Daten von Unternehmen sind zahlreichen Risiken wie Cyberangriffen, Systemausfällen oder Datenverlust ausgesetzt. Informationssicherheit hilft, diese Risiken zu minimieren. Ein begleitendes IT-Sicherheitskonzept leistet Unterstützung, um ein hohes Niveau der Informationssicherheit gemäß Best Practices zu erreichen.

Aufgaben und Ziele eines IT-Sicherheitskonzepts

Zentrales Augenmerk beim Schutz von Daten sollte der IT-Infrastruktur gelten, weil die meisten Angriffe aus der Ferne erfolgen. Ein IT-Sicherheitskonzept dient dem Schutz der IT-Systeme und Daten. Das Konzept soll sicherstellen, dass potenzielle Gefahren erkannt und minimiert werden.

Es klassifiziert die Daten und definiert geeignete Maßnahmen zum Schutz der Daten. Richtlinien werden erstellt und im Unternehmen verankert, um insbesondere die drei großen Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) zu gewährleisten.

Wesentliches Merkmal eines IT-Sicherheitskonzepts ist dessen ganzheitliche Betrachtungsweise. Der Fokus ist nicht auf einzelne Bereiche (z.B. bestimmte Softwarelösungen) gerichtet, stattdessen erfolgt eine Berücksichtigung der gesamten IT des Unternehmens.

Anwendungsbereich

Häufig wird ein IT-Sicherheitskonzept für das gesamte Unternehmen entwickelt. Es ist jedoch möglich, den Geltungsbereich (Scope) einzuschränken das Konzept nur für Teilbereiche (z.B. Abteilungen, Geschäftssparten oder Standorte) zu entwickeln und dort zu implementieren.

Im Konzernumfeld ist es nicht ungewöhnlich, dass für einzelne Tochterunternehmen individuelle IT-Sicherheitskonzepte erarbeitet und umgesetzt werden.

Aufbau / Struktur eines IT-Sicherheitskonzepts

Die Struktur eines IT-Sicherheitskonzepts hängt davon ab, welche Norm / welcher Ansatz dem Konzept zugrunde liegt. Die nachfolgend dargestellten Phasen orientieren sich am BSI IT-Grundschutz, der oft mit ISO 27001 kombiniert wird.

  1. Bestandsanalyse: Ziel der Analyse ist es, den Schutzbedarf zu ermitteln und so den Geltungsbereich des IT-Sicherheitskonzepts abzustecken. Zu diesem Zweck erfolgt die Definition des Informationsverbundes, der nicht nur die infrastrukturellen Komponenten (z.B. Anwendungen, Hardware, Software etc.), sondern auch organisatorische und personelle Komponenten berücksichtigt.
  2. IT-Strukturanalyse: Nachdem der Informationsverbund definiert ist, wird er im Detail (Anwendungen, Geschäftsprozesse, IT-Systeme, Kommunikationsverbindungen, Räumlichkeiten, Sicherheitsinfrastruktur) erfasst.
  3. Schutzbedarfsermittlung: In dieser Phase wird erarbeitet, welchen Schutzbedarf die betroffenen Informationen und Geschäftsprozesse gemäß Schutzbedarfsfeststellung haben. Dies geschieht mit Unterstützung der Schutzbedarfskategorien. Der mögliche Schaden wird ermittelt (hinsichtlich einer Verletzung der Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit) und einer von drei Kategorien (normal, hoch, sehr hoch) zugeordnet.
  4. Modellierung: Es erfolgt eine Modellierung / Abbildung des Schutzverbunds anhand von fünf Schichten: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. Anhand der Modellierung wird geprüft, welche Grundschutz-Bausteine für die einzelnen Schichten relevant sind. Diese enthalten empfohlene Sicherheitsmaßnahmen.
  5. Basis-Sicherheitscheck: Häufig hat ein Unternehmen zumindest einen Teil der abgeleiteten Sicherheitsmaßnahmen bereits umgesetzt. Beim Basis-Sicherheitscheck geht es darum, den Umsetzungsstatus abzugleichen. Es wird ermittelt, ob Maßnahmen bereits umgesetzt wurden oder ob noch Lücken bestehen. Bei umgesetzten Maßnahmen wird ergänzend ermittelt, ob die Umsetzung vollständig oder lückenhaft erfolgt ist.
  6. Ergänzende Sicherheitsanalyse: Es kann vorkommen, dass in den Schichten der Modellierung nicht alle Komponenten des Informationsverbunds enthalten sind. Zu diesem Zweck wird die ergänzende Sicherheitsanalyse durchgeführt. Ebenso schließt sie Komponenten ein, für die ein hoher Schutzbedarf besteht. In diesem Rahmen können Risikoanalysen oder Penetrationstests notwendig sein.
  7. Konsolidierung des Sicherheitskonzepts: Alle abgeleiteten Sicherheitsmaßnahmen kommen auf den Prüfstand und werden sowohl einzeln als auch im Zusammenspiel im Rahmen einer Wirksamkeitsbewertung betrachtet. Hierbei ist es möglich, dass einzelne Maßnahmen ersetzt werden. Diese Form der Konsolidierung soll sicherstellen, dass am Ende nur Sicherheitsmaßnahmen übrig bleiben, die einen angemessenen Schutz versprechen, sich nicht gegenseitig beeinträchtigen und für das Unternehmen gut umsetzbar sind.
  8. Abschließender Sicherheitscheck: Nach der Konsolidierung erfolgt ein abschließender Sicherheitscheck, um zu prüfen, ob alle Sicherheitsmaßnahmen wirksam umgesetzt wurden und ob der gewünschte Schutz erreicht wird. In der Praxis spricht man auch von einer Wirksamkeitsprüfung.

Umsetzung und Aktualisierung

Das erarbeitete Sicherheitskonzept ist auf die Bedürfnisse des Unternehmens zugeschnitten und gewährleistet anhand der Sicherheitsmaßnahmen die notwendige Informationssicherheit. Allerdings können die Maßnahmen in der Praxis nur wirken, wenn sie vollständig umgesetzt werden. Entscheidend ist daher eine fachgerechte Implementierung mitsamt nachfolgenden Kontrollen.

Zu bedenken ist außerdem, dass sich Geschäfts- und IT-Prozesse ändern können. Solche Änderungen, wie z.B. die Einführung neuer Software, sind zu berücksichtigen, was Anpassungen im Konzept notwendig machen kann. Regelmäßige Audits helfen dabei, diesen Punkt nicht aus den Augen zu verlieren. Ein wirksames Sicherheitskonzept ist kein einmaliges Dokument, sondern Teil eines kontinuierlichen Verbesserungsprozesses, z.B. basierend auf dem PDCA-Zyklus.

Unternehmen profitieren besonders, wenn sie das IT-Sicherheitskonzept nicht isoliert betrachten, sondern mit Datenschutz, Business Continuity Management (BCM) und Risikoanalysen verzahnen. So werden Synergien genutzt, die Kosten gesenkt und die Wirksamkeit der Sicherheitsmaßnahmen erhöht.

Darüber hinaus sollte ein IT-Sicherheitskonzept klare Verantwortlichkeiten definieren, z.B. durch die Benennung eines Informationssicherheitsbeauftragten (ISB), um eine kontinuierliche Überwachung und Steuerung sicherzustellen.

Normen und Zertifizierung

Ein gut dokumentiertes IT-Sicherheitskonzept ist zudem ein wichtiger Bestandteil für Compliance-Nachweise gegenüber Aufsichtsbehörden oder Geschäftspartnern. Es gibt verschiedene Normen (u.a. die bereits erwähnte ISO 27001) und Zertifizierungen (z.B. nach BSI). Ein IT-Sicherheitskonzept ist häufig auch Voraussetzung, um externe Anforderungen wie Kundenvorgaben, Zertifizierungen oder Audits erfolgreich zu erfüllen. Ohne ein strukturiertes Konzept können diese Nachweise oft nicht erbracht werden, wodurch Wettbewerbsnachteile drohen.

Welche Lösung sich diesbezüglich empfiehlt, ist für jedes Unternehmen individuell zu ermitteln. Tätigkeitsfeld, Kunden und Kosten sind die häufigsten Einflussgrößen, die im Rahmen der Entscheidung berücksichtigt werden.

Fazit

Wer ein IT-Sicherheitskonzept einführt, verbessert nicht nur den Schutz seiner Daten, sondern steigert auch die Wettbewerbsfähigkeit und schafft Vertrauen bei Kunden und Partnern. Nutzen Sie unsere kostenfreie Erstberatung um mehr darüber zu erfahren, wie wir Sie unterstützen können.

Fragen & Antworten zum Thema

Wie unterscheiden sich ISMS und IT-Sicherheitskonzept voneinander?

Es ist nicht so, dass sich Unternehmen entweder für ein ISMS oder ein IT-Sicherheitskonzept entscheiden müssen. Vielmehr handelt es sich um zwei Konzepte, die ineinandergreifen und sich gegenseitig optimal ergänzen. Hierbei ist das ISMS als übergeordnetes Management-Rahmenwerk mit strategischer Ausrichtung zu erachten. Das IT-Sicherheitskonzept hat einen operativen Fokus, indem es u.a. der Ableitung konkreter Sicherheitsmaßnahmen dient.

Wer entwickelt das IT-Sicherheitskonzepts?

Das eigentliche Herangehen wird vom IT-Sicherheitsbeauftragten koordiniert. Die Verantwortung liegt letztlich bei der Geschäftsführung, der IT-Sicherheitsbeauftragte koordiniert die fachliche Entwicklung. Unterstützung kommt von den Verantwortlichen der Fachabteilungen sowie Administratoren. Doch aufgepasst, Voraussetzung für die Entwicklung eines IT-Sicherheitskonzepts ist umfassendes Know-how, das sich niemand in Kürze aneignen kann. Gefragt sind Spezialisten, die z.B. eigens im Unternehmen eingestellt werden. Allerdings sind solche Experten für Informationssicherheit oft schwer zu finden und haben hohe Gehaltsvorstellungen, weshalb sie eher in Großunternehmen anzutreffen sind. Im KMU-Umfeld wird gerne auf externe Berater zurückgegriffen, auch weil diese Lösung auf mittlere und lange Sicht meist erheblich preiswerter ist.
Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen