IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die Verfügbarkeit, Integrität und Vertraulichkeit von Unternehmensdaten, Applikationen und Diensten sicherzustellen. Wir erklären wie man ein IT-Sicherheitskonzept in 8 Schritten erstellt.

IT-Sicherheitskonzept in 8 Schritten

Das Wichtigste in Kürze

  • Ein IT-Sicherheitskonzept orchestriert Maßnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Daten, die in IT-Systemen verarbeitet werden.
  • In unserem Rategeber zeigen wir eine exemplarische Vorgehensweise zur Erstellung eines IT-Sicherheitskonzepts inklusive einer Mustervorlage.
  • Ein solides IT-Sicherheitskonzept lässt sich mit dem notwendigen Personaleinsatz auch intern erstellen. Für viele KMUs ist eine Unterstützung durch externes Know-How häufig mittelfristig kosteneffizienter.
  • Ein ausgereiftes IT-Sicherheitskonzept erfüllt auch datenschutzrechtliche und anderer regulatorische Anforderungen.

1 Was ist ein IT-Sicherheitskonzept

Ein IT-Sicherheitskonzept ist ein wesentliches Instrument für Unternehmen, um grundsätzliche Maßnahmen für die IT-Sicherheit und Informationssicherheit festzulegen. Eine gut organisierte Informationssicherheit reduziert die Anzahl von ausnutzbaren Schwachstellen in der eingesetzten Informationstechnologie und begrenzt die Auswirkungen im Falle eines Hackerangriffs.

Dabei legt das IT-Sicherheitskonzept nicht fest, wie genau diese Maßnahmen umzusetzen sind.

Beispielsweise könnte das Konzept vorgeben, dass der Zugriff auf das interne Netzwerk mit VPN und einer Zwei-Faktor-Authentisierung zu schützen ist. Es werden aber keine technischen Details wie eine konkrete Software, Hardware oder Cloud-Dienste bestimmt.

Das IT-Sicherheitskonzept gibt somit verbindliche Regeln vor wie Sie IT-Security und die Anforderungen des Datenschutzes im Unternehmen umsetzen um die Schutzziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit zu wahren. Das Ergebnis ist ein konkreter Planungs-, Verwaltungs- und Umsetzungsrahmen für die IT-Sicherheit im Unternehmen.

Wesentlich für ein IT-Sicherheitskonzept ist dabei die Ganzheitlichkeit: Anstatt sich auf einzelne konkrete Lösungen zu konzentrieren, wird die IT-Landschaft des Unternehmens als Ganzes betrachtet.

Beispielhafte Organisation des Informationssicherheitsprozesses mit Verortung des IT-Sicherheitskonzepts

2 Wie verwendet ich diese Anleitung?

In dieser Anleitung zeige ich Ihnen, wie Sie ein IT-Sicherheitskonzept für ein Unternehmen erstellen können. Wie beleuchten relevante Fragestellungen, prüfen empfehlenswerte Vorgehensweisen und schauen uns Muster zum Inhalt eines IT-Sicherheitskonzepts an.

3 Ziele eines IT-Sicherheitskonzepts

Beim IT-Sicherheitskonzept geht es in erster Linie um den Schutz von Informationen vor Bedrohung und Verlust. Dazu können bespielsweise vertrauliche interne Unternehmensdaten, Kundendaten oder auch personenbezogene Daten gehören.

Dazu werde geeignete technische und organisatorische Maßnahmen (TOM) festgelegt.

Schutz vor Hackerangriffen

Bei einem Hackerangriff versucht sich jemand unbefugt Zugang zu einem Computer, einem Computersystem oder einem Computernetz zu verschaffen, mit der Absicht, Schaden anzurichten. Diese Angriffe zielen darauf ab

  • IT-Systeme zu zerstören oder zu stören,
  • die Kontrolle über IT-Systeme zu übernehmen
  • die auf IT-Systemen gespeicherten Daten zu verändern oder zu Zugriff auf sie zu blockieren,
  • Daten zu löschen oder
  • Daten zu stehlen.

Ein IT-Sicherheitskonzept sollte daher auf jeden Fall Maßnahmen umfassen, um aktuelle Angriffsszenarien wie Ransomware wirkungsvoll zu unterbinden.

Schutz vor Insiderangriffen

Ein IT-Sicherheitskonzept soll aber nicht nur vor Hackerangriffen von außen schützen. Interne Mitarbeiter stellen ebenfalls großes Risiko für die Informationssicherheit von Unternehmen dar. Unvorsichtige Angestellte oder böswillige (ehemalige) Mitarbeiter können aus finanziellen oder persönlichen Gründen Daten stehlen oder sogar löschen.

Auch externe Auftragnehmer und andere Dritte haben oft legitimen Zugang zu sensiblen Daten, um effizient und flexibel arbeiten zu können. Dies stellt eine Herausforderung für das IT-Sicherheitsteams dar. Es ist viel schwieriger, Bedrohungen zu erkennen, wenn die betreffende Person bereits legitimen Zugang zu sensiblen Informationen hat. Mit Richtlinien und Technologien lässt sich das Risiko eines solchen Datenverlusts oder -diebstahls erheblich verringern.

Kundenanforderungen, Cyber-Risk-Versicherung

Ein umsichtig erstelltes und sorgfältig umgesetztes IT-Sicherheitskonzept erfüllt Anforderungen hinsichtlich

  • Zertifizierungen und Compliance-Anforderungen wie TISAX und ISO 27001
  • Versicherungsleistungen (Cyber-Risk Versicherung),
  • mehr Vertrauen bei Kunden und Lieferanten

Datenschutz, KRITIS und andere rechtliche Anforderungen

Ein IT-Sicherheitskonzept sorgt dafür, dass die für den Datenschutz gemäß DSGVO unabdingbaren Maßnahmen umgesetzt werden.

Betreiber von kritischen Infrastrukturen (KRITIS) müssen gemäß §8a BSIG nachweisen, dass ihre IT-Sicherheit auf dem aktuellen Stand der Technik ist. Ein IT-Sicherheitskonzept ist dazu zwingend erforderlich.

4 Vorgehen zur Erstellung eines IT-Sicherheitskonzepts in 8 Schritten

Es gibt viele unterschiedliche Herangehensweisen an die Erstellung eines IT-Sicherheitskonzepts. Die nachfolgenden Schritte orientieren sich grob an den Empfehlungen des BSI-Standard 200-2 (IT-Grundschutz-Methodik).

  1. Definition des Informationsverbundes: Am Anfang dieses IT-Sicherheitskonzepts steht die Definition, welche Bereiche und Standorte des Unternehmens oder Behörde abgedeckt sind (Festlegung des Geltungsbereichs).
  2. Strukturanalyse: Eine gute Kenntnis der Informations-, Prozess- und technischen Unterstützungssysteme ist eine wichtige Grundlage für das IT-Sicherheitskonzept. Insbesondere müssen Informationen zu allen Fach- und IT-Anwendungen, IT-Systemen und Servern, Netzwerken, Räumen und Gebäuden zusammengestellt werden.
  3. Ermittlung des Schutzbedarfs: Bei der Ermittlung des Schutzbedarfs wird der Schutzbedarf für die Geschäftsprozesse, die in den Prozessen verarbeiteten Informationen und die technischen Systeme bestimmt. Gemeinsam mit den Fachverantwortlichen ist der Schutzbedarf (z.B. normal, hoch, sehr hoch) und die Sicherheitsziele (Vertraulichkeit, Integrität, Verfügbarkeit) zu bestimmen.
  4. Weitere Vorgaben, die berücksichtigt werden müssen: Abgesehen von der Schutzbedürftigkeit der Daten für das eigene Unternehmen oder die eigene Behörde ist zu prüfen inwiefern vertragliche oder regulatorische Anforderungen den Schutzbedarf oder die festzulegenden Maßnahmen beeinflussen können. Das können Anforderungen an die Verwendung von kryptographischen Methoden zur Umsetzung der DSGVO oder auch vertragliche Verpflichtungen zur Erlangung der Zertifizierungsreife des TISAX Standards sein.
  5. Risikoanalyse und Maßnahmenkatalog Für alle im Rahmen der Strukturanalyse zusammengestellten Ressourcen werden auf Basis des ermittelten Schutzbedarfs Mindestanforderungen in Form von Maßnahmen zugeordnet. Die Bausteine des BSI Grundschutz können dabei als Unterstützung dienen.
  6. IT-Sicherheitscheck: Nach Festlegen der Maßnahmen muss der aktuelle Stand der Umsetzung geprüft werden. Abweichungen und offene Punkte müssen vermerkt werden und eine Umsetzungsstrategie abgeleitet werden.
  7. Umgang mit Restrisiken: Vermutlich werden nicht alle gewünschten Maßnahmen umgehend und vollständig umgesetzt sein. Mit den aktuell verbleibenden und erkannten Restrisiken sollte verantwortungsvoll umgegangen werden.
  8. Aktualisierung und Fortschreibung: Es sollten Entscheidungen über die regelmäßig Aktualisierung und Kontrolle der festgelegten Maßnahmen erfolgen.

5 IT-Sicherheitskonzept Muster/Vorlage

Der Aufbau und auch der Inhalt eines IT-Sicherheitskonzepts kann sich dabei eng an dem in Abschnitt 5 beschriebenen Vorgehen orientieren.

5.1 Einleitende Kapitel

Wie jedes umfangreichere Dokument sollten einleitende Kapitel mindestens über die nachfolgenden Faktoren Aufschluss geben.

  • Zusammenfassung und Ziele des Sicherheitskonzepts
  • Fachbegriffe
  • Organisatorischer Rahmen und kritische Geschäftsprozesse
  • Lieferanten-Management
  • Personeller Rahmen
  • Infrastruktur & Standorte
  • Organisatorische Schnittstellen und externe Dienstleister

5.2 Informationsverbund

Hier wird ein kurzer Überblick über das Informationsnetz (Organisationen, Institutionen und Unternehmen) gegeben. Eine Übersicht stellt die Aufgaben sowie die Zuständigkeiten und Verantwortlichkeiten dar. Bei Unternehmen mit mehreren Standorten wird gegebenenfalls eine Abgrenzung auf einzelne Standorte oder die Zentrale vorgenommen.

  • Wer/was gehört zum Informationsverbund?
  • Wer nimmt welche Aufgaben wahr?
  • Wer ist der richtige Ansprechpartner für inhaltliche, fachlich oder technische Fragen?

5.3 IT-Systemarchitektur

Vernetzung und Netzplan

Eine Darstellung über den betrachteten Informationsverbund gibt aus technischer Sicht ein Netzplan mit Servern, Clients, VLANS, Netzwerkkomponenten, Netzwerkverbindungen (sowohl intern als auch zwischen geographisch getrennten Standorten). Auch VPN-Endpunkt und der mittlerweile sehr relevante Fall der Home-Office-Nutzung werden mit aufgeführt.

Beispiel Netzwerkplan (Ausschnitt)

Beispielausschnitt Netzwerkplan

IT-Infrastruktur und Server

Eine Liste aller vorhandenen IT-Anwendungen und IT-Systeme (Client, Server, Netzwerkkomponenten u.a.) ist hier enthalten. Ebenfalls können Cloud-basierte Anwendungen mit einer Referenz auf den Cloud-Provider ein Teil der Aufstellung sein.

Beispiel Liste IT-Anwendungen

Nr.BezeichnungProdukt/DetailsZielgruppe
A01Office-KommunikationMS-Office 365Alle
A02E-MailOutlookAlle
A03Kommunikation/MeetingsMicrosoft Teams (SaaS)Alle
A04PersonaldatenverarbeitungOffice / ExcelHR-Team
A50CAD/PlanungenAutoCadProjektarbeit

5.4 Feststellung des Schutzbedarfes

Bei einer Schutzbedarfsfeststellung wird ermittelt welcher Schutz die in den IT-Anwendungen eingesetzte Informationen benötigen. Dabei sei angemerkt, dass große Unternehmen einen Schaden manchmal leichter verkraften können als kleine, Behörden die Einhaltung von gesetzlichen Vorschriften oft anders gewichten als Wirtschaftsunternehmen, Startups risikobereiter sind als gestandene Unternehmen usw.

Schutzbedarf IT-Anwendungen

Ausgehend von den Aufgaben, für die eine IT-Anwendung eingesetzt wird, ist der Schutzbedarf in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu erfassen. Dazu kann man die Schadenskategorien und Schadensszenarien des BSI heranziehen.

Beispiel Schutzbedarf IT-Anwendung Personaldatenverarbeitung

SchadensszenarioVertraulichkeitIntegritätVerfügbarkeit
Finanzielle Auswirkungenhochnormalhoch
Verstöße gegen Gesetze, Vorschriften oder Verträgehochhochhoch
Beeinträchtigungen des informationellen Selbstbestimmungsrechtshochnormalnormal
Beeinträchtigungen der persönlichen Unversehrtheitnormalnormalnormal
Beeinträchtigungen der Aufgabenerfüllungnormalhochhoch
negative Außenwirkunghochhochhoch
Gesamtbewertunghochhochhoch

(Abgeleiteter) Schutzbedarf für IT-Systeme

Der Schutzbedarf eines IT-Systems leitet sich direkt aus dem Schutzbedarf der IT-Anwendung(en) ab die auf dem IT-System verarbeitet werden. Gemäß des Maximumsprinzip erben IT-Systeme das Maximum des Schutzbedarfes aller IT-Anwendungen. Je nach Situation kann davon aber begründet in die eine oder andere Richtung abgewichen werden.

(Abgeleiteter) Schutzbedarf für Kommunikationsverbindungen

Ähnlich wie für IT-Systeme leitet sich der Schutzbedarf für Kommunikationsverbindungen aus dem Schutzbedarf der IT-Anwendungen ab, die sie benötigen.

(Abgeleiteter) Schutzbedarf für Räume und Gebäude

Der Schutzbedarf für Räume und Gebäude folgt aus den dort betriebenen IT-Systemen, aufbewahrten Dokumenten und Datenträgern.

5.5 Beachtung weiterer Vorgaben

Der notwendige Schutzbedarf und die daraus folgenden Maßnahmen lassen sich hauptsächlich aus den zu schützenden Informationen in den IT-Anwendungen ableiten. Allerdings gibt es manchmal zusätzliche Anforderungen, die sich aus anderer Richtung ergeben. Das können beispielsweise sein:

  • rechtliche Verpflichtungen beim Schutz von Geschäftsprozessen
  • Anforderungen an den Datenschutz
  • Handelsrechtliche Anforderungen
  • Haftungsanforderungen
  • interne Betriebsvereinbarungen oder -vorgaben
  • Vereinbarungen mit dem Betriebsrat

Sollten weitere Vorgaben umzusetzen sein ist dies für jede IT-Anwendung zu prüfen und die Anforderungen zu dokumentieren.

5.6 Maßnahmenplan und Risikoanalyse

Das BSI empfiehlt für die umzusetzenden Maßnahmen die IT-Grundschutz-Bausteine zu verwenden.

Beispiel ISMS: Sicherheitsmanagement

BausteinRelevanzZielobjektBegründung
ISMS.1 SicherheitsmanagementjaInformationsverbund

Beispiel ORP: Organisation und Personal

BausteinRelevanzZielobjektBegründung
ORP.1 OrganisationjaInformationsverbund
ORP.2 PersonalJaInformationsverbund
ORP.3 Sensibilisierung und Schulung zur InformationssicherheitJaInformationsverbund
ORP.4 Identitäts- und BerechtigungsmanagementJaInformationsverbund
ORP.5 Compliance Management (Anforderungsmanagement)NeinWird anderweitig organisiert

Beispiel SYS: IT-Systeme

BausteinRelevanzZielobjektBegründung
SYS.1.1 Allgemeiner ServerjaS01, S03
SYS.1.2.2 Windows Server 2012nein
SYS.1.3 Server unter Linux und Unixnein
SYS.1.5 VirtualisierungjaS02 (vSphere)
SYS.1.6 ContainerisierungjaCloud01 (Kubernetes Cluster bei AWS)
SYS.1.7 IBM Znein
SYS.1.8 SpeicherlösungenjaNAS01
SYS.2.1 Allgemeiner ClientjaCXXX
SYS.2.2.2 Clients unter Windows 8.1nein
SYS.2.2.3 Clients unter Windows 10jaCXX
SYS.2.3 Clients unter Linux und Unixnein
SYS.2.4 Clients unter macOSnein
SYS.3.1 LaptopsjaCXX
SYS.3.2.1 Allgemeine Smartphones und Tabletsnein
SYS.3.2.2 Mobile Device Management (MDM)ja[BYOD]nur BYOD, keine organisationseigenen Smartphones
SYS.3.2.3 iOS (for Enterprise)ja(BYOD)BYOD per MDM
SYS.3.2.4 Androidja(BYOD)BYOD per MDM
SYS.3.3 MobiltelefonPflichtInformationsverbund
SYS.4.1 Drucker, Kopierer und MultifunktionsgerätejaPR01, PR02, PR03
SYS.4.3 Eingebettete SystemeneinInformationsverbund
SYS.4.4 Allgemeines IoT-GerätneinInformationsverbund
SYS.4.5 Wechseldatenträgerjaalle mobile Datenträger und USB-Sticksnoch keine volle Inventarisierung

Weitere zu prüfenden Bausteine mit Maßnahmen sind wie folgt:

  • CON: Konzeption und Vorgehensweise
  • OPS: Betrieb
  • DER: Detektion und Reaktion
  • APP: Anwendungen
  • IND: Industrielle IT
  • NET: Netze und Kommunikation
  • INF: Infrastruktur

Falls die Maßnahmensituation nicht ausreicht (gemäß BSI-Standardanforderungen in unserem Beispiel) ist eine weitere Risikoanalyse durchzuführen um das Schutzkonzept zu erweitern.

5.7 Umsetzungsstand des Maßnahmenplans

Anhand eines Soll-/Ist-Vergleichs kann recht einfach auf Organisationsebene der aktuelle Stand der IT-Sicherheit bestimmt werden.

Maßnahmenplan <= Soll-/Ist-Vergleich => Realisierte Maßnahmen

Das Ergebnis ist eine List von defizitären Maßnahmen die noch einer Umsetzung bedürfen.

6 Risikoanalyse

Die grundlegende Vorgehensweise des BSI IT-Grundschutz sieht keine direkte Risikoanalyse vor. Für die Implementierung von Standard-Sicherheitsmaßnahmen reicht es in der Regel aus, die in den Grundsicherheitsstandards und Maßnahmenkatalogen des BSI beschriebenen Maßnahmen anzuwenden. Damit werden die allgemeinen mit der Technologieanwendung zusammenhängenden Risiken abgedeckt.

Wenn ein IT-System oder eine Anwendung besonders schutzbedürftig oder die Risiken nicht in den BSI-Standarddokumenten beschrieben sind, beschreibt der BSI-Standard 100-3 eine Risikoanalyse auf Basis des IT-Grundschutzes. Es gibt aber auch andere Vorgehensweisen, beispielsweise nach ISO 27005 oder anderen Normen und Standards.

Auch sollte auf eine Risikoanalyse zurückgegriffen werden, wenn Sicherheitsanforderungen verschärft wurden oder wenn der Einsatz von IT-Systemen in Szenarien erfolgt, die in der IT-Grundschutz-Liste nicht vorgesehen sind.

Bei normalem Schutzbedarf kann das eventuell für neue Technologien der Fall sein. Beispielsweise hatte das BSI bis vor kurzem keine Standard-Maßnahmen für den Einsatz von Kubernetes. Auch beim Einsatz von Cloud-Technologien (IaaS/PaaS/SaaS) kann eine eigene Risikobetrachtung Sinn ergeben.

Sollte eine Risikoanalyse notwendig sein, empfiehlt sich häufig eine Zusammenarbeit zwischen den zuständigen fachlichen und technischen Verantwortlichen sowie externen Sicherheitsexperten. Insbesondere können externe Berater eine angriffsorientierte Sichtweise mit einbringen die häufig intern nicht verfügbar ist.

7 Welche gesetzlichen Anforderungen an ein IT-Sicherheitskonzept stellt die DSGVO?

Auch in der DSGVO (Datenschutz-Grundverordnung), die für den Datenschutz in der EU gilt, ist ein IT-Sicherheitskonzept formal nicht erforderlich.

  • Art. 30 DSGVO verlangt jedoch ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
  • Art 32 DSGVO gibt einen Anhaltspunkt auf die Verpflichtung zur Umsetzung und Anwendung risikobasierter technischer und organisatorischer Maßnahmen. Nach der Datenschutz-Grundverordnung müssen diese Maßnahmen ein dem Risiko angemessenes Schutzniveau gewährleisten. Ein ausgereiftes IT-Sicherheitskonzept erfüllt diese Anforderung.

8 Wie unterscheidet sich ein ISMS von einem IT-Sicherheitskonzept?

Ein Information Security Managment System (ISMS) stellt die große Klammer über alle stattfindenden und zu steuernden Prozesse im Rahmen der Informationssicherheit in einem Unternehmen oder einer Behörde dar. Ein IT-Sicherheitskonzept ist üblicherweise ein Bestandteil eines ISMS.

Ein IT-Sicherheitskonzept fokussiert sich in der Ausrichtung auf den Schutz von Daten und Informationen, die in der Informationstechnologie verarbeitet werden.

In der Verantwortung des ISMS liegt beispielsweise die Fortschreibung und laufende Aktualisierung des IT-Sicherheitskonzepts und die Art und Weise wie mit verbliebene Restrisiken umgegangen wird. Ebenso werden die Zuständigkeiten und Verantwortlichkeit geregelt – also der gesamte PDCA-Zyklus.

Bei einem Audit oder einer Zertifizierung (beispielsweise gemäß ISO/IEC 27001 oder TISAX) wird primär das ISMS geprüft.

9 Wer erstellt das IT-Sicherheitskonzepts?

Das konkrete Vorgehen wird vom IT-Sicherheitsbeauftragten vorgegeben. Unterstützung wird von den Leitern der Fachabteilungen und den Verwaltungsmitarbeitern geleistet. Doch Vorsicht, denn zum Erstellen eines IT-Sicherheitskonzepts ist ein umfangreiches Wissen notwendig, das sich niemand in kurzer Zeit aneignen kann.

Oft werden zur umfassenden Identifikation der Risiken und der Ableitung wirkungsvoller und kosteneffizienter Maßnahmen Spezialisten benötigt, die gezielt im Unternehmen eingestellt werden. Solche IT-Sicherheitsspezialisten sind jedoch oft schwer zu finden und haben hohe Gehälter, weshalb sie meist in großen Unternehmen zu finden sind.

Für die Erstellung von eines IT-Sicherheitskonzepts in KMUs (Kleine und mittlere Unternehmen) wird häufig auf externe Berater zurückgegriffen, auch weil eine solche Lösung mittel- und langfristig meist wesentlich kostengünstiger ist.

Häufige Fragen

Der Geltungsbereich eines IT-Sicherheitskonzepts entspricht dem Informationsverbund – also den Bereichen, Standorten und Systemen, die es abdeckt. Er kann das gesamte Unternehmen mit einem oder mehreren Standorten umfassen oder gezielt auf einzelne Bereiche begrenzt werden. Ist eine externe Zertifizierung (z. B. ISO 27001 oder TISAX) geplant, sollte der Informationsverbund frühzeitig mit einem erfahrenen Berater abgestimmt werden.

Ein IT-Sicherheitskonzept ist ein verbindliches Regelwerk, das die grundlegenden Maßnahmen für IT- und Informationssicherheit in einem Unternehmen festlegt. Es schützt die Vertraulichkeit, Integrität und Verfügbarkeit der in IT-Systemen verarbeiteten Daten, betrachtet die IT-Landschaft ganzheitlich und bildet den Planungs-, Verwaltungs- und Umsetzungsrahmen für die IT-Sicherheit.

Ein IT-Sicherheitskonzept entsteht in mehreren Schritten – angelehnt an den BSI-Standard 200-2: Informationsverbund definieren, Strukturanalyse durchführen, Schutzbedarf ermitteln, weitere Vorgaben berücksichtigen, Maßnahmen und Risikoanalyse festlegen, IT-Sicherheitscheck durchführen, mit Restrisiken umgehen und das Konzept regelmäßig aktualisieren.

Ein ISMS (Informationssicherheits-Managementsystem) ist die übergeordnete Klammer über alle Prozesse der Informationssicherheit, während sich ein IT-Sicherheitskonzept auf den konkreten Schutz der in der IT verarbeiteten Daten konzentriert. Das IT-Sicherheitskonzept ist üblicherweise ein Bestandteil des ISMS; bei Audits und Zertifizierungen (ISO 27001, TISAX) wird primär das ISMS geprüft.

Die Erstellung eines IT-Sicherheitskonzepts steuert in der Regel der IT-Sicherheitsbeauftragte, unterstützt von den Leitern der Fachabteilungen und der Verwaltung. Da dafür umfangreiches Fachwissen nötig ist, das sich nicht in kurzer Zeit aneignen lässt, greifen vor allem kleine und mittlere Unternehmen (KMU) häufig auf externe Berater zurück – das ist mittel- und langfristig meist deutlich kostengünstiger als der Aufbau eigener Spezialisten.

Ein IT-Sicherheitskonzept ist nach der DSGVO formal nicht ausdrücklich vorgeschrieben. Die Verordnung verlangt aber über Art. 30 ein Verzeichnis der Verarbeitungstätigkeiten und über Art. 32 risikoangemessene technische und organisatorische Maßnahmen – Anforderungen, die ein ausgereiftes IT-Sicherheitskonzept abdeckt. Für Betreiber kritischer Infrastrukturen (KRITIS) ist es gemäß § 8a BSIG faktisch zwingend, um IT-Sicherheit auf dem Stand der Technik nachzuweisen.

Benötigen Sie Unterstützung beim Erstellen Ihres IT-Sicherheitskonzepts?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

oder nutzen Sie unser Kontaktformular. Wir freuen uns auf Ihre Anfrage!

Ihre Anfrage

Datenschutz

Auch interessant

Was ist Datensicherheit? Standards & Technologien

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen…

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber…

Angriffsvektor und Angriffsfläche

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören …,

Buffer-Overflow

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist…

Proxy Server

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien…

Was ist MITRE ATT&CK?

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den…

Endpoint Security

Endpoint Security

Ein Proxy-Server arbeitet als Vermittler zwischen zweit IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien…

Need-to-Know-Prinzip

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben…

Top 10 Vulnerability Scanner für 2026

Top 10 Vulnerability Scanner für 2026

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken…

NTLM-Authentifizierung

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Informations&shy;sicherheits&shy;managementsystem (ISMS)

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common…

Schutzziele der Informationssicherheit

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen…

CIS Controls kurz erklärt

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme…

Karriereguide Pentester

Karriereguide Pentester

Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den…

Firewall-Grundlagen & Firewall-Architektur

Firewall-Grundlagen & Firewall-Architektur

Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem…