IT-SICHERHEITSKONZEPT

You are currently viewing IT-SICHERHEITSKONZEPT

IT-SICHERHEITSKONZEPT

  • Beitrags-Autor:
  • Beitrags-Kategorie:Technik

Unternehmensdaten sind von unschätzbarem Wert – Informationen aus der Forschung und Entwicklung oder personenbezogene Beschäftigtendaten. Damit solche Daten nicht in die falschen Hände geraten, ist eine gezielte Absicherung notwendig.

Das zentrale Augenmerk ist auf die IT gerichtet, da die meisten Angriffe auf Daten aus der Ferne erfolgen. Ein IT-Sicherheitskonzept regelt die Informationssicherheit im Unternehmen. Das Konzept soll sicherstellen, dass potenzielle Gefahren erkannt und minimiert werden. Zu diesem Zweck werden Richtlinien erstellt und verankert, um insbes. die drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Wesentliches Merkmal eines IT-Sicherheitskonzepts ist eine ganzheitliche Betrachtungsweise. Der Fokus ist nicht auf einzelne Bereiche (z.B. bestimmte Software-Tools) gerichtet, sondern es erfolgt eine Berücksichtigung der gesamten IT des Unternehmens.

Schutzziele im Detail

  • Vertraulichkeit: Es existiert eine klare Regelung, wer Zugriff auf Daten hat. Ausgewählte Personen sind autorisiert, während alle anderen keinen Zugriff haben. Die Umsetzung erfolgt über die Vergabe von Nutzerrechten, kann aber auch Zugangsbeschränkungen umfassen.
  • Integrität: Es wird protokolliert wer auf Daten zugreift und Daten ändert. Die Nutzung von Daten ist nur zulässig, wenn nachvollziehbar ist, wer sie aufgerufen oder geändert hat. Je nach Art der Daten kann es sogar ratsam sein, das bloße Einsehen zu protokollieren.
  • Verfügbarkeit: Es werden Maßnahmen eingesetzt, die gewährleisten, dass kein Systemausfall auftritt. Nur wenn eine IT-Umgebung uneingeschränkt läuft, sind alle Daten abrufbar.

Struktur eines IT-Sicherheitskonzepts

Die Struktur eines IT-Sicherheitskonzepts hängt davon ab, welcher Ansatz dem Konzept zugrunde liegt. Der Aufbau eines IT-Sicherheitskonzepts nach ISO 27001 ist in acht Phasen untergliedert.

  • Bestandsanalyse: Ziel der Analyse ist es, den Schutzbedarf zu ermitteln, um den Geltungsbereich des IT-Sicherheitskonzepts abzustecken. Zu diesem Zweck erfolgt die Definition des Informationsverbunds, der nicht nur die infrastrukturellen Komponenten (z.B. Hardware und Software), sondern auch organisatorische und personelle Komponenten (z.B. Abteilungs- oder Team-Strukturen) berücksichtigt.
  • IT-Strukturanalyse: Nach der Definition des Informationsverbunds  wird er im Detail (Anwendungen, Geschäftsprozesse, IT-Systeme, Kommunikationsverbindungen, Räumlichkeiten, Sicherheitsinfrastruktur) erfasst.
  • Schutzbedarfserstellung: In dieser Phase wird erarbeitet, welchen Schutzbedarf die betroffenen Informationen und Geschäftsprozesse haben. Dies geschieht mit Hilfe von Schutzbedarfskategorien. Der mögliche Schaden (durch eine Verletzung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit) wird ermittelt und einer Kategorie auf einer dreistufigen Skala (normal, hoch, sehr hoch) zugeordnet.
  • Modellierung: Es erfolgt eine Abbildung des Schutzverbunds anhand von fünf Schichten: Übergreifende Aspekte, Infrastruktur, IT-Systeme, Netze und IT-Anwendungen. Anhand dieser Schichten (Grundschutz-Bausteine) lassen sich geeignete Sicherheitsmaßnahmen ermitteln.
  • Basis-Sicherheitscheck: Häufig sind zumindest Teile der abgeleiteten Sicherheitsmaßnahmen bereits umgesetzt. Beim Basis-Sicherheitscheck wird zunächst der Umsetzungsstatus abgeglichen. Es wird ermittelt, ob Maßnahmen bereits umgesetzt wurden oder ob noch Lücken bestehen. Bei umgesetzten Maßnahmen wird ergänzend ermittelt, ob die Umsetzung vollständig oder lückenhaft erfolgt ist.
  • Ergänzende Sicherheitsanalyse: Die ergänzende Sicherheitsanalyse wird durchgeführt, um zu prüfen, ob in den Schichten der Modellierung alle Komponenten des Informationsverbunds enthalten sind. Zudem schließt sie Komponenten ein, für die ein hoher Schutzbedarf besteht. In diesem Rahmen können Risikoanalysen oder Penetrationstests notwendig sein.
  • Konsolidierung des Sicherheitskonzepts: Alle Sicherheitsmaßnahmen kommen auf den Prüfstand und werden sowohl einzeln als auch im Zusammenwirken betrachtet. Dabei ist es möglich, dass einzelne Maßnahmen ersetzt werden. Diese Konsolidierung soll sicherstellen, dass am Ende nur Sicherheitsmaßnahmen übrig bleiben, die einen angemessenen Schutz versprechen, sich nicht gegenseitig beeinträchtigen und gut umsetzbar sind.
  • Ergänzender Basis-Sicherheitscheck: Der Basis-Sicherheitscheck (Phase 5) wird wiederholt, da aufgrund der vorherigen Konsolidierung möglicherweise Lücken entstanden sind.

Umsetzung und Aktualisierung

Das erarbeitete Sicherheitskonzept ist auf die Bedürfnisse des Unternehmens zugeschnitten und gewährleistet anhand der Sicherheitsmaßnahmen die notwendige Informationssicherheit. Die Maßnahmen können in der Praxis allerdings nur wirken, wenn sie vollständig umgesetzt werden. Entscheidend ist eine fachgerechte Implementierung mitsamt nachfolgenden Kontrollen.

Auch Geschäfts- und IT-Prozesse können sich ändern. Solche Änderungen (z.B. die Einführung einer neuen Software), sind zu berücksichtigen und erfordert zumeist Anpassungen des Konzepts. Regelmäßig durchgeführte Audits helfen, diesen Punkt im Auge zu behalten.

Normen und Zertifizierung

Je nach Branche und Kunden können Unternehmen dazu angehalten sein, ihr in der Informationssicherheit erreichtes Niveau per Zertifizierung nachzuweisen. Es gibt verschiedene Normen (z.B. die ISO 27001) und Zertifizierungen (z.B. nach BSI).

Welche Lösung sich empfiehlt, ist jeweils individuell zu ermitteln. Tätigkeitsfeld, Kunden und Kosten sind die häufigsten Einflussgrößen, die bei der Entscheidung zu berücksichtigen sind.

ISMS oder IT-Sicherheitskonzept?

Unternehmen müssen sich nicht zwischen einem ISMS oder einem IT-Sicherheitskonzept entscheiden. Es handelt sich um zwei Instrumente, die ineinandergreifen und sich gegenseitig ergänzen. Das ISMS ist als übergeordnetes Management-Rahmenwerk mit strategischer Ausrichtung zu erachten, das IT-Sicherheitskonzept hat einen operativen Fokus, indem es konkrete Sicherheitsmaßnahmen vorschlägt.

Wer entwickelt das IT-Sicherheitskonzept?

Die Herangehensweise wird vom IT-Sicherheitsbeauftragten koordiniert. Unterstützung kommt von den Verantwortlichen der Fachabteilungen sowie den Administratoren. Voraussetzung für die Entwicklung eines IT-Sicherheitskonzepts ist umfassendes Know-how, das sich niemand in Kürze aneignen kann. Es sind Spezialisten gefragt, die eigens eingestellt oder beauftragt werden. Im KMU-Umfeld werden meistens externe Berater engagiert, weil sie erheblich preiswerter sind.

15.08.2022

Schlagwörter: