So gelingt das umfassende Sicherheitskonzept
IT-Sicherheit im Unternehmen: Beachte diese 7 Schritte
Inhaltsverzeichnis
- Was ist das, ein IT-Sicherheitskonzept?
- Warum sollten Gründer sich um ein IT-SiKo kümmern?
- Die Ziele des IT-SiKos
- Offizielle Anforderungen an ein IT-SiKo
- Die 7 Schritte zum eigenen IT-Sicherheitskonzept
Gesamtes Inhaltsverzeichnis anzeigen
Kriminellen macht man es durch mangelnde IT-Sicherheit leicht: Einmal erkannt, dass Sicherheitslücken bestehen, geht es schnell, dass Datendiebstahl und -missbrauch stattfinden oder Industriespionage betrieben wird.
Mit einem ausgearbeiteten und konsequent durchgeführten IT-Sicherheitskonzept (IT-SiKo) lässt sich genau das verhindern. Darin werden Richtlinien schriftlich festgehalten werden, die zur Sicherstellung der Informationssicherheit im Unternehmen dienen.
Am besten erarbeitest du ein entsprechendes IT-SiKo bereits kurz nach der Gründung, spätestens aber, sobald die Geschäftsaktivitäten so richtig ins Rollen gekommen sind.
Was ist das, ein IT-Sicherheitskonzept?
Ein IT-Sicherheitskonzept sollte einer der zentralen Bestandteile des IT-Sicherheitsmanagements deines Unternehmens sein. Es handelt sich bei diesem Konzept um ein konkretes, ausführliches Dokument. In diesem werden IT-Sicherheitsrisiken schriftlich dargelegt und anschließend Schutzziele festgelegt – oder bei Bedarf andersherum.
Auf Grundlage dieser Festlegungen lassen sich schließlich genaue und für dein Unternehmen individuelle Maßnahmen definieren, die den Schutz der Informationen über dein Unternehmen sowie deiner Kunden maximieren sollen.
Indem ein detailliertes IT-SiKo erstellt wird, kannst du sicherstellen, dass sich auch wirklich jeder in deinem Unternehmen an die Sicherheitsvorschriften hält. Du vermeidest damit Unklarheiten und erhöhst die Sicherheit deines Unternehmens massiv.
Warum sollten Gründer sich um ein IT-SiKo kümmern?
Wichtig ist ein IT-SiKo deshalb, weil die diversen angesprochenen Informationen oder Daten bei mangelndem Schutz heutzutage schnell in die Hände Unbefugter geraten. Seien es Konstruktions- und Herstellungsverfahren, technisches Know-how oder eben Kunden- und Preisinformationen. Sie alle sind wichtig und zu einem bestimmten Grad sensibel.
Kriminelle können diese Daten, wenn sie ungeschützt bleiben, unter Umständen nicht nur einsehen, sie sind mitunter auch in der Lage, sie zu manipulieren, zu beschädigen oder sie zu löschen.
Doch nicht allein Datendiebe oder Hacker stellen eine Gefahr für die Informationen deines Unternehmens dar. Man denke etwa an Naturkatastrophen oder technisches Versagen. In den meisten Fällen bist du davor gefeit, doch unglückliche Zufälle und Unfälle passieren immer wieder.
Letztlich kommt menschliches Versagen hinzu, das nicht vorhersehbar ist. Die Unwissenheit oder Unvorsichtigkeit eines Anwenders, der Daten aus Versehen löscht, bringt gerade junge Unternehmen mitunter schnell in Schwierigkeiten, die existenzbedrohend werden können.
Ein Information Security Management Systems (ISMS) hilft dir dabei, für dein Unternehmen Informationssicherheit herzustellen und die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten. Damit lassen sich Informationen so schützen, dass nur autorisierte Nutzer auf sie zugreifen können. Das vermeidet unbefugte und unkontrollierbare Zugriffe auf die Daten.
Das ISMS kontrolliert, steuert und verbessert also die Sicherheit der IT. Es hilft somit dabei, die durch sie verursachten Risiken zu erkennen. Diese strukturierte Vorgehensweise sollte in einem schriftlich definierten Sicherheitskonzept, dem IT-SiKo festgehalten werden.
Während das ISMS also die strategische Komponente darstellt, lässt sich das IT-SiKo als taktische Komponente verstehen, welche klare Standards zur Umsetzung des ISMS definiert.
Die Ziele des IT-SiKos
Das Ziel des IT-SiKos ist selbstverständlich die Sicherstellung der Informationssicherheit im Unternehmen. Der Beitrag, den das IT-SiKo dazu leistet, ist folgender: Als ausformuliertes Dokument definiert es die Richtlinien für den Umgang mit dem Thema IT im Unternehmen.
Jeder Teil des Unternehmens hat sich an dieses Dokument zu halten, das unter anderem das Datenschutzkonzept enthält. Damit lässt sich vermeiden, dass Gefahren für die IT möglicherweise übersehen oder aus diversen Gründen einfach nicht angesprochen werden.
Potenzielle Bedrohungen lassen sich mit Hilfe eines konkreten Konzeptes frühzeitig erkennen und entsprechende Vorbeugemaßnahmen festlegen. Immer, wenn beispielsweise ein neues System oder einer neuen Vorgehensweise Teil des Unternehmens wird, kommt das IT-SiKo zum Einsatz. Die zu verarbeitenden Daten werden mit dessen Hilfe klassifiziert, um anschließend die zum Schutz erforderlichen Maßnahmen zu beschreiben.
Da gerade beim Thema Daten gilt, dass Vorbeugung besser ist als Behandlung, dürften die Ziele des IT-SiKos einleuchtend und überzeugend sein.
Offizielle Anforderungen an ein IT-SiKo
Grundsätzlich gibt es keine gesetzlich festgelegten, offiziellen Anforderungen für die Erstellung eines IT-SiKos. Dennoch ist es aus rechtlicher Sicht sinnvoll und wichtig, dass du in dein Unternehmen ein solches Sicherheitskonzeptes implementierst. Hiermit stellst du etwa sicher, den Anforderungen der DS-GVO, der Datenschutz-Grundverordnung, gerecht zu werden. Die DS-GVO gibt nach Angaben des BMWI, des Bundesministeriums für Wirtschaft und Energie,
„zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft. Mit einem modernen Datenschutz auf europäischer Ebene bietet die DS-GVO Lösungen zu Fragen, die sich durch ‚Big Data‘ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Webtracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen.“
Zwar wird auch in der DS-GVO kein IT-SiKo gefordert. Dennoch verlangt Artikel 30 des DS-GVO etwa, ein „Verzeichnis aller Verarbeitungstätigkeiten“ sowie „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in schriftlicher Form. Aus Artikel 32 der DS-GVO lassen sich zudem Verpflichtungen zur Implementierung und zum Betrieb risikoorientierter technischer und organisatorischer Maßnahmen ableiten.
Jene Maßnahmen müssen ein „dem Risiko angemessenes Schutzniveau gewährleisten“. Mit einem IT-Sicherheitskonzept können du und dein Unternehmen diesen Anforderungen am besten gerecht werden.
Es gibt allerdings nicht das einzig wahre Schritt-für-Schritt-Vorgehen zu einem umfassenden IT-Sicherheitskonzept. Dennoch haben sich diverse Punkte durchgesetzt, bei denen es sich lohnt, sie nacheinander abzuhandeln und entsprechende Maßnahmen durchzuführen. Folgende sieben Schritte empfinden wir in genau dieser Reihenfolge als sinnvoll.
Die 7 Schritte zum eigenen IT-Sicherheitskonzept
1. Die Benennung eines IT-Sicherheitsbeauftragten und die Erstellung einer Sicherheits-Leitlinie
Grundsätzlich zeichnen selbstverständlich die Gründer in jedem Unternehmen oder die Geschäftsführung verantwortlich für die Informationssicherheit und deren Management. Sie stellen die Sicherheitsrichtlinien für das Unternehmen zusammen und verabschieden sie. Alle Mitarbeitenden im Unternehmen müssen die Sicherheitsrichtlinien kennen, sie verstehen und sie einhalten.
Dass die Geschäftsführung für die IT-Sicherheit verantwortlich ist, bedeutet aber nicht, dass sie diese auch unbedingt im Detail ausarbeiten sowie etwa regelmäßig aktualisieren und anpassen muss. Es hat sich vielmehr als sinnvoll erwiesen, hierfür einen oder mehrere IT-Sicherheitsbeauftragte zu bestimmen, die sich dieser Aufgaben annehmen.
Die IT-Sicherheitsbeauftragten arbeiten dabei meistens mit der IT-Leitung und den Datenschutzbeauftragten – falls vorhanden – zusammen. Ansonsten findet die Erarbeitung des Sicherheitskonzeptes alleine und am besten immer wieder in Absprache mit der Geschäftsführung statt.
Wichtig ist natürlich, dass die IT-Sicherheitsbeauftragten über ein grundsätzliches Verständnis für die Vorgänge im Unternehmen verfügen.
Zudem ist vor allem auch ein breites Fachwissen im IT-Bereich absolute Voraussetzung, um ein IT-Sicherheitskonzept erstellen zu können. Denn dabei handelt es sich um einen komplexen Vorgang, der nun einmal Expertise in relevanten Vorgängen erfordert.
Bei Unsicherheiten kann außerdem überlegt werden, eine externe Datenschutzfirma mit ausgebildeten Spezialisten mit an Bord zu holen. Sie berät dich und dein Unternehmen sowie die Sicherheitsbeauftragten vollumfänglich – eine Investition, die sich lohnen kann.
Sind die IT-Sicherheitsbeauftragten bestimmt, kannst du eine erste IT-Sicherheitsleitlinie erstellen. Diese stellt eine Art knapp zusammengefasstes Konzept dar, in welchem die Informationssicherheit als Bestandteil der Unternehmensstrategie dargelegt wird. Du bekennst dich mit ihr somit auch zur Einhaltung der Informationssicherheit. Einer der dort aufgelisteten Punkte ist dabei eben auch das IT-SiKo mit den konkreten Sicherheitsmaßnahmen und wie dieses innerhalb des Unternehmens geregelt ist.
2. Die Festlegung des Geltungsbereichs
Welche Ressourcen sind vorhanden, die den Schutzbedarf ergeben?
Im zweiten Schritt wird der Geltungsbereich des IT-Sicherheitskonzeptes bestimmt. Oft wird dieser Punkt auch Bestandsanalyse genannt. Die Frage, die dabei zu klären ist, lautet:
Dabei muss in den Blick genommen werden, welche Assets es im Unternehmen gibt. Assets können alle IT-Systeme, Anwendungen, Hard- und Software, aber auch IT-bezogene Prozesse sein.
Beispiele:
- Dokumente
- Zugriffskarten
- Lichtanlagen
- Serverräume
- Hardware-Komponenten
- Daten
Außerdem können alle deine Angestellten, alle Mitarbeitenden Assets mit Schutzbedarf sein. Informationen werden nämlich nicht nur über digitale Wege, sondern nach wie vor auch immer noch oft über physikalische Wege und etwa direkt von Person zu Person weitergegeben. Außerdem sind es die einzelnen Personen wiederum, die letztlich täglich Umgang mit beispielsweise digitalen Daten pflegen.
Wichtig ist in modernen Unternehmen daher, die Datensicherheit besonders hochzuhalten. Im Vorfeld ist dafür natürlich genau zu schauen, welche Maßnahmen vorgenommen werden können, um Daten gegen Cyberkriminelle am besten zu schützen. Eine entsprechende Checkliste sieht unter anderem vor, Risiken zu minimieren und die Daten zu sichern. Zudem sollte nur jemand Zugriff auf Daten erhalten, wenn das unbedingt erforderlich ist.
Die Bestandsanalyse hilft dabei, Transparenz hinsichtlich der aktuell eingesetzten Technik und IT-Sicherheit zu gewinnen. Anschließend lassen sich Sicherheitslinien viel besser aufstellen. Gerade bei der Ermittlung des Risikobedarfs kann übrigens ein externer IT-Sicherheitsberater hilfreich sein. Ihm fallen eventuell noch Lücken auf, für die du selbst keinen Blick hast.
Die Gesamtheit der Weitergabe von Informationen im Unternehmen und deren Feststellung wird auch als Definition des Informationsverbundes bezeichnet.
3. Die Strukturanalyse
Im Rahmen der Strukturanalyse werden die festgestellten Assets nun strukturiert erfasst. Am besten versuchst du dabei Teilbereiche zu schaffen, die wiederum einen bestimmten Geschäftsprozess in seiner Gesamtheit abbilden.
Wichtig ist, dass die Assets genau und detailliert erfasst werden. Um hier wieder das Beispiel der Mitarbeitenden zu bemühen: Sie werden ebenfalls als wichtiger Teil der Strukturanalyse aufgeführt. Je nach Größe deines Unternehmens muss das nicht bedeuten, dass etwa der konkrete Vor- und Nachname aufgelistet werden. Die Rolle und Aufgabe hingegen, die eine mitarbeitende Kraft übernimmt, sollte durchaus im IT-SiKo hinterlegt sein.
Hinzu kommen zum Beispiel noch alle beteiligten technischen Systeme. Zudem ist an Dinge wie Dokumente zu denken, die dazu dienen, diesen Prozess zu beschreiben.
Genauso sind etwa Arbeitsanweisungen für Mitarbeitende, Räumlichkeiten und Arbeitsplätze oder die Informationen selbst, die aus den technischen Systemen abgerufen werden, aufzuführende Bestandteile eines Informationsverarbeitungsprozesses.
Indem eine Art „Katalogisierung“ der IT stattfindet, können Risiken weniger schnell übersehen und vergessen werden. Außerdem ist im IT-SiKo dann hinterlegt, dass bestimmte Komponenten wirklich relevant sind. Eine solche Vereinfachung des Themas und klare Ausformulierungen und Bestimmungen helfen bei der Konzeptionierung der Sicherheit.
4. Die Feststellung des Schutzbedarfs
Die Feststellung des Schutzbedarfs, die im Anschluss an die Strukturanalyse stattfindet, dient dazu, den genauen Schutz im genannten Geltungsbereich für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik zu bestimmen. Es geht also darum, dass du dir nach der Inventarisierung darüber klar wirst, wie hoch der Schutzbedarf einzelner Objekte tatsächlich ist.
Ist der Informationsverbund einmal bestimmt, können diese einzelnen Objekte herausgegriffen und einzeln betrachtet werden. Gibt es Objekte, für die elementare Sicherheitsmaßnahmen ausreichend sind und wiederum andere, die besondere Aufmerksamkeit und verstärkten Schutz bedürfen?
Die bereits genannten Daten und hier insbesondere personenbezogene Daten oder neuwertige Fertigungsverfahren sollten in den meisten Unternehmen eine höhere Schutzstufe bekommen als etwa Kontaktdaten zu juristischen Personen wie Unternehmensadressen.
Eine derartige Sortierung und Unterscheidung dienen in erster Linie dazu, keine Ressourcen zu verschwenden. Denn an Objekten mit – nach einer Feststellung – weniger Schutzbedarf kannst du dir Zeit und Geld sparen.
Ein zusätzlicher Effekt der Einordnung in unterschiedliche Schutzstufen: Du vermeidest, dass der Inhaber eines Assets mit extrem hohem Schutzbedarf Inhaber anderer Assets mit vielleicht deutlich weniger Schutzbedarf zu ressourcenverbrauchenden, zusätzlichen Sicherheitsmaßnahmen zwingt.
Das führt direkt zum nächsten Punkt der Schutzbedarfsfeststellung: Jedes Asset sollte einen Inhaber, einen Zuständigen haben. Für einen Mitarbeiter beispielsweise wäre ein Abteilungs- oder Bereichsleiter zuständig. Dieser sorgt dafür, dass die Sicherheitsziele angegangen werden, dass also das festgelegte Sicherheitsniveau erreicht wird.
Im genannten Fallbeispiel würde der Vorgesetzte vielleicht verstärkt für motivierte Mitarbeitende sorgen und etwa eine Schulung organisieren, um den Mitarbeitenden in Sachen Sicherheit weiterbilden zu lassen.
5. Die Modellierungsphase
In der Modellierungsphase führst du oder führen die für das IT-SiKo Verantwortlichen die Ergebnisse aus der Strukturanalyse mit dem festgestellten und genau analysierten Schutzbedarf zusammen.
Im Grunde genommen geht es dabei darum, die bislang vorgenommenen Schritte und gewonnenen Informationen grafisch zu veranschaulichen. Hierdurch können sie schließlich miteinander in Beziehung gesetzt werden und die notwendigen Sicherheitsmaßnahmen lassen sich an den entstandenen Schnittstellen genau beschließen.
Teil der Modellierungsphase kann beispielsweise eine Veranschaulichung der Netzwerkschnittstellen zwischen den diversen beteiligten technischen Systemen sein. Auch die Anwendungen, die auf einem einzelnen technischen System lauffähig sind, werden in der Modellierungsphase in Schaubilder integriert.
Des Weiteren ist es zum Beispiel durchaus sinnvoll, die Geschäftsprozesse zu visualisieren und so die grafische Darstellung zu ergänzen. Dadurch wird letzten Endes sichtbar, was mit den Daten passiert und zu welchen Zwecken sie genutzt werden.
Es gibt übrigens einen deutschsprachigen Standard für Grundschutz Modelle – obwohl natürlich jedes Unternehmen genauso gut seine eigene Notation verwenden kann. Hilfreich können der Katalog und die Empfehlungen zur Modellierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) aber in jedem Fall sein.
6. Der Basis-Sicherheitscheck
Nach Beendigung der Modellierungsphase folgt im vorletzten Schritt der Basis-Sicherheitscheck. Während diesem soll ein Überblick über das bereits vorhandene, das heißt, über das derzeitige Sicherheitsniveau entstehen. Das bedeutet, dass eine Bewertung des bestehenden Informationsverbundes stattfindet.
Die bis zu diesem Zeitpunkt umgesetzten Sicherheitsmaßnahmen können dabei wiederum mit den Empfehlungen des BSI IT-Grundschutzes verglichen werden. Dafür wird das eigene IT-Grundschutz-Modell zur Hand genommen und ein Prüfplan zusammengestellt. In diesem wird etwa beurteilt, welche der BSI- Grundschutzempfehlungen auf ein Asset anzuwenden sind. Das wird unter anderem anhand des Schutzbedarfs bestimmt.
Anschließend sollte objektiv überprüft werden, ob zum aktuellen Zeitpunkt eine anzuwendende Sicherheitsmaßnahme bereits zufriedenstellen umgesetzt ist. Jegliche Mängel, die im Rahmen des Sicherheitschecks analysiert und festgestellt werden können, werden im Anschluss behoben.
Wichtig ist, dass beim Basis-Sicherheitscheck mit Rückgriff auf den BSI IT-Grundschutz berücksichtigt wird, dass hier von einem normalen Schutzbedarf ausgegangen wird. Bestimmte Objekte, die einen hohen oder gar sehr hohem Schutzbedarf haben, benötigen mitunter im Detail noch zusätzliche Sicherheitsmaßnahmen.
Mit Behebung der Sicherheitsmängel können Unternehmen im Basis-Sicherheitscheck ein Grundlevel an Sicherheit, einen Grundschutz, generieren. Für die Abdeckung des Schutzbedarfs aller Objekte muss im abschließenden Schritt eine ergänzende Sicherheits- und schließlich eine Risikoanalyse durchgeführt werden.
7. Die Risiko- und Sicherheitsanalyse
Zum Abschluss der Erstellung eines umfassenden IT-Sicherheitskonzeptes werden eine Risiko- und eine Sicherheitsanalyse durchgeführt. Die (ergänzende) Sicherheitsanalyse ermittelt die durch die bisherig erfolgten Schritte noch nicht vollständig abgedeckten Risiken.
Es soll also festgestellt werden, ob verschiedene weitere Sicherheitsmaßnahmen umzusetzen sind, die über den IT-Grundschutz hinausgehen. Dafür braucht es zunächst eine detaillierte Analyse.
Die Verfahren sind hierbei sehr unterschiedlich und etliche Methodiken der Risikoanalyse sind aufwendig. Wer noch nie ein IT-SiKo erstellt hat und Schwierigkeiten hat, kann sich auch hier wieder ans BSI wenden. Dieses bietet eine vereinfachte Risikoanalyse auf Basis des IT-Grundschutzes an, mit welcher eine kostengünstige Schutzbedarfsfeststellung möglich ist.
Ganz vorne steht hierbei die sogenannte Gefährdungsübersicht. Dabei wird beschrieben, welchen Gefährdungen ein Objekt oder Sachverhalt ausgesetzt ist. Auf der Seite des BSI findet sich eine Standardübersicht mit möglichen Sicherheitsrisiken, den „elementaren Gefährdungen“. Je nach Unternehmen müssen diese natürlich mitunter durch brachen- oder unternehmensspezifische Risiken ergänzt werden. Ist die Übersicht vollständig, kann diese Schritt für Schritt durchgegangen werden. Dabei wird bewertet, ob zusätzliche Sicherheitsmaßnahmen umzusetzen sind oder nicht.
Mit der Risikoanalyse schließlich werden alle vorhandenen Risiken auf ein akzeptables Maß gebracht. Dadurch kannst du sie für dein Unternehmen auf ein erträgliches Restrisiko reduzieren – denn jenes wird trotz aller Sicherheitsvorkehrungen in den meisten Fällen bleiben.
Absolut sicheren und vollkommenen Schutz gibt es kaum. Umso wichtiger ist es, dass die IT-Sicherheitsbeauftragten das IT-SiKo bei Bedarf regelmäßig überprüfen und unter Umständen aktualisieren und somit anpassen und im Sinne der Sicherheit kontinuierlich verbessern.
DU willst deine KI-Skills aufs nächste Level heben?
WIR machen dich bereit für die Revolution
KÜNSTLICHE INTELLIGENZ!
- Praxisbeispiele – sofort anwendbar für dein Business
- Aktuelle KI-Tools im Check
- Expertentipps für die neusten KI-Technologien
- Case Studies – von E-Mail-Marketing bis Datenanalyse
Ja, ich möchte den Newsletter. Die Einwilligung kann jederzeit im Newsletter widerrufen werden. Datenschutzerklärung.
Über den Autor
Redaktion
Hier schreibt das studierte Redaktionsteam aus Köln für dich an den neusten News sowie Ratgebern- und Magazin-Artikeln aus der Gründer- und Startup-Szene.