Bedrohungen wie Viren, Hackerangriffe, Datenpannen und Systemausfälle sind Herausforderungen denen sie moderne Unternehmen mit ihrer IT-Infrastruktur heute stellen müssen. Ein IT-Sicherheitskonzept beschreibt hierbei systematische Maßnahmen für ihre Sicherheit.

 Überblick

• Ein IT-Sicherheitskonzept ist nach entsprechender Risikobetrachtung ist für Unternehmen die die DSGVO umsetzen notwendig.
• Es beschreibt die Vorgehensweise zur Einführung neuer Dienste & Services.
• Mit dem IT-Sicherheitskonzept werden Risiken und Gefahren der geplanten Informationsverarbeitung ermittelt, benötigte Schutzniveau ermittelt und angemessene Sicherheitsmaßnahmen festgelegt.

In diesem Beitrag erfahren sie alles über Sinn, Aufbau und Verantwortlichkeiten zu einem IT-Sicherheitskonzept im Sinne der DSGVO für mittlere und größere Unternehmen und Vereine. Mittlere und große Einrichtungen verfügen in der Regel über eigenes geschultes IT-Personal oder externe Mitarbeitende sowie über eine professionelle IT-Infrastruktur mit eigenen Servern. Zudem existieren in der Regel bereits unterschiedlich ausgeprägte IT-Standards (z. B. Datensicherung, Kennwortregelungen, Protokollierung). Es gibt z. T. Dienstleistungen, die durch Outsourcing betrieben werden.

IT-Sicherheitskonzept – Was ist das?

Ein IT-Sicherheitskonzept ist die zentrale Dokumentation des IT-Sicherheitsmanagements eines Unternehmens. Schutzziele werden beschrieben, Risiken identifiziert und Maßnahmen zum Umgang mit Kunden- und Unternehmensdaten festgeschrieben.

So genannte technischen und organisatorischen Maßnahmen sollen helfen Virenbefall, Datenpannen, Systemausfällen und Hackerangriffen vorzubeugen. Außerdem werden weiterführende Mechanismen wie der Zugriffskontrolle, Technologien zur Verschlüsselungen beschrieben und die Art und Weise der regelmäßigen Schulungen zur Sensibilisierung der Mitarbeiter festgelegt.

Wozu dient ein IT-Sicherheitskonzept in Unternehmen?

Technisches und fachliches Wissen, Konstruktions- und Herstellungsverfahren oder Kundeninformationen sind schützenswerte Werte für ein Unternehmen. Datenverlust und Missbrauch hätten gravierende Folgen. Um diese Information zu schützen hat sich der Einsatz von Informationsicherheit-Managementsystems (ISMS) bewährt. Ziel dieser Systeme ist die Wahrung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität durch Umsetzung einer angemessenen IT-Sicherheit. Informationssicherheit sorgt dafür, dass diese Schutzziele eingehalten werden.

Vertraulichkeit schützen bedeutet, die IT-Systeme und Anwendungen so zu sichern, dass
nur autorisierte Personen auf die verarbeiteten Daten Zugriff haben. Integrität schützt die Daten vor Manipulationen. Verfügbarkeit hingegen sorgt dafür, dass Daten im gewünschten Zeitraum zur Verfügung stehen und darauf zugegriffen werden kann

Beispielsweise werden die Daten derart geschützt, sodass nur autorisierte Nutzer Zugriff haben und weder ein unbefugter noch ein unkontrollierbarer Zugang möglich ist. Das ISMS kontrolliert, steuert und optimiert die Informationssicherheit und identifiziert so die durch die IT-verursachten Risiken. Diese strukturierte Vorgehensweise wird in einem schriftlich definierten Sicherheitskonzept festgehalten, das klare Standards zur Umsetzung des ISMS definiert.

Umsetzung eines IT-Sicherheitskonzepts

Eine gesetzlich festgelegten Anforderungen oder Vorgabe für die Erstellung eines IT-Sicherheitskonzeptes existiert derzeit nicht, wohl aber Standards und Normen. Unternehmen mit einem entsprechendem Reifegrad in der IT-Sicherheit können ihr ISMS beispielsweise nach der internationalen Norm ISO27001 umsetzen.

Im IT-Sicherheitskonzept werden zunächst einmal die Richtlinien für den Umgang mit Informationen nachvollziehbar dokumentiert. Alle Mitarbeiter und Dienstleister des Unternehmens sind verpflichtet diese Regeln und Leitlinien einzuhalten. Vor der Inbetriebnahme neuer Systems und Prozesse im Unternehmen werden die zu verarbeitenden Daten klassifiziert und die dann erforderlichen Maßnahmen beschrieben. Wesentliche Rahmenbedingungen werden festgelegt wie Geltungsbereich, Risiken und Schutzbedarf.

Wozu dient ein Datenschutzkonzept?

Aufgabe des Datenschutzes ist es, den Einzelnen dabei zu helfen, dass er durch die Verarbeitung und den Umgang seiner personenbezogenen Daten das Recht auf informationelles Selbstbestimmung ausüben kann, indem er selbst über die Preisgabe und Verwendung seiner Daten zu bestimmt.

Das Datenschutzkonzept ist in der Regel Teil des IT-Sicherheitskonzepts und enthält in erster Linie Regeln zur Einhaltung der Rechte und zum Schutz der betroffenen Personen. Diese Regeln umfassen zumeist Vorgaben zur

• Erfassung
• Verarbeitung und
• Nutzung personenbezogener Daten

Zudem enthält es Maßnahmen zur Eindämmung und Vermeidung von Diebstahl und Missbrauch wie Anti-Viren-Lösungen, Verschlüsselungen etc.

Forderungen aus der DSGVO an ein IT-Sicherheitskonzept

Es besteht derzeit aus der DSGVO keine explizite Forderung nach einem IT-Sicherheitskonzept. Aber nachfolgende Artikel sind hier besonders bemerkenswert:

• Artikel 30 verlangt ein „Verzeichnis aller Verarbeitungstätigkeiten“ und „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in Schriftform
• Artikel 32 leitet zudem die Verpflichtungen zur Implementierung und Betrieb risikoorientierter technischer und organisatorischer Maßnahmen ab
• Zudem müssen die Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten

Ein IT-Sicherheitskonzept setzt diese Forderung angemessen und kompetent um!

Wo kann man sich weiterführend informieren?

Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschreibt Im BSI-Standard BSI 200 Vorschläge zur Konzeptionierung eines ISMS, zu Absicherungsverfahren und zum Risikomanagement

Zudem wurde 2015 ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Bereichen der kritischen Infrastruktur (Transport, Verkehr, Energie, Gefahrstoffe, Telekommunikation, Finanz-, Geld-, Versicherungswesen) verabschiedet. Diese Unternehmen müssen ihre Risiken zur Informationssicherheit nach dem BSI-Gesetz (§8A BSIG) optimieren und den Nachweis ihrer IT-Sicherheit erbringen.

Vorgehen zur Gestaltung des IT-Sicherheitskonzept?

Ganz grob kann man sieben Teilschritte unterscheiden:

1. Definition des Informationsverbundes: Zu Beginn des IT-Sicherheitskonzepts wird festgelegt, welcher Bereich der Einrichtung/Organisation abgedeckt wird (Geltungsbereich)
2. Grundlage eines jeden IT-Sicherheitskonzepts ist die genaue Kenntnis der Informationen, Prozesse und unterstützenden technischen Systeme des betrachteten Informationsverbundes. Ziel der Strukturanalyse ist es, die hierfür erforderlichen Kenntnisse, z.B. in Form eines Netzplanes, zusammenzustellen und aufzubereiten.
3. Bei der Schutzbedarfsfeststellung wird ermittelt, welcher Schutz für die Geschäftsprozesse, die dabei verarbeiteten Informationen und die eingesetzte Informationstechnik ausreichend und angemessen ist.
4. Die Modellierungsphase führt die Ergebnisse aus der Strukturanalyse mit dem Schutzbedarf zusammen und leitet die daraus notwendigen Sicherheitsmaßnahmen auch an den entstandenen Schnittstellen ab.
5. Ein Überblick über das vorhandene Sicherheitsniveau wird erarbeitet. Mit Hilfe von Interviews wird der Status quo des bestehenden Informationsverbunds in Bezug auf den Umsetzungsstatus für jede relevante Maßnahme bewertet (Basis-Sicherheitscheck).
6. Die ergänzende Sicherheitsanalyse ermittelt die noch nicht vollständig abgedeckten Risiken.
7. Die Risikoanalyse hilft schließlich, die vorhandenen Risiken auf ein akzeptables Maß und damit ein für das Unternehmen erträgliches Restrisiko zu reduzieren.

Wer ist für das IT-Sicherheitskonzept im Unternehmen verantwortlich und zuständig?

Die Unternehmensführung ist verantwortlich für das Information Security Management System (ISMS). Leitfäden und Sicherheitsrichtlinien werden also vom Unternehmensmanagement zusammengestellt. Alle Mitarbeitenden und Unternehmensbereiche müssen die Sicherheitsrichtlinien verstehen, beachten und einhalten. Die Erstellung guter IT-Sicherheitskonzepte bedingt ein grundsätzliches technisches und fachliches Verständnis für die Vorgänge im Unternehmen. Die Erstellung eines IT-Sicherheitskonzepts ist ein komplexer Vorgang der ggfs. von speziell geschultem IT-Personal durchgeführt werden sollte. Die dafür notwendige Ausarbeitung der Details im IT-Sicherheitskonzept kann von der IT-Leitung, den Informationssicherheitsbeauftragten und den Datenschutzbeauftragten vorgenommen werden.

Welche Besonderheiten sind IT-Sicherheitskonzept zu beachten?

Ein IT-Sicherheitskonzepten unterliegt oft branchenspezifische Besonderheiten. Beispiele sind dabei der Gesundheitsbereich oder auch die Handwerksbranche. Beispielsweise müssen Organisationen die Datenübertragung von Gesundheitsdatenstets Ende-zu-Ende-Verschlüsselung.

Zusammenfassung

In einer vielschichtigen IT-Infrastruktur mit zunehmender Komplexität sollten Gedanken zur Informationssicherheit stets präsent sein, um die individuellen Werte der Unternehmen zu sichern. Hierfür gilt es Wissen zu bündeln um es in einem unternehmensweiten und nachvollziehbaren IT-Sicherheitskonzept zusammenzufassen. Gängige Standards und Zertifizierungen dienen dabei als Leitlinien bei den aber auch qualifizierte externe Dienstleister mit Rat und Tat zur Seite stehen können.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei der Viskonz GmbH finden sie zertifizierte Experten auf Augenhöhe. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen.