Zukunftssicherheit durch IT-Sicherheitskonzepte
In einem zunehmend digitalisierten privaten und wirtschaftlichen Umfeld sind IT-Sicherheit und entsprechende Konzepte unverzichtbar, um sowohl langfristige Zukunftsfähigkeit und Wirtschaftlichkeit von Betrieben als auch ihre kurzfristige Geschäftsfähigkeit zu sichern. Eine bitkom-Studie aus dem Jahr 2024 zeigt, dass die deutsche Wirtschaft verstärkt ins Visier von diversen Angriffen gerät. Demzufolge waren innerhalb von 12 Monaten 81 Prozent aller Unternehmen von Daten- und IT-Gerätediebstahl, analoger und digitaler Industriespionage oder Sabotage betroffen.
Wir haben uns mit Anna Mempel, Chief Operating Officer des Informationssicherheitsunternehmens SECURNITE GmbH – Information Security, über folgende Themen unterhalten:
- Wie sich der Begriff „IT-Sicherheitskonzept“ definieren lässt und warum ein solches Konzept wichtig ist.
- Welche Firmen ein IT-Sicherheitskonzept entwickeln sollten.
- Welche Leitfäden, Regulierungen und Ansätze Orientierung verschaffen.
- Warum die Geschäftsleitung eine Schlüsselrolle bei der Einführung eines IT-Sicherheitskonzepts spielt.
- Welche Maßnahmen Unternehmer:innen ergreifen sollten, um sich gegen zukünftige Bedrohungen durch technologische Innovationen wie KI zu schützen.
Was ist ein IT-Sicherheitskonzept?
Ganzheitliche Sicherheitsstrategien sind zwar von großer Bedeutung, eine allgemeingültige Definition für IT-Sicherheitskonzepte gibt es jedoch nicht, wie Anna Mempel erklärt. „Es handelt sich um einen Begriff, der für viele verschiedene Ansätze verwendet wird. Dieser beschreibt im Grunde thematisch zusammenhängende Analysedokumente, die sich mit Aspekten der Sicherheit und dem Schutz vor Bedrohungen befassen.“
Beispiel: Zutrittskonzept
Die Expertin führt das Beispiel eines Zutrittskonzepts an. „Dabei geht es um ein Sicherheitskonzept, das sich auf den physischen Zugang zu Gebäuden konzentrieren kann, aber auch auf Identity und Access Management.“ Es umfasse unter anderem Antworten auf Fragen wie: Müssen Mitarbeitende an Pförtner:innen vorbei oder nutzen sie ein ID-Badge? Aus diesen Aspekten ergebe sich ein grundlegendes Sicherheitskonzept.
Beispiel: SAP-System
Ein weiteres Beispiel wäre die Einführung eines SAP-Systems, von M365 oder einer anderen Software, die einen bestimmten Verwendungszweck hat. „In einem entsprechenden Sicherheitskonzept würde dann festgelegt, welcher Use Case vorliegt, welche Sicherheitsfeatures konfiguriert und welche Maßnahmen implementiert werden sollen, um relevante Bedrohungen für diese Software zu adressieren.“ Mehrere solcher Konzepte können wiederum ein Informationssicherheitsmanagementsystem bilden. Letztendlich sei es vom jeweiligen Unternehmen abhängig, wie es ein Sicherheitskonzept für sich definiert.
IT-Security-Konzepte: Für wen und wann sinnvoll?
Ab wann sollte sich ein Wirtschaftsakteur über ein spezifisches IT-Sicherheitskonzept Gedanken machen? Eine allgemeingültige Antwort gibt es darauf nicht. Anna Mempel hält jedoch einen frühen Einstieg in die IT-Sicherheit für sinnvoll.
Es ist einfacher, mit der Sicherheit zu beginnen, wenn das Unternehmen noch klein ist, damit sie mit den Prozessen mitwachsen kann. Aber es ist auch kein Problem, später damit anzufangen.
Bei der Entscheidung für oder gegen ein konkretes IT-Sicherheitskonzept sollten Organisationen die eigenen Motivationen und Treiber betrachten. „Was bewegt mich aktuell dazu, diesen Schritt zu gehen? Möchte ich das aus eigenem Antrieb, weil ich mich vor potenziellen Angreifern schützen möchte? Habe ich spezifische Bedrohungsszenarien erkannt, vor denen ich mich absichern muss?“ Falls diese Fragen bejaht werden, sind entsprechende Maßnahmen angemessen.
Es gäbe aber ebenso Treiber externer Art, fährt Anna Mempel fort. „Wenn Kund:innen verlangen, dass ich die Sicherheit nach einem bestimmten Standard umsetze und mit sinnvollen Maßnahmen versehe, können beispielsweise die ISO 27001 oder der IT-Grundschutz helfen, dies strukturiert zu dokumentieren und auszuarbeiten.“ Zertifizierungen als Nachweis, dass ein Unternehmen ein Sicherheitskonzept nach den entsprechenden Richtlinien realisiert. „Dies lässt sich bei Bedarf auch nur für einzelne Applikationen anwenden, wenn Kund:innen beispielsweise verlangen, dass die Software bestimmte Sicherheitsstandards erfüllt. In einem solchen Fall kann die Firma diesen Nachweis gezielt für die jeweilige Software anstreben.“
„Finanzinstitute oder Unternehmen in anderen regulierten Branchen wie Versicherungen haben meist verpflichtende regulatorische Anforderungen, die sie dazu bewegen, ein Sicherheitskonzept umzusetzen. Als gängige Standards hierfür gelten der IT-Grundschutz oder die ISO 27001.“ Da Bedrohungen insbesondere aus dem Cyberraum stetig zunehmen, empfiehlt Anna Mempel die Implementierung eines IT-Sicherheitskonzepts jedoch allen Firmen, auch wenn es keine gesetzliche Verpflichtung dazu gibt.
Normen, Anforderungen und Leitfäden für Sicherheitskonzepte
Für die Implementierung eines IT-Sicherheitskonzepts bietet es sich an, auf den IT-Grundschutz des BSI zurückzugreifen. „Dieser bildet den ersten Zyklus in einem kontinuierlichen Verbesserungsprozess, ähnlich wie bei der ISO 27001. Das Vorgehen ist immer gleich, unabhängig davon, mit welchem Rahmenwerk man arbeitet. Standards sind in der Regel risikoorientiert: Man analysiert zunächst potenzielle Bedrohungen, leitet daraus Risiken ab und prüft anschließend, welche Maßnahmen sinnvoll sind.“
ISO 27001
Der 2005 von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) veröffentlichte Standard ist eine internationale Norm für das Informationssicherheitsmanagement. Dieser enthält detaillierte Rahmenbedingungen und Anleitungen zur Implementierung und kontinuierlichen Optimierung von Informationssicherheitsmanagementsystemen (ISMS). Diese sollen Unternehmen und Organisationen dabei helfen, gespeicherte Informationen besser zu schützen.
Wichtige Aspekte der Norm umfassen:
-
die Analyse relevanter Informationssicherheitsrisiken unter Berücksichtigung von Bedrohungen, Schwachstellen und deren möglichen Auswirkungen,
-
die Entwicklung und Umsetzung eines kohärenten und ganzheitlichen Maßnahmenpakets zur Risikominderung sowie
-
die Etablierung eines Managementprozesses, der die Aktualität und Genauigkeit der Sicherheitskontrollen sicherstellt.
Nach erfolgreichem Abschluss eines Audits können sich Unternehmen bei einer akkreditierten Zertifizierungsstelle zertifizieren lassen.
IT-Grundschutz
Der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet ein umfassendes Rahmenwerk zur Umsetzung eines ganzheitlichen Informationssicherheitsmanagementsystems (ISMS) in Behörden, Organisationen oder Unternehmen. Er deckt verschiedene Aspekte der Informationssicherheit ab, darunter:
-
Sicherheitsüberprüfungen und erste Maßnahmen zur Risikominimierung
-
IT-Systemmanagement mit Richtlinien für Einrichtung und Wartung
-
Netzwerksicherheit für sichere Datenübertragung
-
Zugriffskontrolle durch rollenbasierte Berechtigungen
-
Datenschutz mit Vorgaben zur Verschlüsselung und Speicherung
-
Benutzersensibilisierung durch Schulungen zu Sicherheitsrisiken
-
Einhaltung gesetzlicher Vorgaben im Bereich Datenschutz und Compliance
-
Sicherheitsüberwachung durch kontinuierliche Prüfungen
Für eine BSI-IT-Grundschutz-Zertifizierung sind interne und externe Audits erforderlich, die vom BSI anerkannten Prüfer:innen durchgeführt werden. Die Prüfungszyklen können sich abhängig von den Anforderungen unterscheiden.
IT-Sicherheitskonzept erstellen: Kontinuierlicher Prozess statt Checkliste
Ein grobes Muster für ein IT-Sicherheitskonzept könnte beispielsweise wie folgt aussehen:
-
Definition des Informationsverbundes
-
Strukturanalyse
-
Ermittlung des Schutzbedarfs
-
Berücksichtigung weiterer Vorgaben
-
Risikoanalyse und Maßnahmenkatalog
-
IT-Sicherheitscheck
-
Umgang mit Restrisiken
-
Aktualisierung und Fortschreibung
Wichtig sei, zu verstehen, dass IT-Sicherheit kein linearer Prozess ist, der irgendwann abgeschlossen ist, betont Anna Mempel.
Ich muss kontinuierlich anpassen und neu analysieren, wie sich die Bedrohungslage verändert hat, um eine stabile Sicherheitslage zu gewährleisten.
Ein häufiges Missverständnis sei, dass diese Standards mit einer Checkliste verwechselt würden, die einmal abgearbeitet wird und dann keine weitere Beachtung findet. „Stattdessen handelt es sich um ein Managementsystem – ein Konglomerat aus Prozessen, die aufeinander aufbauen, ineinandergreifen und kontinuierlich justiert werden müssen, um sicher und funktionsfähig zu bleiben“, fügt die Expertin hinzu. Dabei sei auch entscheidend, zu erkennen, dass kein IT-Konzept hundertprozentige Sicherheit bieten kann. Ziel sei es, risikobasiert vorzugehen und eine Balance zwischen höchstmöglicher Sicherheit und Wirtschaftlichkeit zu finden.
Geschäftsleitung gibt den Sicherheitston an
Entscheidet sich ein Betrieb für ein IT-Sicherheitskonzept, stellt sich die Frage nach Zuständigkeiten. Die Expertin erklärt, dass diese Rollenverteilung schwer zu verallgemeinern ist und letztlich stark von der Struktur der jeweiligen Organisation oder des Unternehmens abhängt. Teilweise gibt es zudem regulatorische Vorschriften für bestimmte Rollen, die vorhanden sein müssen.
Was sich aber immer sagen lässt: Sicherheit ist Chefsache. Meine Erfahrung zeigt, dass der Erfolg eines solchen Sicherheitskonzepts maßgeblich davon abhängt, dass die oberste Geschäftsführung wirklich dahintersteht und die Gesamtverantwortung übernimmt.
Die spezifischen Aktivitäten können an verantwortliche Mitarbeitende delegiert werden. Die Aufgabe der Geschäftsführung besteht darin, ausreichend Personal und andere Ressourcen wie Geld und Technik bereitzustellen. Außerdem obliegt es ihr, die benötigten Rollen zu definieren und festzulegen. Dazu zählen etwa Positionen wie ein:e Informationssicherheitsbeauftragte:r oder Chief Information Security Officer – es gibt hier verschiedene Titel, die Unternehmen selbst bestimmen können. Wichtig ist, dass diese Personen das nötige Know-how mitbringen, um ein Sicherheitskonzept zu entwickeln und anzuwenden. „Sobald die Geschäftsleitung den Weg frei macht, eine solche Rolle zu schaffen, ist damit die perfekte Grundlage für alles Weitere gelegt“, erläutert Anna Mempel.
TÜV NORD – Ihr Partner für berufliche Weiterbildungen
- Über 600 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.
- Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.
- Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.
Unsere Seminar-Empfehlungen für Sie
Information Security Officer – ISO (TÜV)
In diesem Seminar lernen Sie, welche Aufgaben mit der Rolle des Information Security Officer, Informationssicherheitsbeauftragten oder IT-Sicherheitsbeauftragten verbunden sind.
Die Inhalte werden in überschaubarer Runde in Form von Präsentationen, praktischen Übungen und Gruppendiskussionen interaktiv erarbeitet. Das Seminar schließt mit dem begehrten TÜV-Zertifikat ab.
Chief Information Security Officer – CISO (TÜV)
Nach dem Besuch des Seminars sind Sie in der Lage, als Chief Information Security Officer (CISO) die Informationssicherheit in größeren oder komplexeren (oft auch verteilten) Organisationen zu steuern. Sie sind befähigt, Anforderungen und Risiken bereichs- und standortübergreifend zu managen: Der Grad der Vernetzung steigt stetig an.
ISO 27001 Lead Auditor (TÜV) / Auditor (TÜV)
Das Ziel unserer Lead Auditor Ausbildung ist es, Ihnen das Rüstzeug mitzugeben, das Sie für eine erfolgreiche und zielorientierte Durchführung von First-, Second- und Third-Party-Audits nach ISO/IEC 27001 (mit ISO/IEC 27002) in Verbindung mit ISO 19011 und ISO 17021 benötigen.
Mit KI und Regulatorik Schritt halten: Informationssicherheitskonzepte zukunftssicher gestalten
Neue, innovative Technologien wie die künstliche Intelligenz bringen zahlreiche Vorteile, stellen die IT-Sicherheit in Unternehmen jedoch vor neue, große Herausforderungen.
Die neue KI-Richtlinie ist eine wichtige regulatorische Vorgabe, die auch für die Erstellung von Sicherheitskonzepten relevant ist. Sie umfasst Anforderungen an KI-Systeme, die über reine Informationssicherheitsvorgaben hinausgehen. „Es geht hier auch um Data Governance und viele andere Themen, die sich mit Informationssicherheit, Datenschutz und Datensicherheit überschneiden.“
Für Betriebe, die Produkte herstellen, sei auf europäischer Ebene zudem der Cyber Resilience Act (CRA) von Bedeutung. Dieser umfasst Vorgaben an Firmen, die Produkte mit IT- oder digitalen Aspekten in der EU herstellen oder vertreiben. „Unternehmen müssen wissen, dass diese Regulierung auf sie zukommt. Für den Marktzugang ist es unerlässlich, frühzeitig zu prüfen, welche Kriterien erfüllt und welche Anpassungen am Produkt vorgenommen werden müssen, um weiterhin konform zu bleiben.“
Diese neuen Standards können auf den ersten Blick überwältigend wirken. Anna Mempel empfiehlt jedoch, sie nicht als vollkommen neue Aspekte zu betrachten. Vielmehr lassen sie sich in bestehende Konzepte und Maßnahmen integrieren. „Es können Synergien mit dem bestehenden Sicherheitskonzept genutzt werden, um die neuen Erfordernisse bewältigbar zu machen und den Aufwand in Grenzen zu halten. In der CRA-Verordnung gibt es gerade deswegen eine Übergangsfrist, die voraussichtlich erst 2026 oder 2027 greifen wird. Das bedeutet also, dass nicht morgen schon alles bereit für die Informationssicherheit sein muss“, entwarnt Anna Mempel. Dennoch betont die Expertin, dass es nicht ratsam ist, die Vorbereitung auf kommende Anforderungen hinauszuzögern. „Man muss sich jetzt mit diesen Themen auseinandersetzen und aktiv handeln, anstatt nur zu beobachten, was auf einen zukommt. Wichtig ist, risikobasiert einzuschätzen, welche Relevanz diese Innovationen für mein Unternehmen und mein Produkt haben und welche Maßnahmen daher entscheidend sind.“
Ihre Ansprechpartnerin
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen
Tel.: +49 201 31955-42
Fax: +49 201 31955-70
mbraunschweig@tuev-nord.de