Ein Leitfaden für ein IT-Sicherheitskonzept nach DSGVO (Stand Juni 2020)

Das Wichtigste in Kürze

  • Ein IT-Sicherheitskonzept nach Risikoeinschätzung ist für jedes Unternehmen unabdingbar.
  • Das IT-Sicherheitskonzept beschreibt die strukturierte Vorgehensweise vor der Einführung neuer Services.
  • Mit dem IT-Sicherheitskonzept werden Risiken und Gefahren der geplanten Informationsverarbeitung ermittelt.
  • Das IT-Sicherheitskonzept definiert das benötigte Schutzniveau und legt angemessene Sicherheitsmaßnahmen fest.
  • Mit dem Datenschutzkonzept werden zusätzlich die Rechte der betroffenen Personen geschützt.
  • Muster und Vorlagen können Ihnen bei der Erstellung Ihres individuellen Konzepts behilflich sein.

In diesem Beitrag

Datenpannen, Systemausfälle, Hackerangriffe und Viren – die Bedrohungen, denen die IT-Infrastruktur moderner Unternehmen ausgesetzt ist, sind vielfältig. Ein IT-Sicherheitskonzept sorgt für systematischen Schutz. Hier erfahren Sie, welche Anforderungen ein solches Konzept erfüllen muss und welche Muster und Vorlagen es gibt.

Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept (IT-SiKo) ist zentraler Bestandteil des IT-Sicherheitsmanagements eines Unternehmens. Im IT-SiKo werden Schutzziele festgelegt, mit deren Hilfe Risiken identifiziert und bewertet werden können. Auf dieser Grundlage werden Maßnahmen zum Umgang mit Kunden- und Unternehmensdaten definiert.

Mit technischen und organisatorischen Maßnahmen werden Datenpannen, Systemausfällen, Hackerangriffen und Virenbefall vorgebeugt. Außerdem werden im IT-SiKo auch Mechanismen zur Zugriffskontrolle und Technologien für die Verschlüsselungen beschrieben und die regelmäßigen Schulungen zur Sensibilisierung der Mitarbeiter festgelegt.

Warum brauchen Unternehmen ein IT-Sicherheitskonzept?

Konstruktions- und Herstellungsverfahren, technisches Know-how oder Kunden- und Preisinformationen sind wertvoll für ein Unternehmen und müssen vor Datenverlust, -missbrauch oder -diebstahl bewahrt werden. Mit der Implementierung eines Information Security Management Systems (ISMS) stellen Unternehmen und Organisationen die Informationssicherheit her und gewährleisten die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität.

Die Daten werden dementsprechend geschützt, sodass nur autorisierte Nutzer Zugriff haben und weder ein unbefugter noch ein unkontrollierbarer Zugang möglich ist. Das ISMS kontrolliert, steuert und optimiert die Informationssicherheit und identifiziert so die durch die IT-verursachten Risiken. Diese strukturierte Vorgehensweise wird in einem schriftlich definierten Sicherheitskonzept festgehalten, das klare Standards zur Umsetzung des ISMS definiert.

Was ist das Ziel des IT-Sicherheitskonzepts?

Das IT-Sicherheitskonzept dokumentiert die Richtlinien für den Umgang mit dem Thema Informationssicherheit im Unternehmen. An das Reglement, das auch das Datenschutzkonzept enthält, müssen sich alle Mitarbeitenden halten. Vor der Inbetriebnahme eines jeden neuen Systems oder einer neuen Vorgehensweise im Unternehmen werden die zu verarbeitenden Daten klassifiziert und die dann erforderlichen Maßnahmen beschrieben. Wichtige Eckdaten sind:

  • Geltungsbereich: Welche Informationsprozesse werden berücksichtigt?
  • Risiken: Welche Gefahren für das Unternehmen können identifiziert werden?
  • Schutzbedarf: Welche Assets sind zu schützen? Assets können neben Daten und Hardware-Komponenten auch die Mitarbeitenden selbst sein.
  • Schutzniveau: Wie abhängig ist das Unternehmen von bestimmten Daten?

Das Ziel des IT-SiKo liegt neben dem Schutz der verarbeiteten Informationen und Daten auch darin, die implementierten technischen und organisatorischen Maßnahmen für alle Personen im Unternehmen nachvollziehbar zu machen.

Wie funktioniert ein Datenschutzkonzept?

Das im IT-SiKo integrierte Datenschutzkonzept zielt darauf ab, die Rechte der betroffenen Personen zu schützen. Es definiert

  • die Vorgaben zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten und
  • die Maßnahmen zur Verhinderung des Missbrauchs personenbezogener Daten.

Erst durch diese detaillierte Betrachtung ist es möglich, die passenden Maßnahmen wie Firewalls, Anti-Viren-Lösungen, Passwortmanager, Berechtigungskonzepte, Verschlüsselungen und Back-up-Vorschriften einzuführen.

Welche gesetzlichen Anforderungen werden an ein IT-Sicherheitskonzept gestellt?

Es gibt keine gesetzlich festgelegten Anforderungen für die Erstellung eines IT-Sicherheitskonzeptes, wohl aber Standards und Normen, die individuell erweitert werden können. Unternehmen können ihr IT-Sicherheitsmanagement (ISMS) zum Beispiel nach der internationalen Norm DIN ISO/IEC 27001 zertifizieren lassen, um einen allgemein anerkannten Informationsschutz zu dokumentieren.

Welche gesetzlichen Anforderungen an ein IT-Sicherheitskonzept ergeben sich aus der DSGVO?

Auch die in der EU gültige DSGVO (Datenschutz-Grundverordnung) zum Schutz personenbezogener Daten fordert kein IT-Sicherheitskonzept. Artikel 30 verlangt allerdings ein „Verzeichnis aller Verarbeitungstätigkeiten“ und „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in Schriftform. Des Weiteren lassen sich aus Artikel 32 Verpflichtungen zur Implementierung und Betrieb risikoorientierter technischer und organisatorischer Maßnahmen ableiten. Diese Maßnahmen müssen gemäß DSGVO ein „dem Risiko angemessenes Schutzniveau gewährleisten“. Ein durchdachtes IT-SiKo kommt dieser Forderung nach.“

Wo werden weitere Anforderungen an ein IT-Sicherheitskonzept aufgeführt?

Noch weiter gehen die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Im BSI-Standard BSI 200 werden Vorschläge zur Konzeptionierung eines ISMS, zu Absicherungsmethoden und zum Risikomanagement in der Informationssicherheit gemacht. Damit wird praktisch ein Grundgerüst für ein IT-SiKo geliefert. Unternehmen können sich vom BSI zertifizieren lassen, um das BSI-Grundschutz-Zertifikat zu erhalten.

Was versteht man unter dem IT-Sicherheitsgesetz?

Das 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gilt für Unternehmen, die in Bereichen der kritischen Infrastruktur tätig sind (Transport, Verkehr, Energie, Gefahrstoffe, Telekommunikation, Finanz-, Geld-, Versicherungswesen). Diese müssen ihre Risiken für die Informationssicherheit nach dem BSI-Gesetz (§8A BSIG) minimieren und nachweisen, dass ihre IT-Sicherheit gewährleistet ist. Die Standards gelten auch für die Bundesverwaltung.

Wie wird ein IT-Sicherheitskonzept erstellt?

Die Erstellung eines IT-Sicherheitskonzeptes erfolgt im Grunde in sieben Einzelschritten:

  1. Durch die Festlegung des Geltungsbereichs wird bestimmt, für welchen Sektor des Unternehmens oder der Organisation – also für welchen Informationsverbund – ein IT-SiKo erstellt wird.
  2. Bei der Strukturanalyse werden alle Informationen, Prozesse und unterstützenden technischen Systeme zusammengestellt, die im festgelegten Informationsverbund die Basis für das IT-SiKo bilden.
  3. Für die Feststellung des Schutzbedarfs wird ermittelt, welcher Schutz im genannten Geltungsbereich für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik gebraucht wird.
  4. In der Modellierungsphase werden die Ergebnisse aus der Strukturanalyse mit dem Schutzbedarf zusammengeführt und die daraus notwendigen Sicherheitsmaßnahmen auch an den entstandenen Schnittstellen beschlossen.
  5. Mit dem Basis-Sicherheitscheck entsteht ein Überblick über das bereits vorhandene Sicherheitsniveau. Es findet eine Bewertung des bestehenden Informationsverbundes statt.
  6. Die ergänzende Sicherheitsanalyse ermittelt die noch nicht vollständig abgedeckten Risiken.
  7. Die Risikoanalyse hilft schließlich, die vorhandenen Risiken auf ein akzeptables Maß und damit ein für das Unternehmen erträgliches Restrisiko zu reduzieren.

Welche branchenspezifischen Aspekte müssen im IT-Sicherheitskonzept beachtet werden?

Beim Aufbau von IT-Sicherheitskonzepten gibt es immer branchenspezifische Besonderheiten. Als Beispiel ist der Gesundheitsbereich zu nennen. Organisationen, die mit Gesundheitsdaten agieren, benötigen ein kleinteiligeres IT-SiKo. Ihre Datenübertragungen müssen immer mit einer Ende-zu-Ende-Verschlüsselung durchgeführt werden. Und die Übermittlung von Befunden muss „versiegelt“ erfolgen.

Ganz anders in der Handwerksbranche. Dort muss das Augenmerk auf dem Austausch sensibler Daten über öffentliche Drahtlosnetzwerke und dem nicht berechtigten Zugriff auf Kundendaten liegen. Auch die Frage nach einem sicheren Online-Banking steht im Vordergrund.

Wer ist für das IT-Sicherheitskonzept im Unternehmen verantwortlich?

Die Unternehmensführung zeichnet verantwortlich für das Information Security Management System (ISMS). Die Sicherheitsrichtlinien werden also vom Unternehmensmanagement zusammengestellt. Alle Mitarbeitenden und Unternehmensbereiche müssen die Sicherheitsrichtlinien verstehen, beachten und einhalten. Die dafür notwendige Ausarbeitung der Details im IT-Sicherheitskonzept kann von der IT-Leitung, den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten vorgenommen werden.

Wer erstellt und betreut das IT-Sicherheitskonzept im Unternehmen?

Um gute IT-Sicherheitskonzepte für unterschiedliche Unternehmensbereiche zu entwickeln, ist ein grundsätzliches Verständnis für die Vorgänge im Unternehmen die Basis. Außerdem ist ein breites Fachwissen im IT-Bereich unabdingbar. Die Erstellung eines IT-Sicherheitskonzepts ist ein komplexer Vorgang, der erlernt werden muss. Es ist daher sinnvoll, dass diejenigen im Unternehmen, die Expertise in relevanten Vorgängen besitzen, diese auch in die Erstellung des IT-Sicherheitskonzepts einbringen.

Welche zusätzliche externe Unterstützung für ein IT-Sicherheitskonzept ist möglich?

Eine externe Datenschutzfirma mit ausgebildeten Spezialisten berät die Unternehmen voll umfänglich. Weil IT-Sicherheitskonzepte nach der Implementierung stets weiterverfolgt und angepasst werden müssen, ist eine Beratung, Unterstützung bei der Ausarbeitung und weitere Betreuung durch spezialisierte, externe Datenschutzfirmen mit dem geeigneten Fachwissen auf jeden Fall hilfreich. Sie sind ein starker Partner für die IT-Sicherheit, das Datenschutzmanagement und nicht zuletzt für das mit einzubeziehende Compliancemanagement.

Fazit

Aller Anfang ist schwer – trotzdem sollte sich jedes Unternehmen seiner Schwachstellen bewusst sein und auch darüber, ob und wie die daraus resultierenden Risiken minimiert werden müssen. Durch die zunehmende Komplexität, die immer vielschichtigeren IT-Landschaften geschuldet ist, sollte sich spätestens jetzt jeder Gedanken darüber machen, wie sich die Informationen, die im Unternehmen verarbeitet werden, schützen lassen. Das Wissen, das vermutlich in den einzelnen Köpfen in jedem Unternehmen vorherrscht, sollte hier gebündelt und zu einem unternehmensweiten, transparenten und leicht verständlichen IT-Sicherheitskonzept ausgearbeitet werden. Als Unterstützung dienen gängige Standards und Zertifizierungen, aber auch qualifizierte externe Dienstleister, die hier mit Rat und Tat zur Seite stehen.

Über den Autor

Robert Mäckle

Schon bevor er Senior Datenschutzbeauftragter bei DataGuard wurde, spielte Datenschutz eine wichtige Rolle in der Karriere von Robert Mäckle: ob während seiner Zeit als Senior Berater bei einem Big Four-Unternehmen oder während seiner Tätigkeit im Bereich IT-Sicherheit und Prozessoptimierung. Heute betreut der Wirtschaftsinformatiker Kunden aus dem Tech-Bereich, darunter KMU, Startups sowie internationale Konzerne. Am Datenschutz reizt ihn vor allem die Herausforderung, digitale Geschäftsmodelle im Einklang mit datenschutzrechtlichen Vorgaben und IT-Security-Standards aufzusetzen. Was ihn bewogen hat, sich im Datenschutz zu engagieren? „Daten sind das Öl des 21. Jahrhunderts. Sie sollten jedoch auf eine Weise gewonnen werden, die sozialen und sicherheitstechnischen Standards genügt. Dazu möchte ich meinen Teil beitragen.“

Weitere Beiträge von Robert Mäckle

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service