Das IT-Sicherheitskonzept: Wer braucht es und was umfasst es?

Ransomware-Attacken und andere Cyberangriffe, Ausfall von Hardware, Verstöße gegen die DSGVO: Für Unternehmen ist es essenziell, dass sie ihre IT-Infrastruktur sicher betreiben sowie Daten geschützt verarbeiten und speichern. Ein IT-Sicherheitskonzept hilft nicht nur dabei – jede Firma sollte eines implementieren.

Sensible Informationen über Kunden, Mitarbeiter oder Transaktionen, Reports von Lieferanten, Dokumente über Prototypen aus der Entwicklung: Unternehmen sammeln und sichern viele vertrauliche Daten, die keinesfalls in falsche Hände geraten sollen.

Allerdings kann das auf verschiedene Arten trotzdem passieren – etwa durch Datenlecks und Phishing- oder Ransomware-Attacken. Obendrein können nicht berechtigte Mitarbeiter Daten ansehen, oder es können Informationen verändert und versehentlich gelöscht werden. Zudem kann es zu Ausfällen kommen, weil Hardware versagt. Solche Vorfälle gefährden im schlimmsten Fall den reibungslosen Geschäftsbetrieb einer Firma. Sie kann beispielsweise wegen Verzögerungen Produkte nicht ausliefern oder muss empfindliche Strafen zahlen, weil sie gegen Vorgaben der Datenschutzgrundverordnung (DSGVO) verstoßen hat.

Unternehmen müssen also ihre Systeme und ihre Daten unbedingt absichern. Idealerweise geschieht dies auf Basis eines IT-Sicherheitskonzepts.

Definition: Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept legt fest, mit welchen technischen und organisatorischen Mitteln Informationen in einem Unternehmen geschützt werden sollen. Darin wird schriftlich festgehalten, wie und an welchen Stellen der Schutz der Informationstechnologie umgesetzt wird. Es definiert Grundlagen, mit denen mögliche Risiken, Sicherheitslücken und Gefahren bewertet werden. Werden diese rechtzeitig erkannt, können Firmen sich auf den Ernstfall vorbereiten, so wie Datenpannen, Systemausfälle oder Hackerangriffe.

Ein IT-Sicherheitskonzept enthält Richtlinien, die in der Unternehmenskultur verankert werden müssen. An diese Vorgaben müssen sich anschließend alle Mitarbeiter halten. Dazu gehört aber auch, dass diese mit regelmäßigen Schulungen zur IT-Sicherheit weitergebildet werden.

Welche Ziele verfolgt ein IT-Sicherheitskonzept?

Mit einem IT-Sicherheitskonzept soll grundsätzlich sichergestellt werden, dass der Betrieb eines Unternehmens jederzeit reibungslos funktioniert. Das umfasst verschiedene Komponenten: Einerseits geht es um die Datensicherheit. Informationen dürfen nicht in falsche Hände geraten oder manipuliert werden. Andererseits muss garantiert sein, dass der operative Betrieb stabil ist und Downtimes vermieden werden, etwa in Industrieunternehmen.

Das Konzept definiert bestimmte Risiken für die IT-Sicherheit. Gewährleistet werden sollen damit die allgemeinen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität in der Informationstechnologie:

• Vertraulichkeit: Daten können nur von autorisierten Personen eingesehen, bearbeitet und verwaltet werden. Das schützt den Zugang zu Informationen im Unternehmen. Dafür muss festgelegt werden, wer Zugriff auf bestimmte Daten haben darf – und wie. Obendrein müssen Daten bei Speicherung und Übertragung verschlüsselt werden.
• Integrität: Die unerkannte Veränderung von Daten darf nicht möglich sein. Wenn Informationen gelöscht, verändert oder anderweitig manipuliert werden, muss das nachvollziehbar sein.
• Verfügbarkeit: IT-Systeme und alle Bestandteile müssen jederzeit verfügbar und für autorisierte Personen zugänglich sein. Nach einem Systemausfall der Hardware oder Angriffen können etwa Abläufe gestört und der Datenzugriff nicht möglich sein. Unternehmen müssen sich davor schützen, etwa mit Backups. Obendrein müssen sie einen Überblick haben, welche Systeme und Daten überhaupt notwendig sind, damit ein reibungsloser Ablauf garantiert werden kann.

Welche Unternehmen benötigen ein IT-Sicherheitskonzept?

Eine allgemeine rechtliche Verpflichtung für ein IT-Sicherheitskonzept gibt es nicht. Eine Ausnahme gilt für die Betreiber kritischer Infrastrukturen (KRITIS), wie zum Beispiel Unternehmen aus den Bereichen Telekommunikation, Energieversorgung, Gesundheitswesen sowie Banken und Versicherungen.

Warum alle Unternehmen ein IT-Sicherheitskonzept einführen sollten

Die Einführung eines IT-Sicherheitskonzepts ist für alle Unternehmen sinnvoll – egal welcher Größe oder Branche. Jede Firma profitiert, weil sie damit die IT-Sicherheit erhöht.

Ein wesentliches Merkmal des Sicherheitskonzepts ist eine ganzheitliche Betrachtungsweise in strukturierter Form. Berücksichtigt wird die gesamte IT-Umgebung im Betrieb, nicht nur einzelne Bereiche. Unternehmen wissen, an welchen Stellschrauben sie noch arbeiten müssen und wo Schwachstellen bestehen. Mithilfe des Konzepts behalten sie den Überblick über Assets, Risiken und vorbeugende Maßnahmen und gehen strukturiert vor, wenn es zu einem Problem kommt. Ein gut umgesetztes Sicherheitskonzept erhöht zudem bei Kunden das Vertrauen und bietet dadurch Wettbewerbsvorteile.

Weiterhin dient ein Sicherheitskonzept als relevanter Baustein, um Anforderungen der DSGVO zu erfüllen. Diese schreibt zwar die Einführung nicht vor. Artikel 32 fordert aber die Implementierung und den Betrieb technischer und organisatorischer Maßnahmen, um ein “dem Risiko angemessenes Schutzniveau [zu] gewährleisten”. Ein IT-Sicherheitskonzept kann das leisten.

IT-Sicherheitskonzept erstellen: Bestandteile, Aufbau und Struktur

Die einzelnen Bestandteile eines IT-Sicherheitskonzepts erfassen Unternehmen in verschiedenen Schritten. Die Inhalte sind individuell auf ein Unternehmen und dessen Bedürfnisse zugeschnitten. Je nach Branche können andere Aspekte im Vordergrund stehen – abhängig davon, mit welchen Assets und wie sie arbeiten.

In jedem Fall erfolgt die Erstellung der Struktur bzw. der Aufbau in verschiedenen Einzelschritten:

1. Bestandsanalyse: Das Unternehmen ermittelt zu Beginn den Schutzbedarf und steckt so den Geltungsbereich des IT-Sicherheitskonzepts ab. Dabei spricht man auch vom Informationsverbund. Welche Assets sind überhaupt vorhanden? Welche müssen besonders geschützt werden? Assets können unter anderem Mitarbeiter, Dokumente, Software, Hardware-Komponenten oder Daten sein.
2. IT-Strukturanalyse: Anschließend erfasst das Unternehmen auf strukturierte Weise alle Assets im Geltungsbereich, die berücksichtigt werden müssen. Das kann entweder die ganze Organisation betreffen oder nur Teilbereiche. Abgebildet werden sollte dann aber der komplette Geschäftsprozess.
3. Schutzbedarfserstellung: Es wird ermittelt, wie hoch der Schutzbedarf einzelner Komponenten tatsächlich ist. Diese werden anhand des möglichen Schadens in die drei Schutzstufen “normal”, “hoch” und “sehr hoch” eingeordnet. Sensible personenbezogene Daten haben beispielsweise eine höhere Schutzstufe als Adressen von Unternehmen.
4. Modellierung der Sicherheitsanforderungen: Die bisherigen Schritte werden grafisch veranschaulicht. Auch Schnittstellen werden eingetragen.
5. Basis-Sicherheitscheck: Es wird festgestellt, welche Sicherheitsmaßnahmen das Unternehmen bereits umgesetzt hat. Das wird mit dem nun festgestellten Geltungsbereich und Schutzbedarf abgeglichen.
6. Ergänzende Sicherheits- und Risikoanalyse: Sind wirklich alle Risiken abgedeckt? Gibt es Komponenten, die einen besonders hohen Schutzbedarf haben? Das kann zum Beispiel mit Penetrationstest herausgefunden werden.
7. Konsolidierung des Sicherheitskonzepts: Alle Sicherheitsmaßnahmen kommen auf den Prüfstand. Sie werden sowohl einzeln als auch im Zusammenspiel analysiert und gegebenenfalls angepasst oder ersetzt. Entsprechend kann es notwendig sein, Sicherheitscheck und -analyse zu wiederholen.

Das IT-Sicherheitskonzept implementieren

Mit den gezeigten Schritten können Unternehmen ein IT-Sicherheitskonzept erarbeiten, das an ihren Bedarf angepasst ist. Die Maßnahmen können allerdings nur wirken, wenn sie implementiert werden. Koordinieren kann dies der IT-Sicherheitsbeauftragte oder ein anderer Verantwortlicher. Der Anstoß muss von der Unternehmensleitung kommen, die für die Umsetzung verantwortlich ist.

Es muss sichergestellt werden, dass alle Mitarbeiter und alle Unternehmensbereiche die IT-Sicherheits-Richtlinien verstehen, beachten und umsetzen. Dazu sind Schulungen notwendig. Zudem muss die Kommunikation definiert werden: Wie und auf welchen Kanälen erfolgen Handlungsanweisungen?

Das IT-Sicherheitskonzept ist aber niemals in Stein gemeißelt. Nicht nur können sich Geschäfts- und IT-Prozesse ändern. Es kann auch neue Software eingeführt werden oder das Unternehmen verarbeitet zusätzliche sensible Daten. Dann müssen Assets und Schutzniveaus entsprechend angepasst werden. Idealerweise überprüfen Firmen den Ist-Zustand mithilfe regelmäßiger Audits, um das IT-Sicherheitskonzept jederzeit auf dem aktuellen Stand zu halten.

Sie wollen ein IT-Sicherheitskonzept als Wettbewerbsvorteil für Ihr Unternehmen entwickeln oder haben noch Fragen zu unseren Produkten?

Dann wenden Sie sich für eine umfassende Beratung an einen unserer Experten. Wir freuen uns auf Sie.

JETZT TERMIN BUCHEN & EXPERTEN FRAGEN