Erstellung eines IT-Sicherheitskonzeptes im Unternehmen
Welche Anforderungen sollte ein IT-Sicherheitskonzept im Unternehmen erfüllen? Gibt es verbindliche Normen, die beachtet werden müssen? Mehr dazu erfahren Sie in diesem Beitrag.
Mit wachsender Größe einer Organisation ist es schlichtweg unmöglich, die Vorgaben und Vorgehensweisen in Angelegenheiten der Internetsicherheit lediglich in den Händen der Verantwortlichen aus Management und Administration zu belassen. Die Ausarbeitung eines schriftlichen Konzepts ist die logische Konsequenz.
Alles eine Frage der Schriftlichkeit
Sicherheitskonzepte sind gerade in IT-Belangen unverzichtbar geworden, da aus solchen Konzepten Richtlinien und Maßnahmen resultieren, die nachvollziehbar sind und in jedem Einzelfall umgesetzt werden müssen. Mangels eines solchen schriftlich ausgearbeiteten Konzepts läuft das Unternehmen Gefahr, dass die Vorgaben zur Sicherheit unzureichend umgesetzt oder zentrale Punkte völlig übersehen werden.
Anforderungen an ein Sicherheitskonzept
Die Erstellung eines generellen Sicherheitskonzepts ist eine Aufgabe, bei der viele Aspekte in Bezug auf IT-Security zu berücksichtigen sind und betrifft längst nicht mehr bloß die im Betrieb stehenden Computer.
- Schulung und Sensibilisierung der Nutzer
- Festlegung von Updateroutinen
- Datensicherheit („Backups“)
- Aufklärung, welche Daten als „sensibel“ zu betrachten sind
- Sicherung der Kommunikationswege im Fest- und Mobilnetz
- Schutz des Netzwerks vor unerwünschten Eindringlingen (Virenschutz, Firewalls)
- Prüfung der Sicherheit von PCs und Servern
- Herausgabe von Richtlinien für die Nutzer
Erstellung eines Sicherheitskonzepts
Die vorangegangenen Betrachtungen konnten sicherlich einen ersten Überblick geben, worauf ein solches Konzept Rücksicht nehmen sollte.
Abhängig von der Größe und Struktur der Organisation, also von den realen Gegebenheiten, ist das Sicherheitskonzept mehr oder weniger detailliert und umfangreich. Zuerst sind allgemeine Vorgaben zu entwickeln, die sich aus dem Ziel des Unternehmens und gesetzliche Vorgaben ableiten. Dies wird als „Sicherheitspolitik“ im Unternehmen bezeichnet.
Ziele der IT-Sicherheit
Der Startschuss für die Ausarbeitung der Sicherheitspolitik erfolgt in Form einer allgemeinen Definition von Funktion und Aufgabe der Netzwerke und IT-Systeme. Es soll zuerst definiert werden, welche Anforderungen an die IT-Security und die Verfügbarkeit der eingesetzten Informationstechnologien bestehen.
Ein Sicherheitskonzept besitzt eine allgemeine Zielsetzung, deren Inhalt wesentlich von den individuellen Gegebenheiten der betreffenden Organisationseinheit abhängt. Dadurch soll die Unternehmenspolitik technisch und ökonomisch sinnvoll realisiert werden und die Umsetzung von der Geschäftsleitung bestätigt werden. Die inhaltliche Ausgestaltung muss in Absprache zwischen technischem IT-Personal und dem Management erfolgen. Es muss festgelegt werden, wem das Recht zur Auslegung der Sicherheitspolitik im Einzelfall zukommt, da auch bei noch so detailgetreuer Festlegung von Regelungsinhalten unvermeidbarerweise unberücksichtigte Grenzfälle auftreten werden.
Aufgabe und Einsatzort als zentrale Faktoren
Gerade Größe und der Umfang des IT-Systems bzw Netzwerks eines Unternehmens und die Branche sind hierfür maßgeblich. Etwa bei Kreditinstituten oder im Zusammenhang mit Gesundheitsdaten haben die Datensicherheit und die Sicherheit der Kommunikation einen höheren Stellenwert als bei einem Würstelstand mit digitaler Kasse. Je sensibler die Daten und die Aufgabe sind, je mehr Einsatzorte bestehen, je flexibler digitale Geräte genutzt werden, desto strenger sind auch die Anforderungen.
Bestandsanalyse
Die Gestaltung eines (neuen) Sicherheitskonzepts beginnt bei der Feststellung des vorhandenen bzw geplanten IT-technischen Status quo. Neben den Software-Anwendungen und der notwendigen Hardware sind hier praktische Fragen, wie etwa jene nach den Räumlichkeiten der Server, vorhandenen Gebäuden und Aufgaben der Mitarbeiter zu stellen. Es kommt zum Aufbau einer soliden Grundlage für die IT-Security, in der alle sicherheitsrelevanten Parameter umfasst sind.
Höhe des Schutzniveaus erheben
Wurde die IT-Infrastruktur und die dafür erforderlichen Gegebenheiten ausreichend dokumentiert, werden in weiterer Folge die Daten in das Zentrum der Betrachtung gezogen. Im Wesentlichen ist festzustellen, wie wichtig welche der gespeicherten oder zu verarbeitenden Informationen sind. Es ist zu klären, ob sensible (nach der DSGVO „besondere Kategorien personenbezogener Daten“ genannt) oder „gewöhnliche“ personenbezogene Daten erhoben oder verarbeitet werden. Hierauf basierend ergibt sich, ob Standardsicherheitsmaßnahmen ausreichen oder weitergehender Schutz notwendig ist.
Alles eine Frage der Sicherheit
Nun gilt es abzuklären, welche Sicherheitsmaßnahmen der IT-Security bereits bestehen. Aus den zuvor erfassten Bestandsdaten zur IT-Infrastruktur und den hinsichtlich der Daten bestehenden Anforderungen müssen in diesem Schritt die konkreten Sicherheitsmaßnahmen entworfen werden. Bei jeder Maßnahme sollte überprüft werden, ob diese tatsächlich geeignet ist, die angepeilten Ziele zuverlässig zu erreichen. Auch die Ausarbeitung von Richtlinien für Mitarbeiter erfolgt in diesem Schritt. Alle Mitarbeiter und Unternehmensbereiche müssen die Sicherheitsrichtlinien verstehen, beachten und einhalten. Dies sollte auch mit einer Unterschrift besiegelt werden.
Keine verbindlichen Normen
Es bestehen keine gesetzlich festgelegten Anforderungen für die Erstellung eines IT-Sicherheitskonzeptes, sehr wohl aber Standards und Normen, die individuell erweitert werden können. Unternehmen können ihr Sicherheitssystem etwa nach der internationalen Norm DIN ISO/IEC 27001 zertifizieren lassen, um einen allgemein anerkannten Informationsschutz zu gewährleisten.
Zum Beitrag
Arbeitshilfen
Produkt-Empfehlungen
Arbeitshilfen
