IT Sicherheitskonzept: Definition, Ziele und Nutzen

IT Sicherheitskonzept: Definition, Ziele und Nutzen

Beitrag vom 12.10.2020

Zur Themenwelt Informationssicherheit

Informationssicherheitsmanagement versus IT-Sicherheitskonzept

IT-Sicherheit (IT steht hier kurz für „Informationstechnologie“) bezeichnet denjenigen Teil der Informationssicherheit, der Technologie einsetzt, um Informationen zu schützen. Das kann zum Beispiel eine Firewall sein oder eine Chipkarte, um sich in einem Computersystem anzumelden. Die Informationssicherheit dagegen umfasst noch mehr: Dazu gehören auch organisatorische Sicherheitsmaßnahmen wie zum Beispiel dafür zu sorgen, dass sich Außenstehende nicht ohne Aufsicht im Firmengebäude aufhalten, sondern immer jemand dabei ist.

Das IT-Sicherheitskonzept legt fest, mit welchen technischen Mitteln Informationen geschützt werden sollen. „Viele Unternehmen verstehen darunter aber auch ein Konzept für alle Sicherheitsthemen, bis hin zur Veranstaltungssicherheit“, sagt Prof. Dr. Christoph Thiel, IT-Sicherheitsexperte an der FH Bielefeld. „Tatsächlich ist es aber nur ein Konzept dafür, wie man seine Vermögenswerte mit Hilfe der Informationstechnologie schützen kann.“

Definition und Ziele eines IT-Sicherheitskonzepts

Bei der Entwicklung eines IT-Sicherheitskonzeptes lassen sich verschiedene Assets voneinander unterscheiden:

Primäre Assets

Informationen

Sekundäre Assets

Zum Beispiel Rechner, Netze und Server

Sie alle gilt es zu erfassen und mit Hilfe verschiedener Methoden zu prüfen: Welche Risiken gibt es? Und wie geht man damit um? „Häufig kommt man dabei zu dem Ergebnis, dass sich ein Risiko durch bestimmte – oft technische, manchmal organisatorische – Maßnahmen verringern lässt“, so Prof. Dr. Thiel.

Die Risiken inklusive der Schutzmaßnahmen werden schriftlich in einem Dokument festgehalten. Fertig ist das IT-Sicherheitskonzept – oder? „Wenn man sich Gedanken über den Schutz von etwas Wertvollem macht, muss man sehr sorgfältig vorgehen“, betont Prof. Dr. Thiel. Dazu gehört, die Maßnahmen auch regelmäßig zu prüfen und zu verbessern – in einem ununterbrochenen Kreislauf. „Risiken lassen sich nicht beherrschen, weil einer alles weiß, sondern nur, wenn man ein sehr sorgfältig erstelltes Konzept hat – und dieses auch immer weiter pflegt“, so Prof. Dr. Thiel.

Nutzen eines IT-Sicherheitskonzeptes

Der Nutzen eines IT-Sicherheitskonzeptes liegt vor allem darin, dass ein Schaden nicht zustande kommt – oder zumindest sein Eintreten sehr unwahrscheinlich ist. Denn mit der zunehmenden Digitalisierung und Vernetzung steigen auch die Kosten und Imageschäden, die Unternehmen drohen, wenn sie Opfer von Cyberkriminalität werden.

Hacker-Angriffe beispielsweise nehmen immer mehr zu. „Angreifern wird es jedoch schwerer fallen, ein Unternehmen mit einem durchdachten IT-Sicherheitskonzept auszuspionieren, als eines, das völlig unvorbereitet ist“, weiß Prof. Dr. Thiel. Natürlich gibt es auch viele Angriffe ohne den Einsatz von Technik. Das kann zum Beispiel ein vermeintlicher Kontroll-Anruf von außen bei einer Mitarbeiterin sein, die arglos ihr Passwort preisgibt. Aber viele Angriffe aus der Ferne sind heute technikbasiert – und dagegen hilft ein IT-Sicherheitskonzept.

Kostenfreies Info-Webinar zu NIS-2, KRITIS, CER, CRA und Co.

In unserem kostenlosen Webinar geben wir Ihnen innerhalb einer Stunde einen umfassenden Überblick über die aktuelle und neue EU-Gesetzgebung zur Cybersicherheit, einschließlich NIS-2, KRITIS, CER und CRA.  Außerdem bereiten wir Sie darauf vor, Ihr Unternehmen im Rahmen dieser Gesetze zu schützen. 

Welche Unternehmen brauchen ein IT-Sicherheitskonzept?

Eine allgemeine rechtliche Verpflichtung zu einem IT-Sicherheitskonzept gibt es zwar nicht. Lediglich für die Betreiber kritischer Infrastrukturen, wie zum Beispiel Telekommunikationsunternehmen, gelten besondere gesetzliche Anforderungen. Aber wer ein Informationssicherheits-Managementsystemen (ISMS) betreibt, benötigt automatisch auch ein IT-Sicherheitskonzept. „Bislang sind das allerdings höchstens ein Drittel aller Unternehmen“, schätzt Prof. Dr. Thiel.

Aber die Tendenz steigt. Nicht zuletzt, weil Auftraggeber immer häufiger auch ein IT-Sicherheitskonzept von ihren Lieferanten oder Dienstleistern fordern. „Grundsätzlich sollte jedes Unternehmen ein IT-Sicherheitskonzept haben, egal ob groß oder klein – selbst, wenn es nur einen Rechner hat“, sagt der IT-Experte. „Unternehmen, die nach den vom BSI entwickelten IT-Grundschutz-Standards vorgehen, können deren einzelne Schritte bereits für das Konzept nutzen.“

Welches Personal brauchen Unternehmen für ein IT-Sicherheitskonzept?

Vorformulierte Rollen, wer im Unternehmen das IT-Sicherheitskonzept entwickelt, gibt es nicht. Doch immer mehr Firmen lassen ihre IT-Verantwortlichen zum Information Security Officer (ISO) oder Chief Information Security Officer (CISO) ausbilden. Sie können diese Aufgabe dann mit übernehmen. „Noch besser ist allerdings ein eigener IT-Sicherheitsbeauftragter, der möglichst weit oben in der IT angesiedelt ist“, empfiehlt Prof. Dr. Thiel.

Das Problem: Diejenigen, die sich mit Informationssicherheit auskennen, können meist schlecht Dokumente schreiben. Zum Beispiel, weil sie bestimmte Dinge für selbstverständlich halten und diese dann nicht dokumentiert und überprüft werden. „Die Herausforderung liegt darin, das eigene Expertenwissen für andere verständlich und nachvollziehbar zu machen“, sagt Prof. Dr. Thiel.

Fit für‘s IT-Sicherheitskonzept – mit Fortbildungen, IT-Grundschutz und Checklisten

Die Unternehmen sollten deshalb ein bis zwei Mitarbeitende aussuchen, die Schulungen im Bereich Informationssicherheit oder IT-Grundschutz machen, rät Prof. Dr. Thiel. Denn ein IT-Admin kann ein umfassendes IT-Sicherheitskonzept nicht von sich aus entwickeln, dafür braucht er zusätzliches Know-how.

Dieses Wissen lässt sich bei Bildungsanbietern wie zum Beispiel der TÜV NORD Akademie berufsbegleitend in verschiedenen Kursen erlernen, ob zum IT-Grundschutz-Praktiker, ISO oder CISO. Nützliche Beispiele, Checklisten und Muster bietet auch das IT-Grundschutz-Kompendium des BSI. Damit können Unternehmen überprüfen, ob sie auf dem richtigen Weg sind, die Sicherheit ihrer Daten sicherzustellen.