Bei einem IT-Sicherheitskonzept handelt es sich um ein Dokument, das im Speziellen mit Informationssicherheitsrisiken umgeht und zentraler Bestandteil des IT-Sicherheitsmanagements eines Unternehmens ist. Mit Hilfe von Schutzzielen werden dabei zunächst Risiken identifiziert und bewertet, um daraufhin diese zur Grundlage für Maßnahmen zum Umgang mit Kunden und Unternehmensdaten zu machen. Relevante Gefahren wie Virenbefall, Systemausfälle, Hackerangriffe und Datenpannen werden mit technischen, aber auch organisatorischen Maßnahmen vorgebeugt und bekämpft.

Daneben gilt es aber auch, das Problembewusstsein für Informationssicherheit über alle Ebenen zu schärfen und Mitarbeiter für diese Themen regelmäßig zu schulen und zu sensibilisieren.

„Unterschätzte IT-spezifische Gefahren sind häufig Vorfälle im Rahmen eines technischen Versagens oder die Unwissenheit eines Anwenders, der Daten aus Versehen löscht oder anderweitig die Sicherheit der IT-Infrastruktur beeinträchtigt.“

Überspitzt ließe sich wohl sagen, dass jedes Unternehmen, das auch nur einen einzigen Computer oder ein Diensthandy benutzt, ein IT-Sicherheitskonzept benötigt.

Häufiger Irrglaube

Ein häufiger Irrglaube ist, dass es dabei hauptsächlich um Kundendaten ginge, obwohl es eigentlich um Daten jeglicher Art geht. Technisches Know-how, Preisinformationen und Konstruktions- sowie Herstellungsverfahren sind ebenso wertvoll für ein Unternehmen und sollten vor Datenverlust, Missbrauch und Diebstahl geschützt werden. Auch ein Großteil der Mitarbeiter ist in den meisten Fällen motiviert und an einer funktionierenden IT-Sicherheit interessiert, jedoch wissen Mitarbeiter häufig nicht, wie sie vorgehen sollen. Das IT-Sicherheitskonzept bietet also auch einen Leitfaden und benennt die Mindestanforderungen an die IT-Sicherheit, die im Unternehmen erfüllt sein sollten. Positive unternehmerische Werte wie Vertraulichkeit, Verfügbarkeit und Integrität werden durch die IT-Sicherheit gewährleistet und können nach außen kommuniziert werden.

DS-GVO & das „Verzeichnis aller Verarbeitungstätigkeiten“

Auch wer als Unternehmen rechtlich auf der sicheren Seite sein möchte, wenn es um Datenschutz und IT-Sicherheit geht, für den macht ein IT-Sicherheitskonzept Sinn. Zwar fordert die in der EU seit 2018 anzuwendende DS-GVO (Datenschutz-Grundverordnung zum Schutz personenbezogener Daten) kein IT-Sicherheitskonzept, verlangt allerdings ein „Verzeichnis aller Verarbeitungstätigkeiten“ und „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen“ in Schriftform. Auch in der Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik) werden Vorschläge für Absicherungsmethoden und zum Risikomanagement in der Informationssicherheit gemacht. Ein durchdachtes IT-Sicherheitskonzept kommt diesen Forderungen und Empfehlungen nach.

Hauptziel eines IT-Sicherheitskonzepts ist grundlegend die Erarbeitung und Dokumentation von Richtlinien mit dem die Informationssicherheit in einem Unternehmen gewährleistet werden kann. Bedrohungen sollen früh erkannt und Vorbeugungsmaßnahmen definiert werden.

Ein Sicherheitskonzept definiert außerdem Grundlagen, anhand derer Sicherheitsrisiken bewertet werden. Dadurch kommt es seltener vor, dass Gefahren für die Informationssicherheit übersehen oder nicht angesprochen werden.

Neben dem Schutz der verarbeiteten Informationen und Daten liegt das Ziel des IT-Sicherheitskonzeptes deshalb auch darin, die implementierten technischen und organisatorischen Maßnahmen für alle Personen im Unternehmen nachvollziehbar zu machen.

An die Richtlinien, die auch das Datenschutzkonzept enthalten, müssen sich alle Mitarbeitenden halten. Bevor ein neues System oder eine neue Vorgehensweise im Unternehmen in Betrieb genommen werden kann, müssen also die zu verarbeitenden Daten klassifiziert und die dann erforderlichen Maßnahmen definiert werden