Zukunftssicheres IT-Sicherheitskonzept: Was Unternehmen wissen sollten

IT-Sicherheitskonzept – das klingt erst einmal nach viel Aufwand und enormen Umstellungen. Gleichzeitig ist klar: Um sich zukunftssicher aufzustellen, muss ein Unternehmen heute ein Auge auf die eigene IT-Sicherheit haben – und das unabhängig von seiner Größe oder Branche.

Denn dass die Bedrohungen vielfältiger und Cyberkriminelle immer versierter werden und dass die Angriffsfläche durch Remote Work, Netzwerk und Cloud wächst, ist kein Geheimnis – immer wieder sehen wir in den Medien Meldungen über Angriffe, Leaks und Datendiebstahl.

Die Folgen eines solchen Vorfalls sind mehrschichtig: Zum einen geht es natürlich um finanzielle Verluste und Aufwände, gerade in Erpressungsfällen, aber auch wenn wegen lahmgelegter Systeme Umsätze wegfallen. Zum anderen kann ein solches Ereignis auch zu einem massiven Vertrauensverlust bei Kund:innen führen – und natürlich zu Reputationsverlust.

Ohne Cybersecurity geht es also nicht. Aber: Isolierte Maßnahmen und halbherzige Vorsätze wie „Wir müssen unsere Systeme und Daten besser schützen“ sind nun einmal nicht ausreichend. Für langfristigen Schutz kommt ein Unternehmen um ein IT-Sicherheitskonzept daher nicht herum.

Ein IT-Sicherheitskonzept regelt die Informationssicherheit im Unternehmen, und zwar schriftlich anhand definierter Richtlinien. Gemeint ist kein detaillierter technischer Umsetzungsplan oder Maßnahmenkatalog, sondern die ganzheitliche Betrachtung der IT eines Unternehmens mit folgenden Zielen:

• Vertraulichkeit: Es gibt eine klare Regelung dazu, welche Daten für welche Personen zugänglich sind. Die Einhaltung wird beispielsweise über Nutzerrechte oder räumliche Zugangsbeschränkungen sichergestellt.
• Integrität: Daten dürfen nicht unberechtigt und nur unter vollständigem Kenntlichmachen der Änderungen modifiziert werden.
• Verfügbarkeit: Daten sind jederzeit abrufbar.

Das IT-Sicherheitskonzept kann also technische oder organisatorische Maßnahmen umfassen, die auf diese drei Schutzziele einzahlen, etwa die Vergabe von Nutzerrechten, Zugangsbeschränkungen, Regelungen bezüglich Protokollen sowie Maßnahmen, die Systemausfällen vorbeugen.

So viel zur Definition. Aber was heißt das nun konkret? Die Antwort ist wie so häufig: Es kommt darauf an. Denn pauschal lässt sich ein IT-Sicherheitskonzept nicht entwickeln und anwenden; es muss individuell auf die Anforderungen und Gegebenheiten einer Organisation abgestimmt werden.

Folgende Bereiche sollten dabei abgedeckt werden:

Bestandsanalyse: Um den Geltungsbereich für das IT-Sicherheitskonzept zu definieren, wird in der Bestandsanalyse der Schutzbedarf ermittelt. Dafür sind nicht nur infrastrukturelle Aspekte wie Software, Hardware und Anwendungen relevant, sondern auch organisatorische und personelle.

IT-Strukturanalyse: Hier erfolgt eine detaillierte und strukturierte Erfassung und Analyse der zu schützenden Assets, also etwa von Anwendungen und IT-Systemen, aber auch von Geschäftsprozessen und Räumlichkeiten.

Schutzbedarfserstellung: Den zu schützenden Informationen und Prozessen wird eine Schutzstufe zugeordnet, basierend beispielsweise auf einer Analyse eines potenziell resultierenden Schadens.

Sicherheits- und Risikoanalyse: In einem Basis-Sicherheitscheck wird geprüft, welche Sicherheitsmaßnahmen bereits in welchem Maße umgesetzt wurden. Die Risikoanalyse hilft dabei, Schwachstellen zu identifizieren und Prioritäten zu setzen.

Informationssicherheit kann zudem über verschiedene Zertifizierungen und Normen (z. B. ISO 27001) nachgewiesen werden. Sollte ein Unternehmen eine solche Zertifizierung wünschen oder brauchen, muss es die entsprechenden Regularien einhalten. Natürlich gibt es auch eine Reihe an Maßnahmen, die generell sinnvoll sind. Dazu gehören beispielsweise:

• Schaffen eines Sicherheitsbewusstsein im gesamten Unternehmen, z. B. durch interne Kommunikation sowie Schulungen und Trainings für Mitarbeitende
• Umsetzen regelmäßiger Sicherheitsupdates auf allen Geräten
• Einführen von Verschlüsselungstechnologien
• Einsatz von Technologien wie Firewalls und Intrusion-Detection-/Intrusion-Prevention-Systemen
• Regelmäßiges Überprüfen von Systemen auf Schwachstellen
• Entwickeln und regelmäßiges Testen von Notfallplänen und Wiederherstellungsstrategien
• Implementieren von Cloud-Sicherheitslösungen und Überwachen der Cloud-Infrastruktur
• Verwenden von Multi-Faktor-Authentifizierung und biometrischen Identifikationsmethoden
• Implementieren vom Zugriffkontrollen und Berechtigungsmanagement

Umfang und Art der Bedrohungen durch Cyberkriminalität sind in den letzten Jahren so rasant gewachsen – es ist verständlich, dass es für Organisationen eine Herausforderung ist, bei diesen Entwicklungen auf dem neuesten Stand zu bleiben und passende Maßnahmen zu entwickeln und umzusetzen. Gibt intern keine internen Spezialist:innen mit dem notwendigen Fachwissen, was in sehr vielen Organisationen der Fall ist, kann es also sinnvoll sein, sich für Planung und Umsetzung professionelle Beratung oder Unterstützung durch erfahrene Expert:innen ins Boot zu holen.

Wichtig ist vor allem, die guten Vorsätze für mehr IT-Sicherheit nun anzugehen und ein zukunftssicheres Gesamtkonzept zu entwickeln – und natürlich die fachgerechte Implementierung und kontinuierliche Kontrolle. Denn was im Falle eines Angriffs wirklich zählt, sind die umgesetzten Maßnahmen.