Die Abwehr von Angriffen auf die IT und Daten sowie der Schutz und die Beseitigung von Schwachstellen gestalten sich zunehmend komplexer und aufwendiger. Eine bisher geschlossene, nach außen abgeschottete Unternehmens-IT mit festen Ein- und Ausgängen wird abgelöst von losen Gebilden mit einer Vielzahl von Zugriffspunkten, temporären Beziehungen und oftmals unbekannten Akteuren. Die Grenzen zwischen der eigenen IT und den Systemen und Services Dritter werden immer undeutlicher.
Aktuell sind die meisten Unternehmen jedoch in Produktions- und Lieferketten eingebunden und der Datenaustausch innerhalb solcher Gebilde findet zwischen vernetzten Informations- und Kommunikationssystemen statt. Es liegt daher auf der Hand, dass solch ein Gesamtsystem nur so sicher ist wie das schwächste Glied innerhalb der Kette.
Welche gesetzlichen Anforderungen es gibt
Seit mehr als zehn Jahren unterliegen IT-Verantwortliche einem mehr oder minder starken Regulierungsdruck. Von allen Seiten werden Unternehmen mit neuen Gesetzen, Standards und Richtlinien penetriert. Beispielsweise von der EU-Kommission, der Bundesregierung oder unterschiedlichen Industriekonsortien. Zu den Gesetzen und Richtlinien, die für IT-Verantwortliche in Deutschland relevant sind, zählen das Bundesdatenschutzgesetz, die EU Direktive 136, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) oder das Telekommunikations- und Telemediengesetz.