Was ist IT-Sicherheitskonzept
Das IT-Sicherheitskonzept (IT SiKo) ist ein Dokument, das die Grundlagen der Informationssicherheit in operative Maßnahmenkataloge übersetzt, indem es Informationssicherheitsrisiken und deren Umgang damit beschreibt. Zu den Risiken gehören beispielsweise
- Desaster und sonstige Auswirkungen höherer Gewalt,
- Bewusst oder unbewusst hervorgerufene schwerwiegende Störungen des IT-Betriebs (Angriffe von außen oder innen, Versehen und Unachtsamkeit)
- Technisches Versagen
Zentrales Ziel beim Aufbau eines IT-Sicherheitskonzeptes ist die Reduzierung des Informationssicherheitsrisikos in allen Bereichen seiner Gültigkeit, vor allem im Umgang mit personenbezogenen und anderen sensiblen oder unternehmenskritischen Daten.
Einordnung eines IT-Sicherheitskonzeptes
Das IT-Sicherheitskonzept ist häufig Bestandteil des Information Security Management System (ISMS), das sich wiederum aus den Regelungen des Datenschutzes und der Datensicherheit ableitet. Es ist eines der offensichtlichsten Werkzeuge des ISMS, um sicherheitsrelevante Standards der IT in einer Organisation zu beschreiben, bekannt zu machen und zu schulen. Es beschreibt konkrete Risiken und Maßnahmen, mit denen Beschäftige in ihrem Arbeitsalltag konfrontiert werden können.
Ziele des IT-Sicherheitskonzeptes
Die Ziele für den Aufbau und die Umsetzung eines IT-Sicherheitskonzeptes liegen vor allem darin, Informationssicherheitsrisiken auf ein kalkulierbares Maß zu reduzieren. Diese werden häufig über die allgemeinen Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität definiert.
Im Kern geht es beim IT-SiKo darum, Risiken im Sinne dieser Schutzziele zu identifizieren und zu bewerten, um auf dieser Grundlage wiederum Maßnahmen zum Schutz von Kunden- und Unternehmensdaten zu definieren (Technische und Organisatorische Maßnahmen / TOMs).
Geltungsbereich eines IT-Sicherheitskonzeptes
Das IT-Sicherheitskonzept kommt kurz gesagt für all jene Organisationen und Organisationsbereiche zum Tragen, die ein Information Security Management System betreiben oder einrichten sollen. Das trifft mehrheitlich auf jene Bereiche zu, die in Anlehnung an die EU-DSGVO personenbezogene Daten speichern oder verarbeiten. Darüber hinaus ist ein IT-Sicherheitskonzept für alle Organisationen fast schon verpflichtend, deren geschäftlicher Erfolg in kritischem Maße auf Datenverfügbarkeit und Datenkonsistenz basiert.
Gesetzlicher Rahmen eines IT-Sicherheitskonzeptes
Generell gibt es jedoch keine explizite gesetzliche Verpflichtung zu Aufbau und Pflege eines IT-Sicherheitskonzeptes. Allerdings lassen sich aus unterschiedlichen Normen und Gesetzen Verpflichtungen ableiten, die die Nutzung eines IT-Sicherheitskonzeptes nahelegen. Beispiele dafür sind
- die Regelungen des BSI,
- der EU-DSGVO
- bestimmte DIN ISO, z.B. die DIN ISO 27001
- Basel IV, Solvency II,
- MaSi und MaRisk,
Der Begriff des IT-Sicherheitskonzeptes lässt sich in all diesen nicht explizit finden. Letztlich besteht die Herausforderung aber darin, aus generellen, in den meisten Fällen eher allgemein gefassten Anforderungen, ein ganz konkretes Dokument zu erstellen, dauerhaft zu pflegen und im operativen Betrieb zu befolgen. Und dieses nennt sich meistens: IT-Sicherheitskonzept.
Was ist ein IT-Sicherheitskonzept nach ISO 27001?
Die DIN/ISO 27001 schreibt lediglich allgemein und mit minimaler technischer Tiefe ein Information Security Management System vor, mit dessen Hilfe Risiken erkannt und bewertet werden sollen. Unternehmen haben die Möglichkeit ihr ISMS zum Beispiel nach der internationalen Norm DIN ISO/IEC 27001 zu zertifizieren, um einen allgemein anerkannten Informationsschutz zu dokumentieren. Konkreter sind die Regelungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die ISO 27001 umfasst, aber noch deutlich weiter geht.
Was ist ein IT-Sicherheitskonzept nach BSI?
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) gibt in seinem BSI-Standard BSI 200 vergleichsweise konkrete Hinweise und Vorschläge zum Aufbau eines ISMS, zu Absicherungsmethoden und generell zum Risikomanagement in der Informationssicherheit.
In der bisherigen Praxis bilden diese Empfehlungen häufig die Basis für ein IT-Sicherheitskonzept, welches sich auch nach BSI zertifizieren lässt (BSI-Grundschutz-Zertifikat).
Nicht nur Empfehlungen, sondern klare Vorgaben macht das BSI für die Anbieter kritischer Infrastrukturen (KRITIS). Diese müssen ihre Risiken für die Informationssicherheit nach dem BSI-Gesetz (§8A BSIG) minimieren und konkret nachweisen, dass ihre IT-Sicherheit gewährleistet ist.
Anforderungen an ein IT-Sicherheitskonzept aus DSVGO
Auch die in den vergangenen Jahren vielzitierte europäische Datenschutzgrundverordnung (EU DSGVO) fordert kein explizites IT-Sicherheitskonzept ein. Allerdings lässt sich aus den Forderungen der Artikel 30 (Verzeichnis aller Verarbeitungstätigkeiten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen) und 32 (Verpflichtungen zur Implementierung und Betrieb risikoorientierter technischer und organisatorischer Maßnahmen) beinahe schon direkt ableiten, was gemeinhin als IT-Sicherheitskonzept beschrieben wird.
Bestandteile eines IT-Sicherheitskonzeptes
Ein IT-Sicherheitskonzept beschreibt üblicherweise die konkreten Schutzziele, anhand derer Risiken identifiziert und bewertet werden können, sowie die generellen Maßnahmen zum Umgang mit Kunden- und Unternehmensdaten.
Daraus abgeleitet sind die Technischen und Organisatorischen Maßnahmen weiterer Hauptbestandteil des IT Sicherheitskonzeptes. Mit sucht die Organisation kritische Informationssicherheitsrisiken wie Systemausfälle, externe Angriffe oder Datenpannen zu vermeiden – oder bei eingetretenem Risiko darauf zu reagieren.
Inhalte eines IT-Sicherheitskonzeptes
Generell beschreibt das IT-Sicherheitskonzept, welche Informationstypen und -prozesse gegen Risiken zu sichern sind. Je nach Branche gibt es dabei unterschiedliche Erwartungen an das IT-Sicherheitskonzeptes. So werden vor allem Unternehmen aus dem KRITIS-Umfeld anders bewertet als andere Branchen, da eingetretene Risiken bei KRITIS-Unternehmen oft großflächige Auswirkungen nach sich ziehen können.
Auch gelten erhöhte Anforderungen speziell für Unternehmen der Gesundheits- oder die Finanzbranche sowie Behörden, die allesamt mit besonders sensiblen und damit schützenswerten personenbezogenen Daten umgehen.
Ablauf eines IT-Sicherheitskonzeptes
Die Erstellung und Pflege eines IT-Sicherheitskonzeptes bestehen üblicherweise aus mehreren Phasen, die sich bei jeder relevanten Änderung in der Infrastruktur oder in den organisatorischen Abläufen wiederholen:
- Die „Bestandsanalyse“ oder „Definition des Geltungsbereichs“ beschreibt die Bereiche und Objekte eines Unternehmens, für die das IT-Sicherheitskonzeptes Gültigkeit haben soll.
- Die „Strukturanalyse“ sammelt alle aktuellen Informationstypen, Prozesse und technischen Systeme zusammen, die dem IT-Sicherheitskonzept als Grundlage dienen.
- Die „Feststellung des Schutzbedarfs“ wiederum weist den oben genannten Strukturen Schutzklassen zu
- Die „Modellierungsphase“ resultiert in konkreten Sicherheitsmaßnahmen je Strukturelement.
- Der „Basis-Sicherheitscheck“ prüft vorhandene Schutzmechanismen auf Eignung
- Die „ergänzende Sicherheitsanalyse“ zeigt die verbleibenden Lücken
- Die „Risikoanalyse“ zeigt Maßnahmen auf vorhandene Risiken auf ein vertretbares Maß zu reduzieren.
Umsetzung eines IT-Sicherheitskonzeptes
In aller Regel hat die Unternehmensführung das größte Interesse daran ein effektives und effizientes Information Security Management System (ISMS) zu betreiben. Grund dafür sind nicht nur potenzielle Strafen für das Unternehmen bei eingetretenen Risiken, sondern auch die persönliche Haftung und der persönliche wie unternehmensbezogene Imageverlust bei anzeigepflichtigen Vorfällen. In der jüngeren Vergangenheit lassen Organisationen jedoch auch ihre IT-Verantwortlichen zu Information Security Officers (ISO) oder Chief Information Security Officers (CISO) ausbilden und übertragen diesen das Thema ISMS.
Die konkrete Erstellung und Pflege eines aus dem ISMS abgeleiteten IT-Sicherheitskonzeptes wiederum liegt häufig bei einem Projektteam aus IT-Leitung, Informationssicherheitsbeauftragten und Datenschutzbeauftragten. Für zusätzliche fachliche Inputs aus den operativen Bereichen werden häufig Applikationsverantwortliche, Fachbereichsverantwortliche und/oder Key-User hinzugezogen.
In der täglichen Praxis werden Projektteams durch externe Berater, wie sie im Hause Firnkorn und Stortz für betreute Unternehmen zur Verfügung stehen, ergänzt oder auch geleitet. Sie bringen zusammen mit Konzepten und Vorlagen vor allem hauptamtliche Expertise bei der Erstellung, Einführung und dauerhaften Pflege eines IT-Sicherheitskonzeptes in steuernder oder begleitender Form ein. Häufig ergänzen sie dies um branchenspezifische Best Practice-Erfahrung in den Bereichen Informationssicherheit und Cyber Security. Im Rahmen einer Beratung werden dabei maßgeschneiderte Lösungen und Unterstützung angeboten und die Bedürfnisse des Kunden eingehend erhoben. Sie können damit nicht nur für schnelle Fortschritte bei Entwicklung und Implementierung eines IT-Sicherheitskonzeptes sorgen, sondern auch für robuste und nachhaltige Resultate.