Die geplante Unternehmenskooperation soll ein Kompetenzzentrum der deutschen Wirtschaft für Computer- und Internetsicherheit werden und sodann auch als IT-Sicherheitsdienstleister der deutschen Wirtschaft fungieren. Neben der Entwicklung von Dienstleistungen im Umfeld der IT-Sicherheit soll DCSO auch als Schnittstelle zu den mit IT-Sicherheit befassten Bundesbehörden fungieren. Eine enge Zusammenarbeit mit dem Bundesinnenministerium (BMI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) soll den Informationsaustausch zwischen Staat und Wirtschaft intensivieren und dabei helfen, anonymisierte Lagebilder der nationalen Cyber-Sicherheit zu erstellen.
Mit Blick auf die zunehmenden Angriffe auf Unternehmenssysteme müssten Wirtschaftsunternehmen enger als bisher miteinander und mit staatlichen Organisationen zusammenarbeiten, heißt es dazu in der gemeinsamen Veröffentlichung der vier Gründungsunternehmen. Bundesinnenminister Thomas de Maizière hat die Gründung des zentralen Cyber-Sicherheitsdienstleisters für die deutsche Wirtschaft begrüßt. Für eine Stärkung der Cybersicherheit in Deutschland, seien "neue und vor allem nachhaltige Formen der Zusammenarbeit von Staat und Wirtschaft zwingend erforderlich". In einer Pressemitteilung des BMI erklärte de Maizière, man freue sich, dass die deutsche Wirtschaft Verantwortung zeige und mit der DCSO qualifizierte IT-Sicherheitsdienstleistungen auf "Premium-Niveau" für den Markt schaffen wolle.
Neue IT-Produkte und -Services ab 2016
Die DCSO, als neue Dienstleistungsgesellschaft für das Segment der IT-Sicherheit, soll als wirtschaftlich eigenständige Gesellschaft und damit unabhängig von den vier Gründungsgesellschaften operieren. Die Gesellschaft wird ihren Sitz in Berlin haben und soll in Deutschland tätige Unternehmen in Zukunft dabei unterstützen, ihre Sicherheitsarchitektur zu verbessern. Nach der gemeinsamen Pressemitteilung sollen in Zukunft "hochwertige Dienstleistungen" angeboten werden, um Cyber-Gefahren zu identifizieren und abzuwehren. Bereits 2016 sollen interessierten Unternehmen erste Services angeboten werden. Darunter fallen beispielsweise ein Frühwarnsystem sowie Security-Audits zur Prüfung der Informationssicherheit von Unternehmen.
- 1. Informationsschutz zur Wahrung der Vertraulichkeit
(insbesondere Zugriffsschutz, siehe § 9 BDSG) - 2. Gewährleistung der technischen und organisatorischen Verfügbarkeit
(insbesondere Notfall-planung und Wiederanlaufmöglichkeit durch Redundanz) - 3. Schutz der Datenintegrität
(Programmintegrität durch Change Management und Maßnahmen zur Erhaltung der Datenin-tegrität, z.B. Virenschutz) - 4. Stabilität und Sicherheit der IT-Prozesse
- 5. Gewährleistung der physischen Sicherheit
- 6. Datenaufbewahrung und –archivierung
- 7. Mitarbeitermanagement im Hinblick auf IT-Sicherheit (Awareness)
- 8. Wirksames IT-Management durch alle Phasen (Plan-Do-Check-Act)
- 9. Kontrolle der ausgelagerten Bereiche (Outsourcing)
- 10. Materieller Datenschutz
Als nächste Stufe plant die DCSO die Entwicklung neuer Sicherheitstechnologien. Die Umsetzung soll mit zusätzlichen Kooperationspartnern erfolgen. Dazu soll es einen beratenden Fachbeirat geben. Gemeinsam mit weiteren führenden deutschen Unternehmen sowie Branchenverbänden soll das Dienstleistungsangebot der DCSO so weiterentwickelt werden. Daneben ist beabsichtigt, den Beirat als ein gemeinsames Forum für Cyber-Sicherheit in Deutschland auszubauen.
Schnell wachsender Markt
Das Gründungs- und Startkapital für die DCSO kommt von den vier Gründungsunternehmen, welche nach Einholung der kartellrechtlichen Genehmigung zu je einem Viertel an der Gesellschaft beteiligt sein werden. Die durch die neue Gesellschaft erwirtschafteten Gewinne sollen die Grundlage neuer strategischer Projekt bilden und die Forschung und Entwicklung im Bereich IT-Sicherheit finanzieren. Mit der DCSO formiert sich auch ein neuer Spieler auf dem wachsenden Markt der IT-Sicherheit. Produkte und Dienstleistungen auf dem Gebiet der IT-Sicherheit sind gefragt. Und die Nachfrage nach qualifizierten Dienstleistungen im Bereich IT-Sicherheit steigt stetig. Der Umsatz mit Software und Services auf dem Gebiet der IT-Sicherheit wird in Deutschland 2015 voraussichtlich um 6,5 Prozent auf 3,7 Milliarden Euro wachsen. Das berichtete der Digitalverband Bitkom auf Basis von Prognosen des Marktforschungsunternehmens IDC am 30. Juli 2015.
Regulatorische Anforderungen
Die Gründung der DCSO als Kompetenzzentrum der deutschen Wirtschaft für Computer- und Internetsicherheit ist nicht zuletzt eine Reaktion auf das neue IT-Sicherheitsgesetz. Dieses ist am 24. Juli 2015 in Kraft getreten. Durch das Gesetz entstehen für Betreiber kritischer Infrastrukturen neue Pflichten zur Einführung von Abwehrmaßnahmen, Nachweis- und Meldepflichten.
- Die besten Systemhäuser für IT-Security
In unserer jährlichen Umfrage zur Zufriedenheit der Anwender mit ihren Systemhäusern wurden rund 800 Security-Projekte bewertet. Hier finden Sie die fünf Systemhäuser mit den besten Durchschnittsnoten (Note eins - sehr gut; Note sechs - sehr schlecht). - Platz 10: IT-on.NET
Note: 1,53 - Platz 10: pdv-systeme Sachsen
Note: 1,53 - Platz 9: SVA System Vertrieb Alexander
Note: 1,52 - Platz 8: MR Datentechnik
Note: 1,46 - Platz 7: Dextra Data
Note: 1,44 - Platz 6: dualutions
Note: 1,42 - Platz 5: IT-Haus
Note: 1,36 - Platz 4: Schneider & Wulf
Note: 1,35 - Platz 3: Interface Systems
Note: 1,22 - Platz 2: Krämer IT
Note: 1,19 - Platz 1: Systemhaus Cramer
Note: 1,18
Die Gründung eines zentralen IT-Dienstleisters für die deutsche Wirtschaft macht mit Blick auf die neuen Vorgaben durchaus Sinn. So lässt das neue Gesetz zentrale Fragen unbeantwortet, die durch die Praxis noch mit Leben zu füllen sind. Beispielsweise legt das Gesetz noch nicht genau fest, welche technischen Maßnahmen zukünftig von den Betreibern kritischer Infrastrukturen konkret zu ergreifen sind. Zudem sieht das Gesetz vor, dass Branchenstandards entwickelt werden können, die konkrete Schutzmaßnahmen vorschreiben. Ein zentraler und in Richtung Behörden vernetzter Dienstleister kann sich bei Umsetzung dieser Fragestellungen gewinnbringend am Markt positionieren.
Gleiches gilt für die durch das IT-Sicherheitsgesetz normierten Auditierungs- und Meldepflichten. Betreiber kritischer Infrastrukturen müssen zukünftig mindestens alle zwei Jahre gegenüber dem BSI nachweisen, dass sie ausreichende Schutzmaßnahmen ergriffen haben. Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen geführt werden. Zudem ist gegenüber dem BSI eine Kontaktstelle zu benennen. Ein gemeinsamer IT-Sicherheitsdienstleister kann hier Know-How bündeln und Best Practices entwickeln. (sh)
Dieser Artikel wurde verfasst unter Mitarbeit von Christoph Maiworm, Rechtsanwalt bei Luther und ebenfalls auf das IT- und Datenschutzrecht spezialisiert.