Sicher sicher? Das Sicherheitskonzept
Hackerangriff, Datenpannen oder Virenbefall – es gibt viele Gefahren, mit denen die IT-Infrastruktur heutzutage konfrontiert wird. Um vor diesen Bedrohungen zu schützen, gibt es Sicherheitskonzepte.
Aber wie erstellt man Sicherheitskonzepte? Und welche Standards gibt es dafür in Deutschland? Diese Fragen beantworte ich dir im folgenden Blogartikel.
Was ist ein Sicherheitskonzept?
Das Sicherheitskonzept ist Teil der Managementsysteme für Informationssicherheit (ISMS). Als eines der Werkzeuge setzt es die Sicherheitsstrategie um. Es beschreibt mit welchen Maßnahmen die in der Leitlinie zur Informationssicherheit vorgegebenen Ziele und Strategien verfolgt werden sollen.
Welche Standards müssen beachtet werden?
In und für Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Standards für die Erstellung von Sicherheitskonzepten und das zu dessen Steuerung nötige ISMS erlassen. Diese Standards sind für Institutionen der Bundesverwaltung bindend und werden permanent weiterentwickelt. Aktuell sind die Standards der 200er Reihe, welche die Standards der 100er Reihe seit 2017 ablösen:
BSI-Standard 200-1: Dieser beinhaltet allgemeine Anforderungen an ein Managementsystem für Informationssicherheit. Er ist kompatibel zum ISO-Standard ISO/IEC 27001:2022.
BSI-Standard 200-2: Dieser definiert die Grundlagen der bewährten BSI-Methodik zum Aufbau eines Informationssicherheitsmanagements.
BSI-Standard 200-3: In diesem werden gebündelt alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes beschrieben. So können Anwender mit reduziertem Aufwand das angestrebte Sicherheitsniveau erreichen.
Wie erstellt man ein Sicherheitskonzept?
Bei der Erstellung eines Sicherheitskonzeptes ist es wichtig, dass zuerst die Risiken und Schadensursachen verstanden werden. Anschließend kann entschieden werden, wie mit diesen umgegangen werden soll. Für die Erstellung eines Sicherheitskonzeptes solltest du daher folgende Schritte durchlaufen:
- Auswahl einer Methode zur Risikoanalyse: Basierend auf verschiedenen Faktoren wie der Art und Größe einer Institution, den Rahmenbedingungen oder dem angestrebten Sicherheitsniveau wählst du im ersten Schritt die passende Methode zur Risikoanalyse aus. Diese Wahl beeinflusst den Arbeitsaufwand für die Erstellung des Sicherheitskonzeptes. Bei einem normalen Schutzbedarf kannst du den BSI-Standard 200-3 als Basis verwenden.
- Klassifikation von Risiken bzw. Schäden: In Abhängigkeit von der im ersten Schritt gewählten Methode legst du fest, wie Schadenspotenziale, Bedrohungen und Eintrittshäufigkeiten eingeschätzt und die daraus resultierenden Risiken bewertet werden.
- Risikoanalyse: Es folgt die Risikoanalyse. Hier solltest du folgende Teilschritte durchführen:
- Die Identifikation der zu schützenden Geschäftsprozesse und Informationen
- Die Ermittlung aller relevanten Bedrohungen und deren Schwachstellen
- Die Benennung und Einschätzung möglicher Schäden durch den Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit
- Die Untersuchung der anzunehmenden Auswirkung auf die Geschäftstätigkeit oder Aufgabenerfüllung durch Sicherheitsvorfälle
- Die Bewertung des Risikos durch Sicherheitsvorfälle Schäden zu erleiden
- Entwicklung einer Strategie zur Behandlung von Risiken: In diesem Schritt sollte die oberste Leitungsebene vorgeben, wie erkannte Risiken behandelt werden. Du dokumentierst im Anschluss die festgelegte Art des Umgangs mit Risiken, ordnest Risikoeigentümer zu und lässt dir dies von der obersten Leitungsebene genehmigen. Zudem planst du die Ressourcen zur Umsetzung der Strategie und holst dir von der Leitungsebene die Zustimmung für das Restrisiko.
- Auswahl der Sicherheitsmaßnahmen: In dieser Phase wählst du die Sicherheitsmaßnahmen aus. In die Auswahl sollten insbesondere Faktoren wie Kosten-Nutzen-Aspekte, Praxistauglichkeit sowie die Auswirkungen auf das Sicherheitsniveau mit einfließen. Das Einrichten von technischen Sicherheitsmaßnahmen ist ebenso wichtig wie organisatorische Abläufe und Prozesse.
Was erfolgt nach der Erstellung?
Nach der Erstellung folgt die Umsetzung des Sicherheitskonzeptes. In dieser Phase erstellst du einen Realisierungsplan für das Sicherheitskonzept, setzt die Sicherheitsmaßnahmen um und steuerst und kontrollierst die Umsetzung.
Anschließend wird die Erfolgskontrolle des Konzeptes durchgeführt. Hier erfolgen Reaktionen auf Änderungen sowie Detektionen von Sicherheitsvorfällen im laufenden Betrieb. Ebenso findet die Überprüfung der Einhaltung von Vorgaben und die Überprüfung der Eignung und Wirksamkeit von Sicherheitsmaßnahmen statt. Zudem müssen Managementberichte erstellt werden.
Zuletzt sollte eine kontinuierliche Verbesserung des Sicherheitskonzeptes erfolgen.
Unsere Tipps:
- Bei der Klassifikation von Risiken bzw. Schäden ist es aufwendig, schwierig und meist fehleranfällig individuelle Werte für Eintrittshäufigkeiten und Schäden zu ermitteln. Daher sollte nicht zu viel Zeit für die exakte Bestimmung verwendet werden. Es ist praktikabler mit qualitativen Kategorien zu arbeiten.
- Der Umgang mit Risiken ist auch immer vom „Risikoappetit“ einer Institution abhängig. Dies beschreibt die in einer Institution durch diverse Einflüsse entstandene Neigung, mit welcher Risiken bewertet werden und wie mit ihnen umgegangen wird. Bei der Entwicklung einer Strategie zur Behandlung von Risiken kann dieses Wissen hilfreich sein.
Unter der Berücksichtigung dieser Anleitung und Tipps wird die Erstellung deines nächsten Sicherheitskonzeptes ein Erfolg – und sicher sicher.