oder lang müssen alle Zulieferer und Dienstleister ISO-27001-zertifizierter Unternehmen diese Norm ebenfalls erfüllen.

Die ISO 27001:2015 schreibt mit Control A.12.6 zur Handhabung von technischen Schwachstellen vor, dass ein Ausnutzen dieser verhindert sein muss. Die empfohlene Maßnahme lautet: „Information über technische Schwachstellen verwendeter Informationssysteme wird rechtzeitig eingeholt, die Gefährdung der Organisation durch derartige Schwachstellen wird bewertet und angemessene Maßnahmen werden ergriffen, um das dazugehörige Risiko zu behandeln.“

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist bereits seit Mai 2016 in Kraft und muss ab dem 25.05.2018 zwingend von allen deutschen (eigentlich sogar europäischen) Unternehmen eingehalten werden. Sie fordert im Rahmen des Datenschutzes eine „Folgenabschätzung“ (=Risikomanagement) und die TOM’s (technische und organisatorische Maßnahmen) sind ersetzt durch die allgemeine Aussage, dass Folgendes umzusetzen ist (vgl. Art. 32 d) EU-DSGVO):

[…] ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung […]

Dies verweist auf die Grundsätze eines ISMS. Es ist daher sinnvoll, die beiden Themen „Vorbereitung im Rahmen des Datenschutzes auf die neue EU-DSGVO“ und „Einführung eines ISMS“ zu verheiraten.

Betroffene Unternehmen brauchen unsere Unterstützung

Einerseits werden Mittelständler immer häufiger Opfer von Cyberangriffen, wodurch die IT-Abteilungen bereits stark belastet sind. Andererseits sollen dieselben Leute nun auch noch ein ISMS einführen. Das wird ohne Unterstützung durch IT-Systemhäuser sowie Tools wie die Qualys-Box nicht funktionieren.

yourIT hat sich in 2016 ISO 27001 zertifizieren lassen und gibt Ihre Erfahrung gerne weiter. Interessierten Systemhäusern bieten wir mehrere Möglichkeiten
zur Zusammenarbeit:

  • Nutzung der „Qualys-Box“
  • Durchführung von SecurITy-Audits bei Ihren Kunden
  • Beratung und Zertifizierung für IT-Systemhäuser „In 6 Monaten zur ISO 27001“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.