Informationssicherheit
Mit IT-Sicherheitskonzepten schaffen Sie ein starkes Fundament für umfassenden Schutz. Lernen Sie zentrale Maßnahmen kennen, mit denen Sie sich vor gegenwärtigen und künftigen Bedrohungen schützen.
Zum Blog Wissen kompakt
In einem zunehmend digitalisierten privaten und wirtschaftlichen Umfeld sind IT-Sicherheit und entsprechende Konzepte unverzichtbar, um sowohl langfristige Zukunftsfähigkeit und Wirtschaftlichkeit von Betrieben als auch ihre kurzfristige Geschäftsfähigkeit zu sichern. Eine bitkom-Studie aus dem Jahr 2024 zeigt, dass die deutsche Wirtschaft verstärkt ins Visier von diversen Angriffen gerät. Demzufolge waren innerhalb von 12 Monaten 81 Prozent aller Unternehmen von Daten- und IT-Gerätediebstahl, analoger und digitaler Industriespionage oder Sabotage betroffen.
Wir haben uns mit Anna Mempel, Chief Operating Officer des Informationssicherheitsunternehmens SECURNITE GmbH – Information Security, über folgende Themen unterhalten:
Ganzheitliche Sicherheitsstrategien sind zwar von großer Bedeutung, eine allgemeingültige Definition für IT-Sicherheitskonzepte gibt es jedoch nicht, wie Anna Mempel erklärt. „Es handelt sich um einen Begriff, der für viele verschiedene Ansätze verwendet wird. Dieser beschreibt im Grunde thematisch zusammenhängende Analysedokumente, die sich mit Aspekten der Sicherheit und dem Schutz vor Bedrohungen befassen.“
Die Expertin führt das Beispiel eines Zutrittskonzepts an. „Dabei geht es um ein Sicherheitskonzept, das sich auf den physischen Zugang zu Gebäuden konzentrieren kann, aber auch auf Identity und Access Management.“ Es umfasse unter anderem Antworten auf Fragen wie: Müssen Mitarbeitende an Pförtner:innen vorbei oder nutzen sie ein ID-Badge? Aus diesen Aspekten ergebe sich ein grundlegendes Sicherheitskonzept.
Ein weiteres Beispiel wäre die Einführung eines SAP-Systems, von M365 oder einer anderen Software, die einen bestimmten Verwendungszweck hat. „In einem entsprechenden Sicherheitskonzept würde dann festgelegt, welcher Use Case vorliegt, welche Sicherheitsfeatures konfiguriert und welche Maßnahmen implementiert werden sollen, um relevante Bedrohungen für diese Software zu adressieren.“ Mehrere solcher Konzepte können wiederum ein Informationssicherheitsmanagementsystem bilden. Letztendlich sei es vom jeweiligen Unternehmen abhängig, wie es ein Sicherheitskonzept für sich definiert.
Ab wann sollte sich ein Wirtschaftsakteur über ein spezifisches IT-Sicherheitskonzept Gedanken machen? Eine allgemeingültige Antwort gibt es darauf nicht. Anna Mempel hält jedoch einen frühen Einstieg in die IT-Sicherheit für sinnvoll.
Bei der Entscheidung für oder gegen ein konkretes IT-Sicherheitskonzept sollten Organisationen die eigenen Motivationen und Treiber betrachten. „Was bewegt mich aktuell dazu, diesen Schritt zu gehen? Möchte ich das aus eigenem Antrieb, weil ich mich vor potenziellen Angreifern schützen möchte? Habe ich spezifische Bedrohungsszenarien erkannt, vor denen ich mich absichern muss?“ Falls diese Fragen bejaht werden, sind entsprechende Maßnahmen angemessen.
Es gäbe aber ebenso Treiber externer Art, fährt Anna Mempel fort. „Wenn Kund:innen verlangen, dass ich die Sicherheit nach einem bestimmten Standard umsetze und mit sinnvollen Maßnahmen versehe, können beispielsweise die ISO 27001 oder der IT-Grundschutz helfen, dies strukturiert zu dokumentieren und auszuarbeiten.“ Zertifizierungen dienen als Nachweis, dass ein Unternehmen ein Sicherheitskonzept nach den entsprechenden Richtlinien realisiert. „Dies lässt sich bei Bedarf auch nur für einzelne Applikationen anwenden, wenn Kund:innen beispielsweise verlangen, dass die Software bestimmte Sicherheitsstandards erfüllt. In einem solchen Fall kann die Firma diesen Nachweis gezielt für die jeweilige Software anstreben.“
„Finanzinstitute oder Unternehmen in anderen regulierten Branchen wie Versicherungen haben meist verpflichtende regulatorische Anforderungen, die sie dazu bewegen, ein Sicherheitskonzept umzusetzen. Als gängige Standards hierfür gelten der IT-Grundschutz oder die ISO 27001.“ Da Bedrohungen insbesondere aus dem Cyberraum stetig zunehmen, empfiehlt Anna Mempel die Implementierung eines IT-Sicherheitskonzepts jedoch allen Firmen, auch wenn es keine gesetzliche Verpflichtung dazu gibt.
Es ist einfacher, mit der Sicherheit zu beginnen, wenn das Unternehmen noch klein ist, damit sie mit den Prozessen mitwachsen kann. Aber es ist auch kein Problem, später damit anzufangen.
Anna Mempel
Chief Operating Officer des Informationssicherheitsunternehmens SECURNITE GmbH
Für die Implementierung eines IT-Sicherheitskonzepts bietet es sich an, auf den IT-Grundschutz des BSI zurückzugreifen. „Dieser bildet den ersten Zyklus in einem kontinuierlichen Verbesserungsprozess, ähnlich wie bei der ISO 27001. Das Vorgehen ist immer gleich, unabhängig davon, mit welchem Rahmenwerk man arbeitet. Standards sind in der Regel risikoorientiert: Man analysiert zunächst potenzielle Bedrohungen, leitet daraus Risiken ab und prüft anschließend, welche Maßnahmen sinnvoll sind.“
Der 2005 von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlichte Standard ist eine internationale Norm für das Informationssicherheitsmanagement. Dieser enthält detaillierte Rahmenbedingungen und Anleitungen zur Implementierung und kontinuierlichen Optimierung von Informationssicherheitsmanagementsystemen (ISMS). Diese sollen Unternehmen und Organisationen dabei helfen, gespeicherte Informationen besser zu schützen.
Wichtige Aspekte der Norm, welche zuletzt 2022 aktualisiert wurde, umfassen:
Nach erfolgreichem Abschluss eines Audits können sich Unternehmen bei einer akkreditierten Zertifizierungsstelle zertifizieren lassen.
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet ein umfassendes Rahmenwerk zur Umsetzung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS) in Behörden, Organisationen oder Unternehmen. Er deckt verschiedene Aspekte der Informationssicherheit ab, darunter:
Für eine BSI-IT-Grundschutz-Zertifizierung sind interne und externe Audits erforderlich, die vom BSI anerkannten Prüfer:innen durchgeführt werden. Die Prüfungszyklen können sich abhängig von den Anforderungen unterscheiden.
Ein grobes Muster für ein IT-Sicherheitskonzept könnte beispielsweise wie folgt aussehen:
Wichtig sei, zu verstehen, dass IT-Sicherheit kein linearer Prozess ist, der irgendwann abgeschlossen ist, betont Anna Mempel.
Ein häufiges Missverständnis sei, dass diese Standards mit einer Checkliste verwechselt würden, die einmal abgearbeitet wird und dann keine weitere Beachtung findet. „Stattdessen handelt es sich um ein Managementsystem – ein Konglomerat aus Prozessen, die aufeinander aufbauen, ineinandergreifen und kontinuierlich justiert werden müssen, um sicher und funktionsfähig zu bleiben“, fügt die Expertin hinzu. Dabei sei auch entscheidend, zu erkennen, dass kein IT-Konzept hundertprozentige Sicherheit bieten kann. Ziel sei es, risikobasiert vorzugehen und eine Balance zwischen höchstmöglicher Sicherheit und Wirtschaftlichkeit zu finden.
Ich muss kontinuierlich anpassen und neu analysieren, wie sich die Bedrohungslage verändert hat, um eine stabile Sicherheitslage zu gewährleisten.
Anna Mempel
Chief Operating Officer des Informationssicherheitsunternehmens SECURNITE GmbH
Entscheidet sich ein Betrieb für ein IT-Sicherheitskonzept, stellt sich die Frage nach Zuständigkeiten. Die Expertin erklärt, dass diese Rollenverteilung schwer zu verallgemeinern ist und letztlich stark von der Struktur der jeweiligen Organisation oder des Unternehmens abhängt. Teilweise gibt es zudem regulatorische Vorschriften für bestimmte Rollen, die vorhanden sein müssen.
Die spezifischen Aktivitäten können an verantwortliche Mitarbeitende delegiert werden. Die Aufgabe der Geschäftsführung besteht darin, ausreichend Personal und andere Ressourcen wie Geld und Technik bereitzustellen. Außerdem obliegt es ihr, die benötigten Rollen zu definieren und festzulegen. Dazu zählen etwa Positionen wie ein:e Informationssicherheitsbeauftragte:r oder Chief Information Security Officer – es gibt hier verschiedene Titel, die Unternehmen selbst bestimmen können. Wichtig ist, dass diese Personen das nötige Know-how mitbringen, um ein Sicherheitskonzept zu entwickeln und anzuwenden. „Sobald die Geschäftsleitung den Weg frei macht, eine solche Rolle zu schaffen, ist damit die perfekte Grundlage für alles Weitere gelegt“, erläutert Anna Mempel.
Was sich aber immer sagen lässt: Sicherheit ist Chefsache. Meine Erfahrung zeigt, dass der Erfolg eines solchen Sicherheitskonzepts maßgeblich davon abhängt, dass die oberste Geschäftsführung wirklich dahintersteht und die Gesamtverantwortung übernimmt.
Anna Mempel
Chief Operating Officer des Informationssicherheitsunternehmens SECURNITE GmbH
Neue, innovative Technologien wie die künstliche Intelligenz bringen zahlreiche Vorteile, stellen die IT-Sicherheit in Unternehmen jedoch vor neue, große Herausforderungen.
Die neue KI-Richtlinie ist eine wichtige regulatorische Vorgabe, die auch für die Erstellung von Sicherheitskonzepten relevant ist. Sie umfasst Anforderungen an KI-Systeme, die über reine Informationssicherheitsvorgaben hinausgehen. „Es geht hier auch um Data Governance und viele andere Themen, die sich mit Informationssicherheit, Datenschutz und Datensicherheit überschneiden.“
Für Betriebe, die Produkte herstellen, sei auf europäischer Ebene zudem der Cyber Resilience Act (CRA) von Bedeutung. Dieser umfasst Vorgaben an Firmen, die Produkte mit IT- oder digitalen Aspekten in der EU herstellen oder vertreiben. „Unternehmen müssen wissen, dass diese Regulierung auf sie zukommt. Für den Marktzugang ist es unerlässlich, frühzeitig zu prüfen, welche Kriterien erfüllt und welche Anpassungen am Produkt vorgenommen werden müssen, um weiterhin konform zu bleiben.“
Diese neuen Standards können auf den ersten Blick überwältigend wirken. Anna Mempel empfiehlt jedoch, sie nicht als vollkommen neue Aspekte zu betrachten. Vielmehr lassen sie sich in bestehende Konzepte und Maßnahmen integrieren. „Es können Synergien mit dem bestehenden Sicherheitskonzept genutzt werden, um die neuen Erfordernisse bewältigbar zu machen und den Aufwand in Grenzen zu halten. In der CRA-Verordnung gibt es gerade deswegen eine Übergangsfrist, die voraussichtlich erst 2026 oder 2027 greifen wird. Das bedeutet also, dass nicht morgen schon alles bereit für die Informationssicherheit sein muss“, entwarnt Anna Mempel. Dennoch betont die Expertin, dass es nicht ratsam ist, die Vorbereitung auf kommende Anforderungen hinauszuzögern. „Man muss sich jetzt mit diesen Themen auseinandersetzen und aktiv handeln, anstatt nur zu beobachten, was auf einen zukommt. Wichtig ist, risikobasiert einzuschätzen, welche Relevanz diese Innovationen für mein Unternehmen und mein Produkt haben und welche Maßnahmen daher entscheidend sind.“
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.
