Datenpannen, Systemausfälle, Hackerangriffe und Viren – die Bedrohungen, denen die IT-Infrastruktur moderner Unternehmen ausgesetzt ist, sind vielfältig. Ein IT-Sicherheitskonzept und weitere Governance-Strukturen wie Managementsysteme sorgen für systematischen Schutz.
Hier erfahren Sie, welche Anforderungen ein solches IT-Sicherheitskonzept erfüllen muss und welche Muster und Vorlagen es gibt.
Was ist ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept (IT-SiKo) ist zentraler Bestandteil des IT-Sicherheitsmanagements eines Unternehmens. Im IT-SiKo werden Schutzziele festgelegt, mit deren Hilfe Risiken identifiziert und bewertet werden können. Auf dieser Grundlage werden Maßnahmen zum Umgang mit Kunden- und Unternehmensdaten definiert.
Mit technischen und organisatorischen Maßnahmen werden Datenpannen, Systemausfällen, Hackerangriffen und Virenbefall vorgebeugt. Außerdem werden im IT-SiKo auch Mechanismen zur Zugriffskontrolle und Technologien für die Verschlüsselungen beschrieben und die regelmäßigen Schulungen zur Sensibilisierung der Mitarbeitenden festgelegt.
Warum brauchen Unternehmen ein IT-Sicherheitskonzept?
Konstruktions- und Herstellungsverfahren, technisches Know-how oder Kunden- und Preisinformationen sind wertvoll für ein Unternehmen und müssen vor Datenverlust, -missbrauch oder -diebstahl bewahrt werden. Mit der Implementierung eines Informationssicherheit-Managementsystems (ISMS) (engl. Information Security Management Systems) stellen Unternehmen und Organisationen die Informationssicherheit her und gewährleisten die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität.
Das könnte Sie auch interessieren: Informationssicherheits-Managementsystem (ISMS) ISO 27001 im Überblick
Die Daten werden dementsprechend geschützt, sodass nur autorisierte Nutzer Zugriff haben und weder ein unbefugter noch ein unkontrollierbarer Zugang möglich ist. Das digitale ISMS kontrolliert, steuert und optimiert die Informationssicherheit und identifiziert so Risiken. Diese strukturierte Vorgehensweise wird in einem schriftlich definierten Sicherheitskonzept festgehalten, das klare Standards zur Umsetzung des ISMS definiert.
Was ist das Ziel des IT-Sicherheitskonzepts?
Das IT-Sicherheitskonzept dokumentiert die Richtlinien für den Umgang mit dem Thema Informationssicherheit im Unternehmen. An das Reglement, das auch das Datenschutzkonzept enthält, müssen sich alle Mitarbeitenden halten. Vor der Inbetriebnahme eines jeden neuen Systems oder einer neuen Vorgehensweise im Unternehmen werden die zu verarbeitenden Daten klassifiziert und die dann erforderlichen Maßnahmen beschrieben. Wichtige Eckdaten sind:
- Geltungsbereich: Welche Informationsprozesse werden berücksichtigt?
- Risiken: Welche Gefahren für das Unternehmen können identifiziert werden?
- Schutzbedarf: Welche Assets sind zu schützen? Assets können neben Daten und Hardware-Komponenten auch die Mitarbeitenden selbst sein.
- Schutzniveau: Wie abhängig ist das Unternehmen von bestimmten Daten?
Das Ziel des IT-SiKo liegt neben dem Schutz der verarbeiteten Informationen und Daten auch darin, die implementierten technischen und organisatorischen Maßnahmen für alle Personen im Unternehmen nachvollziehbar zu machen.
Wie funktioniert ein Datenschutzkonzept?
Das im IT-SiKo integrierte Datenschutzkonzept zielt darauf ab, die Rechte der betroffenen Personen zu schützen. Es definiert
- die Vorgaben zur Verarbeitung, also das Erheben oder Erfassen, die Speicherung, die Übermittlung, oder das Löschen personenbezogener Daten und
- die Maßnahmen zur Verhinderung des Missbrauchs personenbezogener Daten.
Erst durch diese detaillierte Betrachtung ist es möglich, die passenden Maßnahmen wie Firewalls, Anti-Viren-Lösungen, Passwortmanager, Berechtigungskonzepte, Verschlüsselungen und dokumentierte Back-up-Verfahren einzuführen.
Welche gesetzlichen Anforderungen werden an ein IT-Sicherheitskonzept gestellt?
Es gibt keine gesetzlich festgelegten Anforderungen für die Erstellung eines IT-Sicherheitskonzeptes, wohl aber Standards und Normen, die individuell erweitert werden können. Unternehmen können ihr Informationssicherheits-Managementsystem (ISMS) zum Beispiel nach der internationalen Norm DIN ISO/IEC 27001 zertifizieren lassen, um einen allgemein anerkannten Informationsschutz zu dokumentieren.
Welche Anforderungen ergeben sich aus der DSGVO?
Auch die in der EU gültige DSGVO (Datenschutz-Grundverordnung) zum Schutz personenbezogener Daten fordert kein IT-Sicherheitskonzept. Artikel 30 verlangt allerdings ein „Verzeichnis aller Verarbeitungstätigkeiten“ und „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in Schriftform. Des Weiteren lassen sich aus Artikel 32 Verpflichtungen zur Implementierung und Betrieb risikoorientierter technischer und organisatorischer Maßnahmen ableiten. Diese Maßnahmen müssen gemäß DSGVO ein „dem Risiko angemessenes Schutzniveau gewährleisten“. Ein durchdachtes IT-SiKo kommt dieser Forderung nach.
Wo werden weitere Anforderungen an ein IT-Sicherheitskonzept aufgeführt?
Noch weiter gehen die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Im BSI-Standard BSI 200 werden Vorschläge zur Konzeptionierung eines ISMS, zu Absicherungsmethoden und zum Risikomanagement in der Informationssicherheit gemacht. Damit wird praktisch ein Grundgerüst für ein IT-SiKo geliefert. Unternehmen können sich vom BSI zertifizieren lassen, um das BSI-Grundschutz-Zertifikat zu erhalten.
Was versteht man unter dem IT-Sicherheitsgesetz?
Das 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gilt für Unternehmen, die in Bereichen der kritischen Infrastruktur tätig sind (Transport, Verkehr, Energie, Gefahrstoffe, Telekommunikation, Finanz-, Geld-, Versicherungswesen). Diese müssen ihre Risiken für die Informationssicherheit nach dem BSI-Gesetz (§8A BSIG) minimieren und nachweisen, dass ihre IT-Sicherheit gewährleistet ist. Die Standards gelten auch für die Bundesverwaltung.
Mittlerweile gibt es übrigens das IT-Sicherheitsgesetz 2.0, welches das BSI speziell in der Cyber-Sicherheit stärkt.
7 Schritte bei der Erstellung des IT-Sicherheitskonzepts
Es empfiehlt sich die Erstellung eines IT-Sicherheitskonzepts nach dem PDCA-Zyklus aufzusetzen. PDCA steht für Plan-Do-Check-Act und ist vor allem im Bereich der IT- und Informationssicherheit ein etablierter Prozess.
Was Sie bei der Umsetzung dieses Ansatzes zu beachten haben und welche To Do's Sie dort haben erfahren Sie in diesem Artikel: IT-Sicherheitskonzept in 4 Schritten.
Grundsätzlich bilden die folgenden 7 Schritte aber den Grundstein für die Erstellung Ihres IT-Sicherheitskonzepts. Diese lassen sich auch in der Planungs- und Konzeptionsphase (Plan) wiederfinden:
-
Durch die Festlegung des Geltungsbereichs wird bestimmt, für welchen Bereich des Unternehmens oder der Organisation – also für welchen Informationsverbund – ein IT-SiKo erstellt wird.
-
Bei der Strukturanalyse werden alle Informationen, Prozesse und unterstützenden technischen Systeme zusammengestellt, die im festgelegten Informationsverbund die Basis für das IT-SiKo bilden.
-
Für die Feststellung des Schutzbedarfs wird ermittelt, welcher Schutz im genannten Geltungsbereich für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik gebraucht wird.
-
In der Modellierungsphase werden die Ergebnisse aus der Strukturanalyse mit dem Schutzbedarf zusammengeführt und die daraus notwendigen Sicherheitsmaßnahmen auch an den entstandenen Schnittstellen beschlossen.
-
Mit dem Basis-Sicherheitscheck entsteht ein Überblick über das bereits vorhandene Sicherheitsniveau. Es findet eine Bewertung des bestehenden Informationsverbundes statt.
-
Die ergänzende Sicherheitsanalyse ermittelt die noch nicht vollständig abgedeckten Risiken.
-
Die Risikoanalyse hilft schließlich, die vorhandenen Risiken auf ein akzeptables Maß und damit ein für das Unternehmen erträgliches Restrisiko zu reduzieren.
Welche branchenspezifischen Aspekte müssen im IT-Sicherheitskonzept beachtet werden?
Beim Aufbau von IT-Sicherheitskonzepten gibt es immer branchenspezifische Besonderheiten. Als Beispiel ist der Gesundheitsbereich zu nennen. Organisationen, die mit Gesundheitsdaten agieren, benötigen aufgrund der Datensensibilität ein kleinteiligeres IT-SiKo. Ihre Datenübertragungen müssen immer mit einer Ende-zu-Ende-Verschlüsselung durchgeführt werden. Und die Übermittlung von Befunden muss „versiegelt“ erfolgen.
Ganz anders in der Handwerksbranche. Dort muss das Augenmerk auf dem Austausch sensibler Daten über öffentliche Drahtlosnetzwerke und dem nicht berechtigten Zugriff auf Kundendaten liegen. Auch die Frage nach einem sicheren Online-Banking steht im Vordergrund.
Wer ist für das IT-Sicherheitskonzept im Unternehmen verantwortlich?
Die Unternehmensführung zeichnet verantwortlich für das Informationssicherheits-Managementsystem (ISMS). Die Sicherheitsrichtlinien werden also vom Unternehmensmanagement zusammengestellt. Alle Mitarbeitenden und Unternehmensbereiche müssen die Sicherheitsrichtlinien verstehen, beachten und einhalten. Die dafür notwendige Ausarbeitung der Details im IT-Sicherheitskonzept kann von der IT-Leitung, den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten vorgenommen werden.
In manchen fällen macht auch die Benennung eines IT-Sicherheitsbeauftragten Sinn. Um gute IT-Sicherheitskonzepte für unterschiedliche Unternehmensbereiche zu entwickeln, ist ein grundsätzliches Verständnis für die Vorgänge im Unternehmen die Basis.
Außerdem ist ein breites Fachwissen im IT-Bereich unabdingbar. Die Erstellung eines IT-Sicherheitskonzepts ist ein komplexer Vorgang, der erlernt werden muss. Es ist daher sinnvoll, dass diejenigen im Unternehmen, die Expertise in relevanten Vorgängen besitzen, diese auch in die Erstellung des IT-Sicherheitskonzepts einbringen.
Wie können Sie Ihr Sicherheits- und Compliance-Management vereinfachen?
Die zunehmende Komplexität moderner IT-Landschaften macht es für Unternehmen wie Ihres immer wichtiger, sensible Informationen wirksam zu schützen und Risiken gezielt zu minimieren. Hier kann Ihnen eine All-in-One-Plattform für Security und Compliance helfen, die KI-gestützte Automatisierung mit Expertenberatung verbindet.
Verlassen Sie sich auf eine zentrale Lösung, die Ihre IT-Sicherheit stärkt, Risiken minimiert und Ihnen erlaubt, sich auf Ihr Kerngeschäft und das Wachstum Ihres Unternehmens zu konzentrieren. Eine solche Lösung reduziert nicht nur den manuellen Aufwand für Ihr Team, sondern sorgt auch dafür, dass Sie jederzeit compliant und sicher blieben.
So geht Informationssicherheit!
Ist das Thema Informationssicherheit neu für Sie? Dann ist dieser Guide genau das Richtige für den Anfang! Alles was Sie wissen müssen kompakt zusammengefasst!
Jetzt kostenlos herunterladen