IT-Sicherheit

Strukturiertes IT-Sicherheitsmanagement & IT-Grundschutz

Was ist IT-Sicherheit?

IT-Sicherheit ist eine Teilmenge der Informationssicherheit in Unternehmen. Damit ist die Sicherheit von Informationen jeglicher Art gemeint, auf Papier, in IT-Systemen und auch in den Köpfen der Mitarbeiter. Die IT-Sicherheit im Speziellen konzentriert sich jedoch auf den Schutz von elektronisch gespeicherten Informationen und deren Verarbeitung.

Informationssicherheits-Management-System

Logo BSI Lizenzierte IT-Grundschutz-InhalteBeim Aufsetzen eines Informationssicherheits-Management-Systems (ISMS) ist vieles zu beachten. Wir beraten Unternehmen bei der methodischen und inhaltlichen Ausgestaltung ihres ISMS. Wir empfehlen  im besten Falle bereits zu Beginn mit einer Software zu arbeiten und die Prozesse vollständig zu digitalisieren, da dies die zukünftigen Prozesse wesentlich effizienter gestaltet. Wir als SAVISCON GmbH bieten ebenfalls ein solches digitales Tool an: Mit unserem GRC-COCKPIT können Sie Ihr ISMS strukturiert und konsistent abbilden. Außerdem sind wir Lizenzpartner des Bundesamts für Sicherheit in der Informationstechnik (BSI) und können in unserem GRC-COCKPIT auf Wunsch die IT-Grundschutz-Inhalte für Sie einbinden. Lesen Sie jetzt mehr zu unserem Consulting-Angebot und zu unserer Software-Lösung:

Bild IT-Sicherheit
Grafik IT-Grundschutz digital umsetzen

Webinar: BSI RECPLAST GmbH Demo

Wir haben im GRC-COCKPIT das fiktive Unternehmen RECPLAST GmbH samt Schutzbedarfsanalyse abgebildet. In unserem kostenfreien 90-minütigen Webinar stellen wir Ihnen den Praxis-Einstieg in den IT-Grundschutz sowie die Umsetzung mit dem GRC-COCKPIT vor. So können Sie sich einen Eindruck darüber verschaffen, wie Sie das GRC-COCKPIT in Ihrem Unternehmen einsetzen können. Sehen Sie sich unsere Webinar-Aufzeichnung jetzt an:

DIN ISO 27001 als IT-Sicherheits-Fundament

In der internationalen Norm ISO/IEC 27001 sind die Anforderungen an ein Unternehmen in Bezug auf die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung an ein dokumentiertes Informationssicherheits-Managementsystem (ISMS) festgeschrieben. Außerdem beleuchtet sie die Beurteilung und die Behandlung von Informationssicherheitsrisiken und kann so ihr Unternehmen vor ungewollten Unterbrechungen schützen, die unter Umständen den kompletten Geschäftsbetrieb in Mitleidenschaft ziehen würden. Ein stabiles ISMS fußt dabei auf den drei Grundsätzen der Informationssicherheit: Verfügbarkeit, Vertraulichkeit und Integrität.

Bild von Servern

Ist IT-Sicherheit wichtig?

Ja! Obwohl man es eher in der IT alleine vermuten würde, ist das Thema IT-Sicherheit Aufgabe der Geschäftsführung im Rahmen ihrer Compliance- und Risikoverantwortung. Ob Datenverlust oder Datenschutzpannen – beim Thema IT-Sicherheit gibt es viele Fallstricke, die einem Unternehmen teuer zu stehen kommen können. Für bestimmte Rechtsverstöße drohen Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens, beziehungsweise 20 Mio. Euro – dabei gilt der jeweils höhere Wert. Das bezieht sich auf den gesamten weltweiten Jahresumsatz des Unternehmens und nicht etwa nur auf den in Europa.

Übrigens:

Bei Gericht ist die Schuldfrage in Verbindung mit Vorsatz oder Fahrlässigkeit relevant für das Strafmaß. Wenn man ein systematisches Vorgehen im Bereich des Risiko-Managements vorweisen kann, beispielsweise durch den Einsatz eines geeigneten, digitalen Tools, wird das in der Regel positiv bewertet.

Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an.

Welche IT-Risiken gibt es in Unternehmen?

  • Compliance-Verstöße
  • Datenverlust durch Einbruch
  • Datenverlust durch Feuer
  • Datenverlust durch Rohrbruch
  • Stromausfall
  • Serverausfall
  • Datenpannen
  • Schadsoftware

Diese Risiken und noch viele mehr gibt es. Sind Sie auf alle Eventualitäten vorbereitet? Existieren bei Ihnen im Unternehmen Arbeitsanweisungen für Ihre internen und auch externen Mitarbeiter? Wie sehen Ihre Notfallpläne aus? Es ist wichtig, Notfallpläne aufzustellen und aktuell zu halten, um im Ernstfall handlungsfähig zu bleiben. Wenn Sie ein strukturiertes IT-Sicherheits-Management vorweisen können, dann kann sich das im Falle einer drohenden Sanktion strafmildernd auswirken.

Welche Anforderungen gibt es für Unternehmen?

Es gibt zahlreiche Standards zum Thema IT-Sicherheit. Die BSI-Standards sowie das IT-Grundschutz-Kompendium vom BSI sind zu Beginn besonders zu empfehlen. Sie konkretisieren die DIN ISO 27001. Folgende Prozessbausteine definiert das Kompendium:

    • ISMS: Management von Informationssicherheit,
    • ORP: Organisation und Personal,
    • CON: Konzepte und Vorgehensweisen (z. B. Kryptokonzept, Softwareentwicklung),
    • OPS: Betrieb (z. B. Schutz vor Schadprogrammen, Cloud Computing) und
    • DER: Detektion und Reaktion (Behandlung von Sicherheitsvorfällen, Notfallmanagement).

Darüber hinaus enthält das IT-Grundschutz-Kompendium Systembausteine zur:

  • INF: Infrastruktur (z. B. Gebäude, Rechenzentrum),
  • SYS: IT-Systemen (z. B. Servern, Clients),
  • NET: Netzen und Kommunikation (z. B. Netzarchitektur und -design),
  • APP: Anwendungen (z. B. E-Mail und Browser) und
  • IND: Industrieller IT (z. B. Betriebs- und Steuerungstechnik sowie Leitstand).

Informationssicherheits-Management-System (ISMS)

Erstellen Sie Ihr eigenes, auf Ihr Unternehmen angepasstes ISMS. Planen Sie Ihre Maßnahmen zur IT-Sicherheit entlang der geltenden BSI-Standards (200-1, 200-2, 200-3) und erhöhen Sie so den Sicherheitsstandard in Ihrem Unternehmen. Zu einem ISMS gehören die folgenden grundlegenden Komponenten:

  • Managementprinzipien
  • Ressourcen
  • Mitarbeiter
  • Sicherheitsprozess:
    1. Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind
    2. Sicherheitskonzept
    3. Sicherheitsorganisation

Die Strategie wird von der Leitungsebene vorgegeben und basiert auf den Geschäftszielen des Unternehmens. Dabei können Sie im Prozess unterscheiden zwischen:

  • Basisabsicherung: Deckt alle MUSS-Anforderungen ab
  • Standardabsicherung: Deckt alle MUSS– und SOLLTE-Anforderungen ab
  • Kernabsicherung: Deckt alle Anforderungen (MUSS, SOLLTE und KANN) für besonders kritischen Geschäftsbereiche ab (erhöhte Sicherheit)

Die so erarbeiteten Ergebnisse sind allerdings nicht auf Dauer das Maß der Dinge! Denn mit Änderungen an Geschäftsprozessen, der Unternehmensstruktur oder bei Anschaffung neuer IT-Systeme ergeben sich regelmäßig neue Risikofelder, die auch die Informationssicherheit betreffen. Um mit der Dynamik dieses Prozesses Schritt halten zu können, empfiehlt sich die Umsetzung des PDCA-Modells.

PDCA Grafik

PDCA-Zyklus

Dieser PDCA-Zyklus lässt sich auf alle Aufgaben innerhalb des Sicherheitsprozesses anwenden. Im ersten Schritt (PLAN) des Sicherheitsprozesses werden die Rahmenbedingungen identifiziert und analysiert, die Sicherheitsziele bestimmt und eine Sicherheitsstrategie ausgearbeitet. Die Strategie sollte konkrete Maßnahmen festlegen, wie die gesetzten Ziele letztendlich erreicht werden sollen (DO). Umgesetzt wird die Sicherheitsstrategie mithilfe des Sicherheitskonzepts und einer geeigneten Struktur für die Sicherheitsorganisation. Es muss regelmäßig überprüft werden, ob sich an den Rahmenbedingungen etwas geändert hat (beispielsweise Gesetze, Ziele der Institution oder des Umfeldes) und ob sich das gesamte Sicherheitskonzept als effizient erweist (CHECK). Entsprechend muss das IT-Sicherheitskonzept angepasst werden (ACT), womit der Zyklus erneut beginnt.

Digitales IT-Sicherheits-Management Tool

Mit dem passenden Compliance-Management können Unternehmen ihr IT-Sicherheitsmanagement organisieren und Risiken vermeiden oder auf ein Minimum reduzieren.

Am effektivsten können Sie ihre IT-Sicherheits-Strategie mit einem digitalen Tool festhalten, kontrollieren und dokumentieren, das Ihnen bei Bedarf auch Berichte auf Knopfdruck ausgibt. Wir als SAVISCON GmbH bieten mit unserem GRC-COCKPIT ein solches Tool an. Kontaktieren Sie uns gerne für eine individuelle Beratung und ein maßgeschneidertes Angebot:

Mehr zum Thema IT- und Informations-Sicherheit in unserem Blog:

IT-Risiken 2024
NIS2
Sinnbild für Cyber Security.