Warum ist ein IT-Sicherheitskonzept für Unternehmen unverzichtbar?
Ein IT-Sicherheitskonzept sollte jedes Unternehmen haben. Ohne die umfangreiche Verarbeitung von Daten und ohne digitale Kommunikation und Datenhaltung kommt keine Firma aus. Daraus entstehen Risiken, die keine Geschäftsführung ignorieren darf. Denn die Sicherheit dieser Daten ist enorm wichtig.
Zum einen steigt jährlich die Anzahl von Cyberangriffen mit dem Ziel Sicherheitslücken auszunutzen und Daten unrechtmäßig zu erhalten. Vom Ransomware-Angriff bis hin zum Verkauf solcher Daten im Darknet wird so vielfältiger Missbrauch betrieben. Die Schadenssumme für die deutsche Wirtschaft steigt jährlich an und erreichte im Jahr 2024 einen Rekordwert von über 266 Milliarden Euro.
Zum anderen verlangen Compliance und insbesondere der Datenschutz ein IT-Sicherheitskonzept. Verzichtet ein Unternehmen darauf, sich umfangreich vor Zugriffen Unbefugter auf die eigenen IT-Systeme zu schützen, sind solche Daten also nicht sicher, drohen Schadensersatzansprüche und Bußgelder, bspw. aus der DSGVO bis zu 4% des jährlichen weltweiten Umsatzes.
Was ist ein IT-Sicherheitskonzept? Welchen Nutzen hat es?
IT-Sicherheitskonzepte fassen alle Aspekte der Maßnahmen eines Unternehmens im Zusammenhang mit dem Schutz und der Sicherheit der IT-Systeme und des Umgangs mit Daten, insbesondere auch mit personenbezogenen Daten zusammen.
Dazu gehören neben technischen Maßnahmen (wie zum Beispiel Firewall, Malwareschutz, Datenverschlüsselung, VPN etc.) auch organisatorische Maßnahmen (wie beispielsweise eingeschränkte Rechtevergabe, interne Richtlinien, Verbot der Privatnutzung unternehmerischer Infrastruktur aber auch umfangreiche Schulungsmaßnahmen in den Bereichen IT-Sicherheit, Datensicherheit und Datenschutz).
Ein Sicherheitskonzept ist konkret auf die IT Infrastruktur des jeweiligen Unternehmens zugeschnitten. Es muss alle denkbaren Risiken für die eigene IT, aber auch für Ressourcen Dritter, auf welchen eigene Daten gespeichert und verarbeitet werden berücksichtigen und diesen durch ausreichende Maßnahmen nach dem Stand der Technik begegnen.
Dabei sind zunächst die Sicherheitslücken in der IT-Infrastruktur zu identifizieren, bspw. durch Dienstleister, die sich auf die Prüfung der IT-Sicherheit spezialisiert haben. Diese führen dann bspw. so genannte Penetrationstests durch und simulieren das Vorgehen krimineller Hacker. Sodann sind diese Lücken durch geeignete dem Stand der Technik entsprechende Maßnahmen zu schließen.
Zu solchen Maßnahmen gehört unbedingt auch ein Backup- und Recovery-Konzept, um die schnelle Verfügbarkeit und Wiederherstellbarkeit der Daten und Systeme sicherstellen zu können.
Genauso ist ein Schulungskonzept wichtiger Bestandteil. Die Beschäftigten sind letztlich diejenigen, die die IT-Systeme nutzen und digital nach „außen“ kommunizieren und handeln. Daher ist es sehr wichtig, dass die Mitarbeiterinnen und Mitarbeiter wissen, worauf sie achten müssen, wie bspw. mit verdächtigen E-Mails und Anhängen umzugehen ist.
So erfüllen IT-Sicherheitskonzepte mehrere Ziele, nämlich neben der Erhöhung der Sicherheit der eigenen informationstechnischen Systeme auch die Erhöhung des Datenschutzniveaus und der Resilienz des Unternehmens.
Schließlich darf nicht vergessen werden regelmäßig, bestenfalls jährlich, die Einhaltung, die Wirksamkeit und die Aktualität des IT-Sicherheitskonzepts zu überprüfen.
Wie erstellt man ein IT-Sicherheitskonzept?
Welchen Inhalt und welche Gliederung sollte nun so ein IT-Sicherheitskonzept haben? Es gibt hier keine gesetzlichen Vorgaben. Aber es gibt selbstverständlich Best Practices, die sich für den Inhalt eines IT-Sicherheitskonzepts etabliert haben, um ein solches Konzept zu erstellen und Maßnahmen zu etablieren.
Um gute IT-Sicherheitskonzepte erstellen zu können, sollten Sie stets auf externe Berater zuzugreifen, denn diese haben nicht nur die erforderliche Expertise, sondern haben auch den Blick von außen, der für eine objektive Betrachtung wichtig ist. Für den rechtlichen Part ist die Kanzlei Schutt, Waetke Rechtsanwälte jederzeit an Ihrer Seite.
Für kleinere Unternehmen kann dabei auch schon ein einfaches IT-Sicherheitskonzept ausreichend sein. Je größer das Unternehmen ist und je mehr Datenverarbeitungen stattfinden, umso wichtiger ist die Erstellung eines umfassenden Konzepts.
Checkliste für die Erstellung eines IT-Sicherheitskonzepts
Die folgende Checkliste für die Erstellung eines IT-Sicherheitskonzepts möchten wir Ihnen an die Hand geben:
1. Initiierung und Verantwortlichkeiten
- IT-Sicherheitsbeauftragten benennen oder externen Dienstleister beauftragen
- Ziele, Budget und Zeitrahmen definieren
- Geschäftsleitung einbinden
2. Rechtliche Anforderungen identifizieren
- Anwendbare Gesetze prüfen (DSGVO, TTDSG, BSI-Gesetz etc.)
- Branchenspezifische Vorschriften berücksichtigen
- Zertifizierungsanforderungen klären (z. B. ISO 27001, BSI)
3. Bestandsaufnahme (IST-Analyse)
- Hardware- und Softwareinventar erfassen
- Bestehende Sicherheitsmaßnahmen analysieren
- Schutzbedarf und kritische Prozesse identifizieren
- Risikoanalyse durchführen (z. B. OWASP, CVSS)
4. Zieldefinition (SOLL-Konzept)
- Angemessenes Sicherheitsniveau festlegen
- Schutzziele definieren
- Sicherheitsstandards oder Frameworks auswählen (z. B. ISO 27001)
5. Maßnahmenplanung
- Technische Maßnahmen planen (Firewall, Backup, Verschlüsselung etc.)
- Organisatorische Maßnahmen definieren (Richtlinien, Schulungen etc.)
- Notfallmanagement konzipieren (BCP, Notfallhandbuch und ggf. weitere Notfallmaßnahmen)
6. Umsetzung des Sicherheitskonzepts
- Maßnahmen nach Priorität umsetzen
- Änderungen dokumentieren
- Information: Mitarbeitende informieren und einbinden
7. Kontrolle, Monitoring und Verbesserung
- Regelmäßige Audits und Penetrationstests durchführen
- Monitoring implementieren (z. B. SIEM, Log-Analyse)
- Anpassung an neue gesetzliche und betriebliche Anforderungen
8. Dokumentation und Nachweisführung
- Sicherheitsrichtlinien und Maßnahmenkatalog dokumentieren
- Nachweise für Compliance und Audits bereitstellen
9. Zertifizierung (optional)
- ISO 27001 oder BSI IT-Grundschutz prüfen und ggf. anstreben
Wichtig ist die regelmäßige Überprüfung des Konzepts auf Wirksamkeit, Einhaltung, Aktualität und Anpassungsbedarf. Diese sollte mindestens einmal pro Jahr erfolgen.
Wie ist die gesetzliche Situation in Bezug auf IT-Sicherheitskonzepte?
Es gibt kein Gesetz, das explizit vorschreibt, dass ein IT-Sicherheitskonzept erstellt werden muss. Die Pflicht das zu tun, ergibt sich jedoch mittelbar aus verschiedenen gesetzlichen Anforderungen für alle Unternehmen. So muss bspw. die Geschäftsführung ganz allgemein in jedem Bereich ein System der Früherkennung von Risiken und der Risikovermeidung erstellen, um Schäden vom Unternehmen abzuwenden. Das ergibt sich aus den handelsrechtlichen und gesellschaftsrechtlichen Pflichten der Geschäftsführung.
Aus der Datenschutzgrundverordnung (DSGVO) ergibt sich weiterhin die Pflicht zur Sicherstellung der Verfügbarkeit, der Integrität und des Schutzes personenbezogener Daten.
Außerdem existieren insbesondere für Unternehmen im Bereich kritischer Infrastrukturen umfassende Vorgaben zur Ergreifung wirksamer Maßnahmen im Bereich Cybersicherheit, Informationssicherheit und IT-Sicherheit. Für ein IT-Sicherheitskonzept ist das BSI hier als Aufsichts- und Meldebehörde aktiv. Dort können Unternehmen übrigens auch viele Infos und Dokumente zum Thema IT-Sicherheit bekommen.
Daneben sind Normen, Zertifizierungen und Empfehlungen, wie bspw. ISO 27001 oder BSI IT-Grundschutz wichtige Quellen aber auch Grundlagen für diese Konzepte. Verstöße gegen alle diese Vorschriften lösen Haftungsthemen und ggf. Bußgelder gegen das Unternehmen aus, die vom Umfang und der Höhe her bis hin zur Existenzgefährdung reichen können. Nach alledem sollte ein IT-Sicherheitskonzept auch für kleine Unternehmen ein Thema sein.
