Die Digitalisierung bedeutet auch, dass Daten zu einem ganz zentralen Bestandteil der Wertschöpfung geworden sind. Aus diesem und weiteren Gründen ist sowohl Cyber Security in Kombination mit einem IT-Sicherheitskonzept einer der wichtigsten, wenn nicht sogar der wichtigste Aspekt der digitalen Transformation, braucht diese doch Vertrauen bei den Menschen, wenn sie klappen soll.
Mit individuellen Frühwarnsystemen und umfassenden Schutzmaßnahmen sowie forensischen IT-Analysen wird es gelingen, sich gegen jegliche Bedrohungen aus dem Netz zu wappnen und die Cyber-Resilienz der Unternehmen nachhaltig zu stärken. Cyber-Sicherheitsstrategien und ein funktionierendes IT-Sicherheitskonzept gehören daher eindeutig in jede CEO-Agenda.
Kurzer Leitfaden für ein IT-Sicherheitskonzept gemäß DSGVO
Der wichtige Schutz der Daten zu bestimmten Produktionsverfahren, Betriebsgeheimnissen oder der Mitarbeiter und Mitarbeiterinnen sowie der Kunden erfordert ein ganzheitliches IT-Sicherheitskonzept.
Grundsätzlich besteht ein IT-Sicherheitskonzept aus schriftlich fixierten Richtlinien, die die Informationssicherheit des Unternehmens gewährleisten sollen. Im Blickfeld stehen dabei vor allem die Integrität, die Verfügbarkeit und Vertraulichkeit der Unternehmensdaten sowie alle Applikationen und Dienste.
IT-Sicherheit beginnt bereits mit einer Klassifizierung der Unternehmensdaten, um daran anknüpfend bestimmte Maßnahmen definieren zu können. In den meisten Fällen bestehen bereits Sicherheitsstandards in Bezug auf die IT-Sicherheit, worunter auch der Datenschutz zählt, doch es liegt fast immer eine deutliche Diskrepanz zwischen Ist- und Sollzustand vor. Mindestens die folgenden Punkte sind im Rahmen des IT-Sicherheitskonzepts genau zu definieren:
- Geltungsbereich
Um welche Daten beziehungsweise Informationen geht es überhaupt?
- Risiken
Mit welchen Gefahren für das Unternehmen muss gerechnet werden?
- Schutzbedarf
Was muss im Unternehmen alles geschützt werden und gibt es dabei eventuell Prioritäten?
- Schutzniveau
Hierbei geht es bereits um Fragen der Umsetzung: Wie können welche Daten optimal geschützt werden?
Wichtig ist dabei, alle Mitarbeiter und Mitarbeiterinnen mitzunehmen, das heißt, es bedarf eines proaktiven Angebots an Schulungen zum Thema IT-Sicherheit und IT-Sicherheitskonzept.
IT-Sicherheitskonzept: Die Ziele
Risiken wie Sicherheitslücken sind durch ein IT-Sicherheitskonzept so früh wie möglich zu erkennen und sogleich zu eliminieren. Zudem ist ein zertifiziertes IT-Sicherheitskonzept zugleich eine vertrauensbildende Maßnahme für die Kunden, was sich im Ergebnis als klarer Wettbewerbsvorteil erweist.
Dabei ist die IT-Sicherheit stets als Prozess zu verstehen, den man fortlaufend umsetzen und anpassen muss. Es reicht auf keinen Fall aus, beispielsweise nur einzelne Softwarelösungen in Bezug auf ihre Sicherheit genauer zu betrachten. Es geht immer um das ganze Unternehmen, um alle Tools und Abläufe.
Was sind die Bestandteile?
- Ein IT-Sicherheitskonzept beginnt mit einer Bestandsanalyse. In diesem Zuge sind die schützenswerten Assets zu ermitteln. Das können zum Beispiel Dokumente und deren Zugriffsrechte, Kundendaten oder die digitalen Personalunterlagen der Mitarbeiter und Mitarbeiterinnen sein.
- Der nächste Schritt ist die IT-Strukturanalyse, bei der man die vorher definierten Assets strukturiert erfasst. Dies bedeutet zum Beispiel ihre Aufteilung in die Bereiche, die in Summe den gesamten Geschäftsprozess abbilden. In diesem Zuge sind wirklich alle Komponenten in Bezug auf die verschiedenen Abteilungen wie Sales oder HR-Bereich und auf die Prozesse zu erfassen und zu analysieren.
- In Ergänzung sollte eine sogenannte Schutzbedarfserstellung nicht fehlen. Hierbei ermittelt man, wie hoch die Schutzbedarfe der einzelnen Objekte tatsächlich sind. Es ist klar, dass personenbezogenen Daten oder neuartigen Fertigungsverfahren eine besonders hohe Schutzstufe zukommen muss. Andererseits können Kontaktdaten zu juristischen Personen wie Anschriften von Unternehmen oder Organisationen mit weniger Priorität geschützt werden.
- Dieser Basis-Sicherheitscheck ist noch durch eine regelmäßige Sicherheits- und Risikoanalyse, deren Ergebnisse vollständig zu dokumentieren sind, zu ergänzen.
Das IT-Sicherheitskonzept nach DSGVO ist kein Geheimnis
Im Internet finden Sie viele mehr oder weniger brauchbare Vorlagen im Sinne eines Leitfadens für ein IT-Sicherheitskonzept zum Download. Selbstverständlich müssen solche Vorlagen in hohem Maße individuell an die Abläufe im jeweiligen Unternehmen angepasst werden. Es sei daher an dieser Stelle noch einmal betont, dass das beste IT-Sicherheitskonzept nichts wert ist, wenn es der Unternehmensleitung nicht gelingt, alle Mitarbeiter und Mitarbeiterinnen in der Sache durch Transparenz und Akzeptanz mit ins Boot zu nehmen.
Bedenken Sie dabei auch, dass die Richtlinien zur IT-Sicherheit ständig einen hohen Aktualisierungsbedarf haben, denn die Bedrohungen von außen unterliegen permanent einem schnellen Wandel.