Informationssicherheitsmanagement und IT-Sicherheitskonzept
IT-Sichherheitskonzept: Definition, Ziele und Nutzen
Sind Sie sicher, dass Sie sicher sind? Ist Ihr unternehmer-isches Vermögen geschützt?
Informationssicherheitsmanagement und IT-Sicher-heitskonzept
IT-Sicherheit bezeichnet den Teil der Informationssicherheit, der Technologie einsetzt, um Informationen zu schützen. Das kann eine Firewall, eine Chipkarte, Passwörter usw. sein um
sich in einem Computersystem anzumelden.
Die Informationssicherheit beinhaltet jedoch mehr. Z.B. organisatorische Sicherheitsmaßnahmen die dafür sorgen sollen, dass sich unbefugte Dritte nicht ohne Aufsicht im Firmengebäude aufhalten und keinen Zugang zu sensiblen Daten gemäß DSGVO haben.
Das IT-Sicherheitskonzept legt fest, mit welchen technischen Mitteln Informationen geschützt werden sollen. Da der Begriff nicht allgemein definiert ist, verstehen viele Unternehmen hier-bei auch ein Konzept für alle Sicherheitsthemen, bis hin zur Ver-
anstaltungssicherheit. Genauer betrachtet ist es zumeist eine Strategie, wie man seine Vermögenswerte oder sein geistiges Eigentum mit Hilfe der Informationstechnologie schützen kann.
Definition und Ziele eines IT-Sicherheitskonzepts
Bei der Entwicklung eines IT-Sicherheitskonzeptes sollten ver-schiedene Unternehmensbereiche voneinander unterschieden werden, wie z. B. sensible Unternehmerdaten, Personen-bezogene Daten, Patente, Entwicklungen, Kunden, Vertriebs-
und Herstellungsprozesse.
Die für ein Unternehmen wertvollen Daten, als auch Personen-daten gilt es professionell zu erfassen und mit Hilfe verschied-ener Methoden zu prüfen: Gibt es Risiken? Wie sind diese
Strukturiert? Wie ist die Umgehensweise?
Ein solides Risikomanagement zeigt oft, dass sich Risiken durch technische sowie organisatorische Maßnahmen verringern lassen. Oft glaubt man, analog zum Qualitäts-management oder gar Methoden wie Six Sigma oder KVP,
dass es genügt ein Sicherheitskonzept schriftlich zu verfassen.
Der Realitätscheck zeigt jedoch häufig eine andere Wahrheit. Risiken lassen sich nicht durch Papier allein beseitigen. Beim Schutz von etwas Wertvollem sollte man sehr sorgfältig vor-
gehen. Regelmäßige Überprüfung und Verbesserung, oder sogenannte Stresstests sind hierfür unabdingbar. Das alleinige Wissen um Risiken genügt nicht.
Was nützt ein IT-Sicherheitskonzept?
Der Nutzen eines IT-Sicherheitskonzeptes liegt vor allem darin, dass ein Schaden erst gar nicht entsteht, oder sein Eintreten sehr unwahrscheinlich ist. Mit zunehmender Digitalisierung und Vernetzung steigen die Kosten und Imageschäden, die Unternehmen drohen, wenn sie Opfer von Cyberkriminalität werden. So nimmt die Industriespionage und sogenannte Hackerangriffe in den letzten Jahren zu. Potentiellen Angreifern wird es jedoch schwerer fallen, ein Unternehmen mit einem
durchdachten IT-Sicherheitskonzept auszuspionieren. Darüber hinaus gibt es einen sprunghaften Anstieg von Angriffen auch ohne den Einsatz von Technik.
Auch hier hilft ein professionelles IT-Sicherheitskonzept. Die Frage ist, wie Sie Ihr persönliches Schadensrisiko bewerten.
Benötigen Sie ein IT-Sicherheitskonzept?
Eine allgemeine rechtliche Verpflichtung zu einem IT-Sicher-heitskonzept gibt es nicht.
Lediglich für die Betreiber kritischer Infrastrukturen, wie zum Beispiel Telekommunikationsunternehmen, gelten besondere gesetzliche Anforderungen. Momentan verfügen höchstens
ein Drittel aller Unternehmen ein IT-Sicherheitskonzept, wel-
ches den Namen auch verdient. Häufig wird in den Untern-ehmen das Risiko eines Schadens, der sehr schnell existenz-bedrohend werden kann, eher lax beurteilt. Aufgrund der zu-
nehmenden globalen Turbulenzen und einem erhöhten Ver-
drängungswettbewerb fordern auch Auftraggeber immer häufiger auch ein IT-Sicherheitskonzept von ihren Lieferanten oder Dienstleistern ein IT-Experten sind sich einig:
Grundsätzlich sollte jedes Unternehmen ein IT-Sicherheits-
konzept haben, egal ob groß oder klein, wenn es auch nur einen Rechner hat, denn Ihr Know-how und Ihre Kunden sind ist Ihr Kapital. Stellen Sie sich nur einmal vor, dass es Ihnen jemand wegnimmt.
Welche personellen Anforderungen benötigt ein IT-Sicherheitskonzept?
Festgelegte Anforderungen gibt es noch nicht. Doch immer mehr Firmen lassen ihre IT-Verantwortlichen zum Information Security Officer (ISO) oder Chief Information Security Officer (CISO) ausbilden. Von ihnen kann dann diese Anspruchsvolle Aufgabe übernommen werden. Oft verhält es sich in den Unter-nehmen jedoch so, dass diejenigen, die sich mit Informations-sicherheit auskennen zumeist nicht mit den Inhalten vertraut sind. Erschwerend hinzu kommt, dass IT-Experten bestimmte wichtige Sachverhalte für selbstverständlich halten und diese
dann nicht dokumentiert und überprüft werden. Eine Heraus-forderung ist also vorhandenes Expertenwissen für andere verständlich und nachvollziehbar zu machen.
Sind Sie gewappnet?
Es empfiehlt sich daher ein bis zwei Mitarbeiter auszusuchen, die Schulungen im Bereich Informationssicherheit oder IT-Grundschutz machen. Zumal ein IT-Admin aufgrund der ihm
zugewiesenen komplexen Aufgaben häufig ein umfassendes IT-Sicherheitskonzept nicht von sich aus entwickeln kann, entweder weil es ihm an den Ressourcen fehlt und er hierfür
zusätzliches Know-how benötigt.
Dieses Wissen, als auch externe Beratung und Begleitung können Sie bei uns als Bildungsanbieter berufsbegleitend in verschiedenen Kursen erlernen, bis hin zum IT-Grundschutz-
Praktiker, ISO oder CISO. Unsere ausgewiesenen Spezialisten, vom Professor bis zum erfahrenen Praktiker, begleiten Sie auf Ihrer Reise zur Sicherheit. Zumindest können Sie sich von uns
überprüfen lassen, ob sie auf dem richtigen Weg sind, die Sicherheit ihrer Daten sicherzustellen.
Machen Sie aus Ihrem Wissen, Ihrem Knowhow und Ihrer Kompetenz ein kleines Fort Knox. Wir stehen bereit!
2023 © Andreas Mayer Holding UG