Datenpannen, Systemausfälle, Hackerangriffe und Viren – die Bedrohungen, denen die IT-Infrastruktur moderner Unternehmen ausgesetzt ist, sind vielfältig. Ein IT-Sicherheitskonzept sorgt für systematischen Schutz. Hier erfahren Sie, welche Anforderungen ein solches Konzept erfüllen muss und welche Muster und Vorlagen es gibt.
In diesem Beitrag
- Warum brauchen Unternehmen ein IT-Sicherheitskonzept?
- Was ist das Ziel des IT-Sicherheitskonzepts?
- Welche gesetzlichen Anforderungen werden an ein IT-Sicherheitskonzept gestellt?
- 7 Schritte bei der Erstellung des IT-Sicherheitskonzepts
- Wer ist für das IT-Sicherheitskonzept im Unternehmen verantwortlich?
- Informationssicherheit 1x1 - ein praktischer Guide zum kostenlosen Download
Ein IT-Sicherheitskonzept (IT-SiKo) ist zentraler Bestandteil des IT-Sicherheitsmanagements eines Unternehmens. Im IT-SiKo werden Schutzziele festgelegt, mit deren Hilfe Risiken identifiziert und bewertet werden können. Auf dieser Grundlage werden Maßnahmen zum Umgang mit Kunden- und Unternehmensdaten definiert.
Mit technischen und organisatorischen Maßnahmen werden Datenpannen, Systemausfällen, Hackerangriffen und Virenbefall vorgebeugt. Außerdem werden im IT-SiKo auch Mechanismen zur Zugriffskontrolle und Technologien für die Verschlüsselungen beschrieben und die regelmäßigen Schulungen zur Sensibilisierung der Mitarbeiter festgelegt.
Warum brauchen Unternehmen ein IT-Sicherheitskonzept?
Konstruktions- und Herstellungsverfahren, technisches Know-how oder Kunden- und Preisinformationen sind wertvoll für ein Unternehmen und müssen vor Datenverlust, -missbrauch oder -diebstahl bewahrt werden. Mit der Implementierung eines Informationssicherheit-Managementsystems (ISMS) (engl. Information Security Management Systems) stellen Unternehmen und Organisationen die Informationssicherheit her und gewährleisten die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität.
Mehr über die Implementierung eines Informationssicherheit-Managementsystems erfahren.
Die Daten werden dementsprechend geschützt, sodass nur autorisierte Nutzer Zugriff haben und weder ein unbefugter noch ein unkontrollierbarer Zugang möglich ist. Das ISMS kontrolliert, steuert und optimiert die Informationssicherheit und identifiziert so die durch die IT-verursachten Risiken. Diese strukturierte Vorgehensweise wird in einem schriftlich definierten Sicherheitskonzept festgehalten, das klare Standards zur Umsetzung des ISMS definiert.
So geht Informationssicherheit!
Ist das Thema Informationssicherheit neu für Sie? Dann ist dieser Guide genau das Richtige für den Anfang! Alles was Sie wissen müssen kompakt zusammengefasst!
Jetzt kostenlos herunterladenWas ist das Ziel des IT-Sicherheitskonzepts?
Das IT-Sicherheitskonzept dokumentiert die Richtlinien für den Umgang mit dem Thema Informationssicherheit im Unternehmen. An das Reglement, das auch das Datenschutzkonzept enthält, müssen sich alle Mitarbeitenden halten. Vor der Inbetriebnahme eines jeden neuen Systems oder einer neuen Vorgehensweise im Unternehmen werden die zu verarbeitenden Daten klassifiziert und die dann erforderlichen Maßnahmen beschrieben. Wichtige Eckdaten sind:
- Geltungsbereich: Welche Informationsprozesse werden berücksichtigt?
- Risiken: Welche Gefahren für das Unternehmen können identifiziert werden?
- Schutzbedarf: Welche Assets sind zu schützen? Assets können neben Daten und Hardware-Komponenten auch die Mitarbeitenden selbst sein.
- Schutzniveau: Wie abhängig ist das Unternehmen von bestimmten Daten?
Das Ziel des IT-SiKo liegt neben dem Schutz der verarbeiteten Informationen und Daten auch darin, die implementierten technischen und organisatorischen Maßnahmen für alle Personen im Unternehmen nachvollziehbar zu machen.
Wie funktioniert ein Datenschutzkonzept?
Das im IT-SiKo integrierte Datenschutzkonzept zielt darauf ab, die Rechte der betroffenen Personen zu schützen. Es definiert
- die Vorgaben zur Verarbeitung, also das Erheben oder Erfassen, die Speicherung, die Übermittlung, oder das Löschen personenbezogener Daten und
- die Maßnahmen zur Verhinderung des Missbrauchs personenbezogener Daten.
Erst durch diese detaillierte Betrachtung ist es möglich, die passenden Maßnahmen wie Firewalls, Anti-Viren-Lösungen, Passwortmanager, Berechtigungskonzepte, Verschlüsselungen und dokumentierte Back-up-Verfahren einzuführen.
Welche gesetzlichen Anforderungen werden an ein IT-Sicherheitskonzept gestellt?
Es gibt keine gesetzlich festgelegten Anforderungen für die Erstellung eines IT-Sicherheitskonzeptes, wohl aber Standards und Normen, die individuell erweitert werden können. Unternehmen können ihr Informationssicherheits-Managementsystem (ISMS) zum Beispiel nach der internationalen Norm DIN ISO/IEC 27001 zertifizieren lassen, um einen allgemein anerkannten Informationsschutz zu dokumentieren.
Welche gesetzlichen Anforderungen an ein IT-Sicherheitskonzept ergeben sich aus der DSGVO?
Auch die in der EU gültige DSGVO (Datenschutz-Grundverordnung) zum Schutz personenbezogener Daten fordert kein IT-Sicherheitskonzept. Artikel 30 verlangt allerdings ein „Verzeichnis aller Verarbeitungstätigkeiten“ und „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in Schriftform. Des Weiteren lassen sich aus Artikel 32 Verpflichtungen zur Implementierung und Betrieb risikoorientierter technischer und organisatorischer Maßnahmen ableiten. Diese Maßnahmen müssen gemäß DSGVO ein „dem Risiko angemessenes Schutzniveau gewährleisten“. Ein durchdachtes IT-SiKo kommt dieser Forderung nach.
Wo werden weitere Anforderungen an ein IT-Sicherheitskonzept aufgeführt?
Noch weiter gehen die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Im BSI-Standard BSI 200 werden Vorschläge zur Konzeptionierung eines ISMS, zu Absicherungsmethoden und zum Risikomanagement in der Informationssicherheit gemacht. Damit wird praktisch ein Grundgerüst für ein IT-SiKo geliefert. Unternehmen können sich vom BSI zertifizieren lassen, um das BSI-Grundschutz-Zertifikat zu erhalten.
Was versteht man unter dem IT-Sicherheitsgesetz?
Das 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) gilt für Unternehmen, die in Bereichen der kritischen Infrastruktur tätig sind (Transport, Verkehr, Energie, Gefahrstoffe, Telekommunikation, Finanz-, Geld-, Versicherungswesen). Diese müssen ihre Risiken für die Informationssicherheit nach dem BSI-Gesetz (§8A BSIG) minimieren und nachweisen, dass ihre IT-Sicherheit gewährleistet ist. Die Standards gelten auch für die Bundesverwaltung.
Mittlerweile gibt es übrigens das IT-Sicherheitsgesetz 2.0, welches das BSI speziell in der Cyber-Sicherheit stärkt.
7 Schritte bei der Erstellung des IT-Sicherheitskonzepts
Es empfiehlt sich die Erstellung eines IT-Sicherheitskonzepts nach dem PDCA-Zyklus aufzusetzen. PDCA steht für Plan-Do-Check-Act und ist vor allem im Bereich der IT- und Informationssicherheit ein etablierter Prozess.
Was Sie bei der Umsetzung dieses Ansatzes zu beachten haben und welche To Do's Sie dort haben erfahren Sie in diesem Artikel: IT-Sicherheitskonzept in 4 Schritten.
Grundsätzlich bilden die folgenden 7 Schritte aber den Grundstein für die Erstellung Ihres IT-Sicherheitskonzepts. Diese lassen sich auch in der Planungs- und Konzeptionsphase (Plan) wiederfinden:
- Durch die Festlegung des Geltungsbereichs wird bestimmt, für welchen Bereich des Unternehmens oder der Organisation – also für welchen Informationsverbund – ein IT-SiKo erstellt wird.
- Bei der Strukturanalyse werden alle Informationen, Prozesse und unterstützenden technischen Systeme zusammengestellt, die im festgelegten Informationsverbund die Basis für das IT-SiKo bilden.
- Für die Feststellung des Schutzbedarfs wird ermittelt, welcher Schutz im genannten Geltungsbereich für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik gebraucht wird.
- In der Modellierungsphase werden die Ergebnisse aus der Strukturanalyse mit dem Schutzbedarf zusammengeführt und die daraus notwendigen Sicherheitsmaßnahmen auch an den entstandenen Schnittstellen beschlossen.
- Mit dem Basis-Sicherheitscheck entsteht ein Überblick über das bereits vorhandene Sicherheitsniveau. Es findet eine Bewertung des bestehenden Informationsverbundes statt.
- Die ergänzende Sicherheitsanalyse ermittelt die noch nicht vollständig abgedeckten Risiken.
- Die Risikoanalyse hilft schließlich, die vorhandenen Risiken auf ein akzeptables Maß und damit ein für das Unternehmen erträgliches Restrisiko zu reduzieren.
Welche branchenspezifischen Aspekte müssen im IT-Sicherheitskonzept beachtet werden?
Beim Aufbau von IT-Sicherheitskonzepten gibt es immer branchenspezifische Besonderheiten. Als Beispiel ist der Gesundheitsbereich zu nennen. Organisationen, die mit Gesundheitsdaten agieren, benötigen aufgrund der Datensensibilität ein kleinteiligeres IT-SiKo. Ihre Datenübertragungen müssen immer mit einer Ende-zu-Ende-Verschlüsselung durchgeführt werden. Und die Übermittlung von Befunden muss „versiegelt“ erfolgen.
Ganz anders in der Handwerksbranche. Dort muss das Augenmerk auf dem Austausch sensibler Daten über öffentliche Drahtlosnetzwerke und dem nicht berechtigten Zugriff auf Kundendaten liegen. Auch die Frage nach einem sicheren Online-Banking steht im Vordergrund.
Wer ist für das IT-Sicherheitskonzept im Unternehmen verantwortlich?
Die Unternehmensführung zeichnet verantwortlich für das Information Security Management System (ISMS). Die Sicherheitsrichtlinien werden also vom Unternehmensmanagement zusammengestellt. Alle Mitarbeitenden und Unternehmensbereiche müssen die Sicherheitsrichtlinien verstehen, beachten und einhalten. Die dafür notwendige Ausarbeitung der Details im IT-Sicherheitskonzept kann von der IT-Leitung, den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten vorgenommen werden.
In manchen fällen macht auch die Benennung eines IT-Sicherheitsbeauftragten Sinn. Erfahren Sie hier alles zur Rolle und den typischen Aufgaben im Unternehmen.
Wer erstellt und betreut das IT-Sicherheitskonzept im Unternehmen?
Um gute IT-Sicherheitskonzepte für unterschiedliche Unternehmensbereiche zu entwickeln, ist ein grundsätzliches Verständnis für die Vorgänge im Unternehmen die Basis. Außerdem ist ein breites Fachwissen im IT-Bereich unabdingbar. Die Erstellung eines IT-Sicherheitskonzepts ist ein komplexer Vorgang, der erlernt werden muss. Es ist daher sinnvoll, dass diejenigen im Unternehmen, die Expertise in relevanten Vorgängen besitzen, diese auch in die Erstellung des IT-Sicherheitskonzepts einbringen.
Welche zusätzliche externe Unterstützung für ein IT-Sicherheitskonzept ist möglich?
Eine externe Datenschutzfirma mit ausgebildeten Spezialisten berät die Unternehmen voll umfänglich. Aber auch Informationssicherheits-Berater können hier im Rahmen des Aufbaus eines ISMS unterstützend beraten.
Da IT-Sicherheitskonzepte nach der Implementierung stets weiterverfolgt und angepasst werden müssen, ist eine Beratung, Unterstützung bei der Ausarbeitung und weitere Betreuung durch spezialisierte, externe Datenschutzfirmen mit dem geeigneten Fachwissen auf jeden Fall hilfreich. Sie sind ein starker Partner für die IT-Sicherheit, das Datenschutzmanagement und nicht zuletzt für das mit einzubeziehende Compliancemanagement.
Bei DataGuard bringen wir übrigens beides unter einen Hut. In unserem Angebot finden Sie sowohl Beratung und Unterstützung beim Thema Informationssicherheit, als auch beim Thema Datenschutz. Beide Lösungen vereinen die Vorteile des hybriden Ansatzes aus persönlicher und individueller Beratung und dem plattformbasierten Monitoring der notwendigen Dokumentationen sowie Empfehlungen für erforderliche Maßnahmen.
Sprechen Sie uns für weitere Informationen an.
Das sollten Sie mitnehmen
Aller Anfang ist schwer – trotzdem sollte sich jedes Unternehmen seiner Schwachstellen bewusst sein und auch darüber, ob und wie die daraus resultierenden Risiken minimiert werden müssen.
Durch die zunehmende Komplexität, die immer vielschichtigeren IT-Landschaften geschuldet ist, sollte sich spätestens jetzt jeder Gedanken darüber machen, wie sich die Informationen, die im Unternehmen verarbeitet werden, schützen lassen. Das Wissen, das vermutlich in den einzelnen Köpfen in jedem Unternehmen vorherrscht, sollte hier gebündelt und zu einem unternehmensweiten, transparenten und leicht verständlichen IT-Sicherheitskonzept ausgearbeitet werden.
Als Unterstützung dienen gängige Standards und Zertifizierungen, aber auch qualifizierte externe Dienstleister wie DataGuard, die hier mit Rat und Tat zur Seite stehen.