Der komplette Guide zu Ihrem IT-Sicherheitskonzept
IT-Sicherheitskonzept Muster Vorlage für KMU Firmen
1. Was ist ein IT-Sicherheitskonzept?
Ein IT Sicherheitskonzept ist eines der hilfreichsten konzeptionellen Werkzeuge, um IT Sicherheit im Unternehmen zu etablieren, zu planen und zu steuern. Es hilft ihnen mögliche Schwachstellen in ihren IT-Systemen und ihrer IT-Organisation zu erkennen. Für eine gute betriebliche IT-Sicherheit ist ein IT-Sicherheitskonzept unerlässlich. Denn nur wenn man Schwachstellen kennt, kann man diese auch schützen! Ein IT-Sicherheitskonzept ist für eine moderne IT-Sicherheit genauso wichtig, wie ein Bauplan bei einem modernen Haus.
2. Einführung
Dieser Guide vermittelt Ihnen das Grundlagen Wissen um ihr eigenes IT-Sicherheitskonzept im Unternehmen aufbauen zu können. Ziel des Guides ist es, Ihnen zu zeigen wie man ein IT-Sicherheitskonzept entwickelt.
Wir gehen dabei den Weg Ihnen Hintergründe, Wissen und Tipps für einige ausgesuchte Bereiche zu vermitteln. Am Ende eines jeden Abschnitts werden dann die wichtigsten Punkte aus dem Themenbereich aufgeführt.
Am Ende sind alle Punkte aus den Themenbereichen zu einem IT Sicherheitskonzept Muster zusammengefasst.
Wenn Sie wollen können Sie unser IT-Sicherheitskonzept Muster kostenlos downloaden und so auch offline lesen.
Sie können diesen Guide auf unterschiedliche Arten nutzen. Sie können sich eingehender mit den für ein IT Sicherheitskonzept relevanten Themen beschäftigen, oder Sie können direkt zu Teil 10 "IT-Sicherheitskonzept implementieren - So einsteigen!" springen und sich die Schlussfolgerungen und Punkte des IT Sicherheitskonzept Musters ansehen.
3. Nutzen und Ziele eines IT-Sicherheitskonzepts
Was macht das IT-Sicherheitskonzept?
Das IT-Sicherheitskonzept stellt eine Art Leitline und damit eine Struktur für Ihre IT-Sicherheit dar.
Dabei handelt es sich bei dem IT-Sicherheitskonzept um ein Konzept und keinen technischen Umsetzungsplan. Es ist im Prinzip eine Leitlinie in Sachen IT-Sicherheit. Ein IT-Sicherheitskonzept definiert klar wie und an welchen Stellen IT-Sicherheit, wie umgesetzt werden muss, um so die Sicherheit Ihres Unternehmens zu gewährleisten.
Ein IT-Sicherheitskonzept sollte dabei nicht zu technisch werden, denn es definiert nämlich nur, an welchen Stellen und wie IT Sicherheit grundsätzlich erreicht werden kann. Es darf zwar durchaus Maßnahmenvorschläge enthalten, sollte aber nicht ins Detail gehen und sich nicht zu sehr mit den technischen Umsetzungsmöglichkeiten befassen.
IT Sicherheitskonzept Beispiel:
Das IT Sicherheitskonzept könnte festhalten, dass IT Sicherheit im Bezug auf Passwörter durch eine Passwortrichtlinie ( Ratgeber zur Passwortsicherheit downloaden) und die Nutzung eines Passwort-Safe erreicht werden soll. Es definiert nicht, wie diese Richtlinie gestaltet sein muss oder welcher Passwort-Safe verwendet werden muss. Das heißt vor allem, dass das IT Sicherheitskonzept keine konkreten Implementierungen vorschreibt.
Aber und dies ist Wichtig: Es regelt die Dinge und macht Vorgaben welcher Zielzustand erreicht werden soll. Der Zielzustand wiederum muss geplant und budgetiert werden. Damit wird das IT-Sicherheitskonzept zum Management Werkzeug für die Geschäftsleitung und die verantwortlichen Personen im Unternehmen.
Die genaue Beschaffenheit eines IT-Sicherheitskonzeptes ist teilweise komplex, wenn Sie Ihr eigenes IT Sicherheitskonzept aufstellen ist wichtig, dass Sie den Kern der Sache verstanden haben:
Ihr IT-Sicherheitskonzept muss ein Bauplan, und damit die Grundlage zum Aufbau einer modernen IT-Sicherheit sein
Ziele des IT-Sicherheitskonzepts
- Ein IT-Sicherheitskonzept dient primär dem Ziel der Informationssicherheit: Entsprechende Bedrohungen und Verluste sollen frühzeitig erkannt und den negativen Folgen entgegengewirkt werden. Es ist damit das Fundament für einen sicheren IT-Betrieb.
- Nicht zuletzt soll es ebenso Vertrauen bei Kunden, Mitarbeitern und Lieferanten schaffen.
Als Basis eines Sicherheitskonzepts in der IT werden von Unternehmen häufig entweder die international geltende Normen wie ISO 27001 oder nationale Normen wie der vom Bundesamt für Informationssicherheit (BSI) herausgegebene IT-Grundschutz, die VDS 3473 oder der ITQ 2013 Standard gewählt, wobei eine eine Kombination aus mehreren Normen vorteilhaft sein kann. Doch dies ist ein Thema für sich.
Hieraus nehmen wir für unsere IT-Sicherheitskonzept Vorlage mit:
- Das IT-Sicherheitskonzept legt fest wie und an welchen Stellen IT-Sicherheit umgesetzt werden muss
- Ein IT-Sicherheitskonzept ist keine technische Vorgabe
- Das IT-Sicherheitskonzept schafft die Grundlage für Planung und Budget - ist also quasi ein Management Werkzeug
4. Effektiver Schutz vor Hackerangriffen - So wird es gemacht
Um eine moderne und effektive IT-Sicherheit auf technischer Ebene aufzubauen braucht es nur 2 Maßnahmen:
1. IT-Sicherheitskonzept
Jedes Unternehmen braucht ein IT-Sicherheitskonzept egal ob Konzern oder KMU!
Die Hürden für einen Cyberangriff müssen für Hacker hoch gelegt werden, damit das Unternehmen kein einfaches Opfer wird. Denn wenn der Aufwand für den Hacker zu groß wird zieht er weiter und sucht sich ein "einfacheres" Opfer für seine kriminellen Machenschaften. Das IT-Sicherheitskonzept unterstützt das Schließen von Schwachstellen in dem es diese dem Management und den IT Administratoren aufzeigt wo Handlungsbedarf besteht.
Nur wenn möglichst alle Schwachstellen im Netzwerk geschlossen sind kann man von einen gut gesicherten Netzwerk sprechen, was dann beim Angreifer den Aufwand nach oben treibt. Dadurch, dass ich den Hacker zu mehr Aufwand nötige, sinkt die Wahrscheinlichkeit eines Angriffs auf das Unternehmen.
Den ROI (Return of Invest) von IT-Sicherheits Maßnahmen kann man selbst heute noch nicht berechnen. Im besten Fall vermeiden Ihre IT-Sicherheits-Investitionen einen Schaden von dem Sie nie was bemerken werden. Zahlen, Daten, Fakten orientierte Entscheider werden hier ganz schnell an Ihre Grenzen kommen. Das muss klar und deutlich gesagt werden!
2. Security Operations Center (SOC)
Die zweite Maßnahme ist die, dass jedes Unternehmen ein Security Operation Center (SOC) Services einsetzen sollte. Wenn es ein Angreifer schafft das IT-Sicherheitskonzept zu überwinden (trotz aller Anstrengungen und Investitionen) braucht das Unternehmen eine letzte Schutzbarriere um den Angriff zu entdecken und zu eliminieren. Verhindern kann man schwerwiegende Hackerangriffe bzw. Erpressungen nur, indem man die Hacker rechtzeitig entdeckt und den Angriff so früh wie möglich stoppt.
Es ist ein weit verbreiteter Irrglaube, dass sobald ein Hacker Zugang zum Unternehmensnetzwerk erlangt hat, er gleich alles verschlüsselt und die Erpressung startet.
Der Hacker braucht meistens Wochen oder Monate, um sich weitere Zugriffsrechte und einen Überblick zu verschaffen. Dabei ist es seine oberste Devise nicht aufzufallen und nicht entdeckt zu werden.
Und genau hier kommt das SOC ins Spiel. SOC Services, wie die MDR Services von Sophos in Verbindung mit einer XDR Technologie entdecken die Aktivitäten des Hackers frühzeitig. Das liegt daran, dass er zwangsweise Verkehrsverbindungen und Aktivitäten wie z.B. Malware Downloads veranlassen muss, um seinen Angriff weiter voranzubringen bzw. diesen zu entwickeln. Diese Aktivitäten kann dann von der XDR Technologie erfasst und über KI & Deep Learning Technologie ausgewertet werden. Die Chance, dass der Hacker dabei entdeckt wird liegt bei nahezu 100%.
Wenn solche verdächtigen Aktivitäten von künstlichen Intelligenz (Deep Learning) entdeckt werden, geht sofort ein Hinweis an die Forensiker des SOC Teams, welche dann weitere Untersuchungen anstellen und den Angriff analysieren und bewerten.
Ggf. werden auch die Aktivitäten eine Zeitlang beobachtet, um Beweismaterial für die Strafverfolgungsbehörden zu sichern. Meistens entscheidet aber der Kunde den Angriff sofort zu stoppen. Dann eliminiert das SOC Team den Angriff in durchschnittlich 30 Minuten, indem es die Verbindungen ins Darknet kappt und anschließend den Schadcode aus dem Netzwerk entfernt.
Einige Leser werden sich jetzt fragen was so ein SOC Services kostet?
Das ist unterschiedlich, weil es verschiedene Preismodelle und Leistungsangebote auf dem Markt gibt. Als Sophos Partner kennen wir die MDR Services von Sophos und diese beginnen bei rund 8 EUR für einen User und rund 17 EUR für einen Server pro Monat. Dafür erhält man aber einen 24/7 Service der eine Erpressung in jedem Fall verhindert und den Angriff beseitigt.
Man kann sich also durchaus wirksam vor Hackern schützen wenn man dafür sorgt, dass ein IT-Sicherheitskonzept konsequent eingeführt und im Unternehmen umgesetzt wird! Zusätzlich sollte SOC Service wie z.B. die MDR Services von Sophos als letzte Verteidigungslinie einsetzt werden. Dann kann man wieder ruhig schlafen, denn das SOC schläft nie!
Hieraus nehmen wir für unser IT-Sicherheitskonzept Muster mit:
- Das IT-Sicherheitskonzept stellt sicher, dass Schwachstellen und Handlungsbedarf transparent wird.
- Letzte Schutzbarriere gegen Hacker implementieren: 24/7 Security Operations Center (SOC) Services einsetzen
5. Ziele von Hackern beachten
Um ein gutes IT-Sicherheitskonzept aufzustellen, brauchen Sie das Know How, was Hacker zu erreichen versuchen. Erst dann können Sie entsprechende Vorkehrungen planen um eben Dies zu verhindern. Die Ziele von Hackern lassen sich dabei in 5 Kategorien unterteilen:
- Datendiebstahl
- Datenmissbrauch
- Datenmanipulation
- Kontrollübernahme
- und Denial-of-Service Attacken
Das Hauptziel von Hackern sind, wie Sie sehen Ihre Daten. Diese spielen bei 3 der 5 Ziele von Hackern eine wesentliche Rolle. Schauen wir uns diese 5 Ziele von Hackern einmal genauer an:
Datendiebstahl:
Ich brauche nicht extra zu erwähnen, welcher Schaden einem Unternehmen entsteht, wenn dessen Daten in die falschen Hände gelangen. Geheime Produktionspläne, Rezepturen oder andere essentielle Daten, auf denen der Erfolg eines Betriebes beruht, haben natürlich direkte Schäden zur Folge, wenn sie veröffentlicht werden bzw. der Konkurrenz zugänglich werden. Doch seit der Datenschutz-Grundverordnung stellen Kunden- oder Mitarbeiterdaten Ihres Unternehmens eine ebenso große wenn nicht gar größere Bedrohung dar. Denn wenn Sie es versäumt haben, diese personenbezogenen Daten ordnungsgemäß zu schützen, drohen neben Reputationsverlust oder Kundenverlust auch noch die erheblichen Bußgelder im Rahmen der Datenschutz-Grundverordnung. Ein Cyberkrimineller kann also mit einem geschickt durchgeführten Datendiebstahl ein gutes Geschäft machen, indem er Sie erpresst oder Ihre Daten eventuell verkauft.
Datenmissbrauch:
Im Grunde genommen geht Datenmissbrauch oft Hand in Hand mit einem Datendiebstahl. Datenmissbrauch beschreibt zunächst einmal nur die Zweckentfremdung der Daten. In der Regel geht dem jedoch ein Datendiebstahl oder eine Täuschung voraus. Das beste Beispiel hierfür ist ein Angriff per Phishing-Mail mit dem Ziel, einen unvorsichtigen Nutzer auf eine gefälschte Webseite zu locken, auf der er zum Beispiel seine Online-Banking Daten eingibt. Ist der Datendiebstahl gelungen, kann der Cyberkriminelle dann diese Daten missbrauchen, um sich Zugang zu Bankkonten oder oft auch Konten von Onlineshops verschaffen und diese für seine Zwecke missbrauchen. Oft werden diese Daten auch im Darknet zum Kauf angeboten.
Datenmanipulation:
Die wohl gefährlichste und verheerendste Art Ihren Daten zu schaden! Denn anders als beim Datendiebstahl und Datenmissbrauch geht bei einer Datenmanipulation die Integrität Ihrer gesamten Daten verloren. In anderen Worten: Sie können Ihren eigenen Daten nicht mehr trauen! Ein Beispiel: eine winzige Änderung an Ihren Forschungsdaten kann, wenn Sie überhaupt entdeckt wird, enorme Kosten verursachen, weil die Daten nun praktisch nutzlos sind. Ganz abgesehen von den Folgen, die entstehen, wenn mit manipulierten Daten eine Produktionsserie gestartet wird. Ausschuss und geschädigte Kunden können ein Unternehmen an den Rand der Existenz bringen. In der Regel kann niemand wissen, welche Daten genau manipuliert wurden und welche noch brauchbar sind. Sollten es Forschungs- und Entwicklungsdaten sein, kann damit die Arbeit der F&E Abteilung der letzten Jahre vernichtet werden. Auch diese Methode können Cyberkriminelle einsetzen, um ein Unternehmen zu erpressen. Man will es zwar nicht hoffen, aber es ist auch denkbar, dass Cyberkriminelle im Auftrag fremder Mächte handeln und durch Datenmanipulation Konkurrenzschädigung betreiben sollen. (Man könnte das auch mit Wirtschaftsförderung im eigenen Interesse nett umschreiben).
Kontrollübernahme:
Wenn Cyberkriminelle es schaffen sich Zugang zu Ihrem Netzwerk bzw. zu Ihren Geräten zu verschaffen, können sie diese für Ihre eigenen Zwecke missbrauchen. Ein gutes Beispiel hierfür ist Stromdiebstahl oder Cryptojacking. Beim Cryptojacking werden auf Ihre Kosten Kryptowährungen geschürft, was sich bei den enorm aufwändigen Berechnungen schnell bei den Stromkosten bemerkbar macht. Oder der Angreifer verkauft z.B. Ihren PC an einen anderen Cyberkriminellen der dann mit dem „gemieteten Botnetz“ ein Angriff ausführen kann.
Auch das Verschlüsseln der Daten durch eine Ransomware mit anschließender Lösegelderpressung fällt in diese Kategorie, weil ein Fremder die Macht über Ihre Daten übernommen hat und er bestimmt ob Sie diese noch bearbeiten dürfen bzw. dieser die Veröffentlichung Ihrer Daten im Darknet vornimmt.
Denial-of-Service (DoS) Attacken:
Denial-of-Service beschreibt eine Angriffstechnik, bei der das Ziel ist, ein System oder einen Dienst so zu attackieren, dass die Verfügbarkeit leidet bzw. das System komplett ausfällt. Beispielsweise können so Unternehmenswebseiten angegriffen werden, die dann nicht mehr verfügbar sind oder im Falle eines Onlineshops in kurzer Zeit erhebliche Umsatzeinbußen zur Folge haben. Der daraus resultierende Reputationsverlust bzw. die Verärgerung der Kunden oder Lieferanten kommt dann noch erschwerend hinzu.
Jetzt verstehen Sie die 5 Hauptangriffsziele von Hackern und was diese damit zu erreichen versuchen. Die Ziele werden in dem Musterkonzept unten wieder aufgegriffen und es wird erläutert, wie Sie diese in Ihr Sicherheitskonzept miteinbinden können.
Hieraus nehmen wir für unsere IT-Sicherheitskonzept Vorlage mit:
- Datendiebstahlsbarrieren durch Rechte-Rollenkonzepte einrichten
- Überwachung von etwaiger Datenmanipulation entdecken und verhindern können
- Sicherstellen der Datenintegrität durch geeignete Maßnahmen
- Stromdiebstahl und Cryptojacking: Monitoren Sie Unregelmäßigkeiten in der Performance Ihrer Systeme
- Website und Shop vor Denial of Service Attacken mit Firewalls & Loadbalancer schützen
6. Schutzziele der Informationssicherheit einbinden
Es ist wichtig, dass Sie bei dem erstellen Ihres IT-Sicherheitskonzepts die Schutzziele der IT im Kopf behalten. Diese müssen bei Ihrem Sicherheitskonzept eingebunden und erfüllt werden. Nur so können Sie eine gute IT-Security gewährleisten.
Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können.
Vertraulichkeit
Unter Vertraulichkeit versteht man, dass Daten nur von den Personen eingesehen oder offengelegt werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!
Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden. Zu den verschiedenen Verschlüsselungsverfahren erfahren Sie hier mehr.
Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!
Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z.B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!
Integrität
Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also um das Erkennen von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt. Oft wird mit Integrität (man spricht dann von starker Integrität) sogar gefordert, dass Daten überhaupt nicht unberechtigt verändert werden können. Da sich dies aber selten sinnvoll umsetzen lässt, empfehle ich die erste Definition.
Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.
Verfügbarkeit
Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!
Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.
Hieraus nehmen wir für unser IT-Sicherheitskonzept Muster mit:
- Wer darf welche Daten wie öffnen, einsehen und bearbeiten?
- Wie werden die Daten bei Übertragung verschlüsselt? Ist unser Verschlüsselungsverfahren Up-to-date und sicher?
- Sind unsere Server die vertrauliche Daten enthalten entsprechend gesichert?
- Wie verfolge ich was für Dateien wann von wem bearbeitet oder geändert wurden (Integrität?)
7. IT-Risikoanalyse Checkliste für Ihr Sicherheitskonzept
Unter der Risikoanalyse oder auch Risikobewertung im Rahmen des IT Sicherheitskonzeptes versteht man die Einschätzung des Risikos, das einzelne Bereiche bergen. Das bedeutet, dass zu jedem Punkt bzw. Bereich im IT Sicherheitskonzept ermittelt werden sollte, welches Risiko ein Unternehmen eingeht, wenn dieser Punkt nicht abgearbeitet und damit die potenzielle Schwachstelle nicht geschlossen ist. Im Grunde bietet die Risikobewertung also zusätzliche Informationen zu jedem Punkt im IT Sicherheitskonzept, die helfen sollen bessere Entscheidungen zu treffen.
IT Risikoanalyse selbst erstellen
Es gibt mehrere Gründe, die dafür sprechen das IT Sicherheitskonzept um eine Risikoanalyse zu erweitern:
- Man kann die größten Schwachstellen identifizieren und zeitnah schließen. Wenn alle Punkte im IT Sicherheitskonzept mit „gleichem Risiko“ bewertet würden, lässt sich nur schwer feststellen, wo die größten Schwachstellen sind. So kann es beispielsweise sein, dass in einem Bereich einige Punkte nicht erfüllt sind, diese aber an sich nur ein geringes Risiko bergen, weil das jeweilige Bedrohungsszenario nur selten eintritt. Trotzdem sollten mit der Zeit natürlich auch solche Schwachstellen geschlossen werden, zunächst kann der Punkt aber zurückgestellt werden. Man bearbeitet im IT-Sicherheitskonzept immer die Schwachstellen mit dem größten Risiko zuerst.
- Man kann Prioritäten setzen. Aus Punkt 1 ergibt sich natürlich auch, dass man bewerten kann, welche Maßnahmen zurzeit die höchste Priorität haben. Punkte mit geringem Risiko können im Zweifel vorerst zurückgestellt werden, während Punkte mit hohem Risiko möglichst zeitnah abgearbeitet werden sollten. Indem Sie so die für den Moment wichtigsten Maßnahmen auswählen, können Sie schnell größere Schwachstellen schließen.
- In Kombination mit dem Risikolevel welches man in Punkten oder Zählern ausdrücken kann, ist es möglich das Gesamtrisiko für das Unternehmen zu ermitteln bzw. sichtbar zu machen. Macht man das regelmäßig lässt sich erkennen ob die Risiken abnehmen oder zulegen.
So gestalten Sie eine gute Risikoanalyse in der IT-Sicherheit
Wie genau können Sie die Risikobewertung für einzelne Punkte im IT Sicherheitskonzept angehen? Grundsätzlich gibt es zwei wichtige Faktoren, die das Risiko bestimmen. Diese sind die Eintrittswahrscheinlichkeit und der Schaden.
Um die Eintrittswahrscheinlichkeit abschätzen zu können, nimmt man hier am besten die Häufigkeit des entsprechenden Ereignisses. Es geht nicht darum eine Eintrittswahrscheinlichkeit von z.B. genau 16% zu ermitteln. Vielmehr sollten Sie versuchen abzuschätzen, wie oft an einer bestimmten Stelle ein Schadensfall eintritt. Eine mögliche Skala wäre zwischen selten (höchstens alle 5 Jahre), mittel (einmal im Jahr bis einmal alle 5 Jahre), häufig (rund einmal pro Monat) und sehr häufig (mehrmals im Monat) zu unterscheiden.
Um den Schaden abzuschätzen sollten Sie ermitteln, wie gut oder schlecht Ihr Unternehmen mit dem Schaden umgehen kann. Eine mögliche Skala wäre: vernachlässigbar (der Schaden ist sehr gering und kann vernachlässigt werden), begrenzt (geringer Schaden), beträchtlich (der Schaden ist durchaus Ernst zunehmen) und existenzbedrohend (Ihr Unternehmen gerät in ernsthafte Gefahr z.B., weil die Produktion länger stillstehen würde).
Zusammengenommen zeigen Ihnen die beiden Faktoren dann, welches Risiko an einer bestimmten Stelle besteht. Die Risikobewertung kann gerade am Anfang und für Unternehmen mit wenig Erfahrung in Sachen IT Sicherheit herausfordernd sein, lohnt sich aber auf jeden Fall. Schließlich machen Sie Ihr IT Sicherheitskonzept damit wesentlich aussagekräftiger und können gezielt an Ihrer IT Sicherheit arbeiten ohne unnötig Ressourcen zu verschwenden
Hieraus nehmen wir für unsere IT-Sicherheitskonzept Vorlage mit:
- Bewerten Sie Eintrittswahrscheinlichkeit nach Kategorie
- Selten (höchstens alle 5 Jahre)
- Mittel (einmal im Jahr bis einmal alle 5 Jahre)
- Häufig (rund einmal pro Monat)
- Sehr häufig (mehrmals im Monat) - Bewerten Sie die mögliche Schadenshöhe nach Kategorie
- Vernachlässigbar (der Schaden ist sehr gering und kann vernachlässigt werden)
- Begrenzt (geringer Schaden)
- Beträchtlich (der Schaden ist durchaus Ernst zunehmen)
- Existenzbedrohend (Ihr Unternehmen gerät in ernsthafte Gefahr) - Ermitteln Sie Ihr aktuelles Risikolevel und managen Sie dieses proaktiv
8. IT-Sicherheit und die DSGVO im Schnelldurchlauf
Die DSGVO ist ein wesentlicher Treiber für ein IT-Sicherheitskonzept weshalb wir in das Thema Datenschutz hier kurz einsteigen müssen.
Auch wenn es Vielen auf den ersten Blick nicht klar ist, bedeutet die DSGVO für Ihr Unternehmen, dass Sie sich mit dem Thema Informationssicherheit auseinandersetzen müssen. Denn die Datenschutzgrundverordnung macht mit ihren Vorgaben zum Datenschutz gleichzeitig auch indirekt Vorgaben zur IT Sicherheit. Dies hängt damit zusammen, dass der gesetzliche Datenschutz sich ohne eine vernünftige IT Sicherheit kaum umsetzen lässt. Folglich muss ein Unternehmen, wenn es DSGVO-Konformität erreichen möchte, auch seine IT Sicherheit in den Griff bekommen!
Ein IT-Sicherheitskonzept ist ein guter Weg um Ihre Informationssicherheit und zu gewährleisten und so zu Ihrer DSGVO-Konformität beizutragen.
Warum die DSGVO nicht ohne IT Sicherheit umzusetzen ist
- diese Gesetzestexte sind für das IT-Sicherheitskonzept relevant
Von Artikel 24 der DSGVO sollten Sie wissen, dass Sie verpflichtet sind, technische und organisatorische Maßnahmen zum Datenschutz zu ergreifen. Zudem kann die Aufsichtsbehörde einen Nachweis dieser Maßnahmen fordern. Folglich führt eigentlich kein Weg an einem Datenschutzkonzept vorbei!
Ferner ist laut Artikel 32 (Thema Datensicherheit) die Auswahl der Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung zu treffen. Weiterhin sind Eintrittswahrscheinlichkeit und Risikoschwere zu beachten.
Viele werden sagen, dass es in der Datenschutzgrundverordnung doch um Datenschutz und nicht um IT Sicherheit geht. Allerdings ist den Wenigsten bewusst, dass sich manche Vorgaben der Datenschutzgrundverordnung nicht ohne eine gute IT Sicherheit erfüllen lassen. Denn oftmals bildet IT Sicherheit die Basis für die Umsetzung von Datenschutzmaßnahmen.
Was steht denn nun in Artikel 24?
Sie werden verpflichtet, technische und organisatorische Maßnahmen zum Datenschutz zu ergreifen. So weit so gut. Doch wenn Sie etwas genauer darüber nachdenken, heißt dies nichts anderes, als dass Sie Ihre IT und damit Ihre IT Sicherheit in den Griff bekommen müssen. Denn ohne IT Sicherheit können Sie den Datenschutz in der Regel nicht gewährleisten. Immerhin müssen Daten in Ihrem Unternehmen bzw. in Ihrem Netzwerk irgendwie geschützt werden.
Das heißt, es muss beispielsweise dafür gesorgt werden, dass File-Server oder Applikationen mit entsprechend sicheren Passwörtern und einem Rechte-Rolle-Management geschützt sind. Und das sind nun mal Aufgabenbereiche der IT Sicherheit! Somit sind dies Punkte, die Sie in ihrem IT-Sicherheitskonzept beachten sollten!
Verschlüsselung Ihrer Daten
Wenn Sie die Vorgaben der Datenschutzgrundverordnung einhalten möchten, führt z.B. auch kein Weg an Verschlüsselung vorbei! Zu den bereits erwähnten technischen und organisatorischen Maßnahmen zum Datenschutz gehört nämlich auch, dass Sie Daten nur noch verschlüsselt übertragen. In Art. 32 der DSGVO steht sogar wortwörtlich:
Diese Maßnahmen schließen unter anderem Folgendes ein:
1. Pseudonymisierung vor der Weitergabe
2. Verschlüsselung personenbezogener Daten
Folglich müssen Sie unter anderem dafür sorgen, dass Ihr E-Mail-Verkehr verschlüsselt wird. Dies ist ein Punkt den Sie somit bei Ihrem IT-Sicherheitskonzept unbedingt beachten sollten.
Datensicherheit in Art. 32 der DSGVO
Nun noch ein paar Worte zu den Maßnahmen zur Datensicherheit. Konzentrieren wir uns einmal auf diesen Teil des Art. 32 der DSGVO: „Eintrittswahrscheinlichkeit“ und „Schwere des Risikos“. Demnach müssen Sie für Ihr Unternehmen eine Risikobewertung erstellen. Wir haben dies im Kapitel zuvor schon behandelt. Leider erfordert dies Zeit und ein gewisses Maß an Expertise über die nicht jeder gerade so verfügt.
Abhilfe kann hier ein IT Sicherheitscheck, der die IT Sicherheit in Ihrem Unternehmen analysiert liefern. Üblicherweise liefert der Check gleich automatisch eine Risikobewertung mit. Somit erhalten Sie einen Überblick über den Zustand Ihrer IT Sicherheit und haben gleichzeitig ein Ergebnis, das bei der Umsetzung von Artikel 32 hilfreich ist!
Hieraus nehmen wir für unser IT-Sicherheitskonzept Muster mit:
- Serverzugriffe und Applikationen mit sicheren Passwörtern, Rollen und Rechte Management schützen
- Daten nur noch verschlüsselt übertragen! → unter anderem Verschlüsselung E-Mail Verkehr
- Risikobewertung erstellen um Art.32 der DSGVO zu erfüllen (siehe Abschnitt zu DSGVO)
9. Unterschied zwischen Datenschutzkonzept und IT-Sicherheitskonzept
Die Frage nach dem Unterschied zwischen einem Datenschutzkonzept und einem IT-Sicherheitskonzept kommt häufig auf. Denn oftmals werden die Begriffe und ihre Bedeutungen im Eifer des Gefechts vertauscht oder aufgrund von Unwissenheit falsch verwendet. Deswegen wollen wir den Unterschied an dieser Stelle erklären.
Was ist ein Datenschutzkonzept?
Ein Datenschutzkonzept dient als Grundlage von datenschutzrechtlichen Prüfungen und unterstützt das Unternehmen, den Rechenschaftspflichten der europäischen Datenschutz-Grundverordnung (DSGVO) entsprechend der Aufsichtsbehörden, gerecht zu werden.
Wofür brauche ich ein Datenschutzkonzept?
Das Konzept fasst alle datenschutzrechtlichen Faktoren, im Unternehmen, in einem Dokument zusammen. Dabei bringt das Konzept eine datenschutzrechtliche Beurteilung mit sich, die notwendige Informationen zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschreibt. Diese Inhalte werden dokumentiert und bestehen aus den Zielen, der Verantwortlichkeit und den Dokumentationspflichten.
Was ist der Unterschied der beiden Konzepte?
Kurz gesagt, bei einem IT-Sicherheitskonzept werden die Sicherheitsmaßnahmen beschrieben, die von einem Unternehmen und dessen Mitarbeiter etabliert und befolgt werden müssen um eine moderne IT-Sicherheit zu erreichen.
Das Datenschutzkonzept hingegen beschäftigt sich mit dem Schutz von personenbezogenen Daten und der Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO).
Hieraus nehmen wir für unsere IT-Sicherheitskonzept Vorlage mit:
- Datenschutzthemen werden ausschließlich im Datenschutzkonzept behandelt
10. IT-Sicherheitskonzept implementieren - So einsteigen!
Das Aufstellen eines IT- Sicherheitskonzept setzt sich folgendermaßen zusammen:
10.1 Mit einem IT-Sicherheitscheck den Status Quo ermitteln
Zunächst wird dabei der Status quo der aktuellen Situation bewertet.
Mit anderen Worten: Es muss allen voran eine Bestandsanalyse vorgenommen werden. Es muss demnach zum Beispiel geklärt werden, wie wirkungsvoll Ihre bereits getroffenen Schutzvorkehrungen hinsichtlich der IT Sicherheit tatsächlich sind. Je besser ihre bisherigen Schutzvorkehrungen sind, desto weniger Arbeit werden Sie mit Ihrem Sicherheitskonzept haben.
Bei dem ermitteln Ihres Status Quo sollten Sie möglichst gründlich Vorgehen, da Sie auf diese Erkenntnisse mit Ihrem IT-Sicherheitskonzept aufbauen. Eine lückenhafte Basis taugt nicht für eine Roadmap zu mehr IT-Sicherheit. Wenn Sie nicht über ausreichend Zeit, Geduld und Nerven für den ersten Schritt verfügen lassen Sie es lieber sein und investieren Sie die Zeit in andere Maßnahmen.
Das ist leider die Essenz aus vielen Jahren Erfahrung.
Anmerkung: BRANDMAUER IT verfügt in Sachen Bestandsanalyse über mehrere erprobte Methoden und Werkzeuge. Sprechen Sie uns an - wir helfen Ihnen gerne weiter.
10.2 IT Sicherheitskonzept Muster
Da Informationssicherheit und ein IT-Sicherheitskonzept ein komplexes Thema sind, soll Ihnen unser Ratgeber IT-Sicherheitskonzept Mustervorlage Orientierung bieten wie Ihr Konzept in etwa zukünftig aussehen könnte. Auch haben wir Bereiche ausgewählt um Ihnen Inspiration zu geben, die sie mit Ihrem Konzept auf jeden Fall beachten und abdecken sollten. Man versteht diese Sachverhalte einfach besser wenn man sich an einem Beispiele entlang arbeiten kann.
Sie können gerne unseren kostenlosen und 20 Prüfpunkte umfassenden Ratgeber downloaden. Als PDF steht er Ihnen auch offline jederzeit zur Verfügung.
Zusammenfassung der Punkte für das IT-Sicherheitskonzept Muster
Grundsätzliches:
- Das IT-Sicherheitskonzept legt fest wie und an welchen Stellen IT-Sicherheit umgesetzt werden muss
- Ein IT-Sicherheitskonzept ist keine technische Vorgabe
- Das IT-Sicherheitskonzept schafft die Grundlage für Planung und Budget - ist also quasi ein Management Werkzeug
- Das IT-Sicherheitskonzept stellt sicher, dass Schwachstellen und Handlungsbedarf transparent wird.
- Datenschutzthemen werden ausschließlich im Datenschutzkonzept behandelt
Daten vor Hackern schützen:
- Letzte Schutzbarriere gegen Hacker implementieren: 24/7 Security Operations Center (SOC) Services einsetzen
- Datendiebstahlsbarrieren durch Rechte-Rollenkonzepte einrichten
- Überwachung von etwaiger Datenmanipulation entdecken und verhindern können
- Sicherstellen der Datenintegrität durch geeignete Maßnahmen
Schutzziele der Informationssicherheit einbinden:
- Wie verfolge ich was für Dateien wann von wem bearbeitet oder geändert wurden (Integrität?)
- Wer darf welche Daten wie öffnen, einsehen und bearbeiten?
- Wie werden die Daten bei Übertragung verschlüsselt? Ist unser Verschlüsselungsverfahren Up-to-date und sicher?
- Sind unsere Server die vertrauliche Daten enthalten entsprechend gesichert?
- Serverzugriffe mit sicheren Passwörtern, Rollen und Rechte Management schützen
- Daten nur noch verschlüsselt übertragen! → unter anderem Verschlüsselung E-Mail Verkehr
IT Risikobewertung machen:
- Risikobewertung erstellen um Art.32 der DSGVO zu erfüllen (siehe Abschnitt zu DSGVO)
- Bewerten Sie Eintrittswahrscheinlichkeit nach Kategorie
- Selten (höchstens alle 5 Jahre)
- Mittel (einmal im Jahr bis einmal alle 5 Jahre)
- Häufig (rund einmal pro Monat)
- Sehr häufig (mehrmals im Monat) - Bewerten Sie die mögliche Schadenshöhe nach Kategorie
- Vernachlässigbar (der Schaden ist sehr gering und kann vernachlässigt werden)
- Begrenzt (geringer Schaden)
- Beträchtlich (der Schaden ist durchaus Ernst zunehmen)
- Existenzbedrohend (Ihr Unternehmen gerät in ernsthafte Gefahr) - Ermitteln Sie Ihr aktuelles Risikolevel und managen Sie dieses proaktiv
Oft vergessene Schutzziele der Informationssicherheit:
- Stromdiebstahl und Cryptojacking: Monitoren Sie Unregelmäßigkeiten in der Performance Ihrer Systeme
- Website und Shop vor Denial of Service Attacken mit Firewalls & Loadbalancer schützen
Andere Bereiche, die Sie mit Ihrem IT-Sicherheitskonzept abdecken sollten:
- Regeln für Mitarbeiter im Arbeitsalltag aufstellen: welche zur Sicherheit der IT beitragen. Zum Beispiel, wie man sich bei einem Virusfund verhält oder dass man beim Verlassen des Arbeitsplatzes den Bildschirm immer zu sperren hat (Windows Taste + L ist hier als schnelle Tastenkombination und gute Angewohnheit zu empfehlen!)
- Mitarbeiter schulen, um Verständnis für die aufgestellten Regeln sicherzustellen. Denn die Erfahrung zeigt: Mitarbeiter verhalten sich häufig falsch, weil sie die entsprechenden Regeln nicht verstanden haben.
Hinweis zum Schluss: Wie eingangs erwähnt ist die Liste der zu beachtenden Punkte nicht vollständig weil das den Rahmen der Seite sprengen würde.
Das war auch nicht unser erklärtes Ziel mit dieser Seite. Vielmehr ging es uns darum zu vermitteln wie man ein IT-Sicherheitskonzept aufbaut in dem man verschiedene Prüfbereichen Aufmerksamkeit schenkt bzw. bearbeitet. Wir hoffen es ist uns gelungen - viel Spaß mit der Umsetzung!
10.3 Qualitative Fragestellungen beantworten ("IT-Security-Brainstorming")
Diese qualitativen Fragestellungen sind von Unternehmen zu Unternehmen unterschiedlich und hängen teils von Ihrer Branche und den von Ihnen gewählten Arbeitsmitteln und Infrastrukturen ab. Wir führen hier die Fragen auf, die unserer langjährigen Erfahrung nach in den meisten Fällen zutreffen. Sie sollten sich aber auch noch selbst Gedanken machen oder mit Ihrem IT-Security Dienstleiter absprechen.
Nun nehmen Sie Ihre zuvor erstellte Bestandsanalyse und spiegeln den Status Quo gegen die folgenden Beispiel Fragen:
- Haben wir im Unternehmen in der Vergangenheit bereits ein IT-Sicherheitskonzept erarbeitet, auf das wir nun zurückgreifen können?
- Was genau wollen bzw. müssen wir im Rahmen unseres IT-Sicherheitskonzepts eigentlich schützen?
- Welche Bedrohungen und potenziellen Risiken gibt es?
- Wie hoch ist die Eintrittswahrscheinlichkeit für die verschiedenen Szenarien?
- Welche Auswirkungen hätte es auf mein Unternehmen, wenn die Risiken wirklich Realität werden?
- Welche Maßnahmen muss ich ergreifen, um die Eintrittswahrscheinlichkeit und die Höhe des Schadens zu minimieren?
- Muss ich bestimmte Bereiche mehr sichern als andere?
- Sind diese Maßnahmen wirklich geeignet, das Schutzniveau zu erhöhen?
- Habe ich alle Maßnahmen der Vergangenheit auch korrekt umgesetzt?
- Sind mir alle Schwachstellen im Unternehmen bekannt?
- Habe ich im Schadensfall genügend finanzielle Ressourcen, um die Notlage zu bewerkstelligen?
Aus diesen Fragen ergibt sich – das wird Sie sicherlich nicht verwundern – nicht selten Handlungsbedarf, der von Unternehmen zu Unternehmen unterschiedlich ist. Für umfängliche Sicherheit ist es deswegen umso wichtiger, geeignete Maßnahmen in einem Realisierungsplan als wichtiger Bestandteil des IT-Sicherheitskonzeptes zusammenzufassen.
11. IT Sicherheitskonzept erstellen lassen oder selbst erstellen
Jetzt können Sie sich unseren IT-Sicherheitskonzept Ratgeber herunterladen in welchem zusätzliche Bereiche in der IT-Sicherheitskonzept Mustervorlage enthalten sind und für Sie herunter gebrochen werden.
Mit dem Wissen aus unserem Online Guide, und unserer Unterstützung können Sie ein IT Sicherheitskonzept für Ihre individuelle Situation erstellen. Viele Unternehmen brauchen eine Unterstützung da Sie damit alleine mit der Herausforderung überfordert sind. Wir haben das bereits mehr als 100 mal gemacht, und wissen wovon wir sprechen!
Gerne können Sie sich auch mit uns in Verbindung setzen. Wir haben Jahrelange Erfahrung sowohl in der praktischen Umsetzung von IT-Sicherheitskonzepten als auch der theoretischen Entwicklung und Anpassung auf Unternehmen. Wir erstellen für Sie ein optimal auf Ihr Unternehmen angepasstes IT Sicherheitskonzept.
Viel Erfolg!