IT-Sicherheitskonzept

Aufgabe der IT-Sicherheit ist der Schutz der Anwendungen der Informationstechnik (IT) vor möglichen Bedrohungen, die die Verfügbarkeit der IT-Anwendungen und die Vertraulichkeit der verarbeiteten Daten und Informationen gefährden. Um die Schutzbedürftigkeit ermitteln zu können, muss zuerst der Wert der Anwendungen und Informationen festgestellt werden. Dieser Wert ist in der Regel höher als die Investitionen in die IT-Systeme. Nicht zu vergessen sind bei der Wertermittlung auch Werte, die nicht monetär angegeben werden können, wie z. B. Reputationsschäden, Imageverlust und sonstige Folgeschäden z. B. durch Vertraulichkeitsverlust.

Zum Schutz der IT-Systeme müssen verschiedene Maßnahmen in unterschiedlichen Bereichen ergriffen werden. Die Maßnahmen können technischer, baulicher, organisatorischer und personeller Art sein. Sie sind auf jeden Fall aufeinander abzustimmen und müssen in einem IT-Sicherheitskonzept dokumentiert werden.

Ein Restrisiko bleibt immer – sollte aber bekannt sein. Es gibt, wie so oft, keine 10 %ige Sicherheit. Restrisiken bleiben, müssen bekannt sein und akzeptiert werden.

Die Bedrohung der Sicherheit von IT-Systemen und Anwendungen ist gegeben, wenn wesentliche Leistungsziele beeinträchtigt werden. Es bestehen u. a. folgende Sicherheitsanforderungen an IT-Systeme:

    • die kontinuierliche Verfügbarkeit der Leistung
    • Schutz vor unzulässigen Veränderungen im Programmablauf und Verarbeitungsvorgängen
    • Schutz vor unzulässigen Zugriffen und Veränderungen der im IT-System gespeicherten Daten
    • Schutz der Vertraulichkeit der Daten
    • Schutz der Vorgänge in den verwendete IT-Systemen

Bevor ein IT-Sicherheitskonzept erstellt werden kann, müssen die exakten Sicherheitsanforderungen ermittelt werden.

Des Weiteren ist eine Analyse der Schutzbedürftigkeiten vorzunehmen:

    • Was ist und in welchem Umfang schutzbedürftig?
    • Was bedeutet „Sicherheit“ genau?
    • Welche Anwendungen sind im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit bedroht?
    • Wie hoch könnte ein Schaden ausfallen (Schadensfall)?