IT-Sicherheitskonzept: Entwicklung, Phasen & Umsetzung

09.03.2022

Unternehmensdaten können von unschätzbarem Wert sein. Ob Informationen über in Entwicklung befindlicher Prototypen oder personenbezogene Daten, viele Kriminelle haben es darauf abgesehen. Damit solche Daten nicht in die falschen Hände geraten, ist eine gezielte Absicherung notwendig.

Zentrales Augenmerk sollte der IT gelten, weil die meisten Angriffe auf Daten längst aus der Ferne erfolgen. Die Absicherung der Systeme geschieht am besten auf Basis eines IT-Sicherheitskonzepts.

IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept regelt die Informationssicherheit im Unternehmen. Das Konzept soll sicherstellen, dass potenzielle Gefahren erkannt und minimiert werden. Zu diesem Zweck werden Richtlinien erstellt und im Unternehmen verankert, um insbesondere die drei großen Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

Wesentliches Merkmal eines IT-Sicherheitskonzepts ist dessen ganzheitliche Betrachtungsweise. Der Fokus ist nicht auf einzelne Bereiche (z.B. bestimmte Softwarelösungen) gerichtet, stattdessen erfolgt eine Berücksichtigung der gesamten IT des Unternehmens.

Schutzziele im Detail

  • Vertraulichkeit: Es existiert eine klare Regelung dahingehend, wer Zugriff auf Daten hat. Ausgewählte Personen sind autorisiert, während alle anderen keinen Zugriff haben. Die Umsetzung erfolgt zumeist über die Vergabe von Nutzerrechten. Sie kann aber auch Zugangsbeschränkungen zu bestimmten Räumlichkeiten umfassen.
  • Integrität: Die vollständige Erkennung von Datenänderungen muss gewährleistet sein. Änderungen an Daten sind nur zulässig, wenn genau protokolliert wird und damit bekannt ist, wer sie vorgenommen hat. Je nach Datenart kann es sogar empfehlenswert sein, das bloße Einsehen von Daten zu protokollieren.
  • Verfügbarkeit: Nur wenn eine IT-Umgebung uneingeschränkt läuft, sind alle Daten abrufbar. Bei diesem Schutzziel geht es folglich darum, Systemausfällen vorzubeugen.

Aufbau / Struktur eines IT-Sicherheitskonzepts

Die Struktur eines IT-Sicherheitskonzepts hängt davon ab, welche Norm / welcher Ansatz dem Konzept zugrunde liegt. Nachfolgend stellen wir den Aufbau eines IT-Sicherheitskonzepts nach ISO 27001 dar. Es ist in acht Phasen untergliedert.

  1. Bestandsanalyse: Ziel der Analyse ist es, den Schutzbedarf zu ermitteln und so den Geltungsbereich des IT-Sicherheitskonzepts abzustecken. Zu diesem Zweck erfolgt die Definition des Informationsverbundes, der nicht nur die infrastrukturellen Komponenten (z.B. Anwendungen, Hardware, Software etc.), sondern auch organisatorische und personelle Komponenten berücksichtigt.
  2. IT-Strukturanalyse: Nachdem der Informationsverbund definiert ist, wird er im Detail (Anwendungen, Geschäftsprozesse, IT-Systeme, Kommunikationsverbindungen, Räumlichkeiten, Sicherheitsinfrastruktur) erfasst.
  3. Schutzbedarfserstellung: In dieser Phase wird erarbeitet, welchen Schutzbedarf die betroffenen Informationen und Geschäftsprozesse haben. Dies geschieht mit Unterstützung der Schutzbedarfskategorien. Der mögliche Schaden wird ermittelt (hinsichtlich einer Verletzung der Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit) und einer von drei Kategorien (normal, hoch, sehr hoch) zugeordnet.
  4. Modellierung: Es erfolgt eine Modellierung / Abbildung des Schutzverbunds anhand von fünf Schichten: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. Anhand dieser Schichten (auch Grundschutz-Bausteine genannt) lassen sich geeignete Sicherheitsmaßnahmen ermitteln.
  5. Basis-Sicherheitscheck: Häufig hat ein Unternehmen zumindest einen Teil der abgeleiteten Sicherheitsmaßnahmen bereits umgesetzt. Beim Basis-Sicherheitscheck geht es darum, den Umsetzungsstatus abzugleichen. Es wird ermittelt, ob Maßnahmen bereits umgesetzt wurden oder ob noch Lücken bestehen. Bei umgesetzten Maßnahmen wird ergänzend ermittelt, ob die Umsetzung vollständig oder lückenhaft erfolgt ist.
  6. Ergänzende Sicherheitsanalyse: Es kann vorkommen, dass in den Schichten der Modellierung nicht alle Komponenten des Informationsverbunds enthalten sind. Zu diesem Zweck wird die ergänzende Sicherheitsanalyse durchgeführt. Ebenso schließt sie Komponenten ein, für die ein hoher Schutzbedarf besteht. In diesem Rahmen können Risikoanalysen oder Penetrationstests notwendig sein.
  7. Konsolidierung des Sicherheitskonzepts: Alle abgeleiteten Sicherheitsmaßnahmen kommen auf den Prüfstand und werden sowohl einzeln als auch im Zusammenspiel betrachtet. Hierbei ist es möglich, dass einzelne Maßnahmen ersetzt werden. Diese Form der Konsolidierung soll sicherstellen, dass am Ende nur Sicherheitsmaßnahmen übrig bleiben, die einen angemessenen Schutz versprechen, sich nicht gegenseitig beeinträchtigen und für das Unternehmen gut umsetzbar sind.
  8. Ergänzender Basis-Sicherheitscheck: Der Basis-Sicherheitscheck aus Phase 5 wird wiederholt, da aufgrund der vorherigen Konsolidierung womöglich Lücken entstanden sind.

Umsetzung und Aktualisierung

Das erarbeitete Sicherheitskonzept ist auf die Bedürfnisse des Unternehmens zugeschnitten und gewährleistet anhand der Sicherheitsmaßnahmen die notwendige Informationssicherheit. Allerdings können die Maßnahmen in der Praxis nur wirken, wenn sie vollständig umgesetzt werden. Entscheidend ist daher eine fachgerechte Implementierung mitsamt nachfolgenden Kontrollen.

Zu bedenken ist außerdem, dass sich Geschäfts- und IT-Prozesse ändern können. Solche Änderungen, wie z.B. die Einführung neuer Software, sind zu berücksichtigen, was Anpassungen im Konzept notwendig machen kann. Regelmäßige Audits helfen dabei, diesen Punkt nicht aus den Augen zu verlieren.

Normen und Zertifizierung

Je nach Branche und Kunden können Unternehmen dazu angehalten sein, ihr in der Informationssicherheit erreichtes Niveau per Zertifizierung nachzuweisen. Es gibt verschiedene Normen (u.a. die bereits erwähnte ISO 27001) und Zertifizierungen (z.B. nach BSI).

Welche Lösung sich diesbezüglich empfiehlt, ist für jedes Unternehmen individuell zu ermitteln. Tätigkeitsfeld, Kunden und Kosten sind die häufigsten Einflussgrößen, die im Rahmen der Entscheidung berücksichtigt werden.

Fragen & Antworten zum Thema

Wie unterscheiden sich ISMS und IT-Sicherheitskonzept voneinander?

Es ist nicht so, dass sich Unternehmen entweder für ein ISMS oder ein IT-Sicherheitskonzept entscheiden müssen. Vielmehr handelt es sich um zwei Instrumente, die ineinandergreifen und sich gegenseitig optimal ergänzen. Hierbei ist das ISMS als übergeordnetes Management-Rahmenwerk mit strategischer Ausrichtung zu erachten. Das IT-Sicherheitskonzept hat einen operativen Fokus, indem es u.a. der Ableitung konkreter Sicherheitsmaßnahmen dient.

Wer entwickelt das IT-Sicherheitskonzepts?

Das eigentliche Herangehen wird vom IT-Sicherheitsbeauftragten koordiniert. Unterstützung kommt von den Verantwortlichen der Fachabteilungen sowie Administratoren. Doch aufgepasst, Voraussetzung für die Entwicklung eines IT-Sicherheitskonzepts ist umfassendes Know-how, das sich niemand in Kürze aneignen kann.

Gefragt sind Spezialisten, die z.B. eigens im Unternehmen eingestellt werden. Allerdings sind solche Experten für Informationssicherheit oft schwer zu finden und haben hohe Gehaltsvorstellungen, weshalb sie eher in Großunternehmen anzutreffen sind. Im KMU-Umfeld wird gerne auf externe Berater zurückgegriffen, auch weil diese Lösung auf mittlere und lange Sicht meist erheblich preiswerter ist.