Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Wieso ist ein IT-Sicherheitskonzept notwendig?

Eric Weis | 07.02.2017 09:47:16 | Lesezeit ca. X Minuten

Das Bedürfnis nach Sicherheit ist ein ganz natürlicher menschlicher Wunsch. Dies gilt nicht nur für private, sondern auch für berufliche Kontexte. Im Besonderen Unternehmen sind einer Vielzahl von potenziellen Gefahren – gerade im Bereich der IT – ausgeliefert. Um Risiken zu minimieren, ist die Erstellung eines IT-Sicherheitskonzeptes für Sie und Ihr Unternehmen deshalb zwingend notwendig.

 

Welche Ziele werden mit einem IT-Sicherheitskonzept verfolgt?

Ein IT-Sicherheitskonzept dient primär dem Ziel der Informationssicherheit. Entsprechende Bedrohungen sollen frühzeitig erkannt und den negativen Folgen entgegengewirkt werden. Nicht zuletzt soll es ebenso Vertrauen beim Kunden schaffen. Als Basis eines Sicherheitskonzepts in der IT werden von Unternehmen häufig entweder die international geltende ISO 27001 oder der vom Bundesamt für Informationssicherheit (BSI) herausgegebene IT-Grundschutz gewählt, wobei eine Kombination aus beiden vorteilhaft sein kann. Doch dies ist ein Thema für sich. Wir beschäftigen uns heute vielmehr grundsätzlich mit dem IT-Sicherheitskonzept und erklären, welche relevanten Fragestellungen in einem solchen angesprochen werden sollten.

 

Was genau ist eigentlich ein IT-Sicherheitskonzept?

Ein Sicherheitskonzept setzt es sich aus einer Reihe von Maßnahmen zusammen:

Zunächst wird dabei der Status quo bewertet. Mit anderen Worten: Es muss allen voran eine Bestandsanalyse vorgenommen werden. Es muss demnach zum Beispiel geklärt werden, wie wirkungsvoll Ihre bereits getroffenen Schutzvorkehrungen hinsichtlich der IT Sicherheit tatsächlich sind.

 

BRANDMAUER IT Sicherheitscheck

 

Im Konkreten spielen in diesem Stadium des IT-Sicherheitskonzepts und für die übergeordnete Zielerreichung die folgenden Fragestellungen eine zentrale Rolle:

  • Haben wir im Unternehmen in der Vergangenheit bereits ein IT-Sicherheitskonzept erarbeitet, auf das wir nun zurückgreifen können?
  • Was genau wollen bzw. müssen wir im Rahmen unseres Sicherheitskonzepts eigentlich schützen?
  • Welche Bedrohungen und potenziellen Schäden gibt es?
  • Wie hoch ist die Eintrittswahrscheinlichkeit für die verschiedenen Szenarien?
  • Welche Auswirkungen hätte es auf mein Unternehmen, wenn die Gefahren wirklich Realität werden?
  • Welche Maßnahmen muss ich im Rahmen meines IT-Sicherheitskonzepts ergreifen, um die Eintrittswahrscheinlichkeit und die Höhe des Schadens zu minimieren?
  • Muss ich bestimmte Bereiche mehr sichern als andere?
  • Sind diese Maßnahmen wirklich geeignet, das Schutzniveau zu erhöhen?
  • Habe ich alle Maßnahmen korrekt umgesetzt?
  • Habe ich im Schadensfall genügend finanzielle Ressourcen, um diese zu bewerkstelligen?


Aus diesen Fragen ergibt sich – das wird Sie sicherlich nicht verwundern – nicht selten Handlungsbedarf, der von Unternehmen zu Unternehmen unterschiedlich ist. Für umfängliche Sicherheit ist es deswegen umso wichtiger, geeignete Maßnahmen in einem Realisierungsplan als wichtiger Bestandteil des IT-Sicherheitskonzeptes zusammenzufassen.

 

Welche konkreten Maßnahmen sollten im Realisierungsplan eines IT-Sicherheitskonzepts stehen?

Voraussetzung ist erst einmal, dass die Geschäftsführung das Sicherheitskonzept angenommen und den Realisierungsplan freigegeben hat. Letzterer beinhaltet Informationen zu notwendigen Maßnahmen, geht ferner auf den genauen zeitlichen Ablauf ein und berücksichtigt rechtliche Vorschriften genauso wie technische Erfordernisse. Zudem wird in diesem geklärt, welche Ressourcen finanzieller oder personeller Art zur Verfügung gestellt werden müssen.

Im Realisierungsplan des IT-Sicherheitskonzepts geht es also vor allem um die Ableitung konkreter Handlungsschritte, die dazu geeignet sind, die Sicherheitslücken, die in der Bestandsanalyse aufgedeckt wurden, zu schließen.

Beispielsweise werden

  • Regeln für Mitarbeiter im Arbeitsalltag aufgestellt, welche zur Sicherheit der IT beitragen. Zum Beispiel, wie man sich bei einem Virusfund verhält oder dass man beim Verlassen des Arbeitsplatzes den Bildschirm immer zu sperren hat.
  • Mitarbeiter geschult, um Verständnis für die aufgestellten Regeln sicherzustellen. Denn die Erfahrung zeigt: Mitarbeiter verhalten sich häufig falsch, weil sie die entsprechenden Regeln nicht verstanden haben.
  • organisatorische Umstellungen vorgenommen, welche die IT Sicherheit fördern, wie zum Beispiel die Umsetzung eines geeigneten Rechte- und Rollen-Konzepts, damit die Mitarbeiter nur auf Daten zugreifen können, die sie für ihre Arbeit auch benötigen. Oder dass nur noch im Unternehmen registrierte USB Sticks zum Datenaustausch verwendet werden können. 


Jetzt Blog abonnieren!

 

Fazit

Sie sehen: Ein IT-Sicherheitskonzept ist äußert vielschichtig und man kann dabei einiges außer Acht lassen, was das Auftreten einer Sicherheitslücke begünstigt. Lassen Sie es besser nicht so weit kommen. Ein IT-Experte berät Sie gerne in allen Fragen um die Sicherheit Ihrer IT oder gibt Unterstützung bei der Erstellung und Umsetzung eines leistungsstarken IT-Sicherheitskonzepts.

 

IT-Security Ratgeber

Themen: IT-Sicherheitskonzept

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de