iT-Sicherheitskonzept

für Ihren iT-Alltag

iT-Sicherheit ist für Unternehmen heute überlebensnotwendig. Im Allianz Risk Barometer 2020 wurden iT-Sicherheitsrisiken auf globaler Ebene als das Hauptrisiko gelistet, das Unternehmen heute bedroht. Grund genug dieses Thema ernst zu nehmen und ein nachhaltiges iT Sicherheitskonzept zu entwickeln.

iT Sicherheitskonzept
"Mit 20% Aufwand erreichen wir 80% unseres Erfolges."
Vilfredo Pareto
Einleitung

Was ist ein sinnvolles iT Sicherheitskonzept?

Auch der Umstand, dass das iT-Sicherheitsniveau von immer mehr Wirtschaftsprüfer*innen im Rahmen der Jahrestestate detailliert beurteilt wird und von den unterschiedlichsten Parteien (Kunden, Gesetzgeber, Kooperationspartner, Versicherungen) vorgeschrieben wird, unterstreicht den hohen Stellenwert von iT-Sicherheit für die Handlungs- und Zukunftsfähigkeit von Unternehmen.

Aufgrund der kontinuierlich zunehmenden Vernetzung mit Kunden, Lieferanten und Partnern und aufgrund des ebenfalls fortwährend steigenden Anteils an iT in den Unternehmensprozessen ist es heute für uns alle (auch für uns als R.iT!) tatsächlich nur eine Frage der Zeit, bis wir von einem iT-Sicherheitsvorfall getroffen werden. Ob dies ein Cyber-Angriff oder ein selbst verschuldeter iT-Sicherheitsvorfall ist, ist dabei im Grunde unerheblich. Fakt ist, dass es passieren wird. Eher früher als später. Und dann hilft nur eines: Risikoreduktion durch gute Vorbereitung.

Referenz

Reaktives Verhalten ist kaum eine Lösung – und wenn, dann keine gute:

Die Firma Air Truck Service GmbH aus Ratingen war Opfer eines Cyber-Angriffs. Wir haben sie nach dem Angriff kennengelernt und bei der Aufarbeitung unterstützt – zu einem Zeitpunkt, als Daten unwiederbringlich verloren waren, Kunden Aufträge aus Angst vor den Auswirkungen stornierten und die Cyberversicherung meinte, nicht zahlen zu müssen.

iT Sicherheitskonzept

Die Lösung: proaktives Handeln – das iT Sicherheitskonzept

Eine angemessene Vorbereitung muss weder besonders teuer noch besonders aufwendig sein. Denn auch im iT-Sicherheitsumfeld gilt Pareto: Gerade zu Beginn des Prozesses sind mit vglsw. geringem Aufwand beachtliche Ergebnisse möglich.

iT-Sicherheit ist ein hochkomplexes Thema. Doch es ist lösbar – denn wie bei allen komplexen Themen gilt: Wir bekommen sie problemlos in den Griff, wenn wir sie strukturiert angehen und auf Basis einer priorisierten Liste schrittweise die nächste Maßnahme mit dem jeweils höchsten Hebel umsetzen. Es gibt immer einen Weg. Wir wissen, wie wir ihn für Sie finden und ebnen.

Und genau diese Basis wird als 'iT Sicherheitskonzept' bezeichnet.

Ein iT Sicherheitskonzept ist keine zusätzliche Belastung, nichts, das Sie aufhält und nur unnötig viel Papier produziert – nein: Ein iT Sicherheitskonzept ist die zwingende und absolut sinnvolle Basis, um das hochkomplexe Thema 'iT-Sicherheit' in Ihrem Unternehmen mit möglichst wenig Aufwand, kosteneffizient und effektiv in den Griff zu bekommen.

Ziele

Ihr iT Sicherheitskonzept ist der Katalysator für den Erfolg Ihrer iT-Sicherheitsmaßnahmen.

Da die iT-Sicherheitsrisiken, denen Unternehmen heutzutage ausgesetzt sind, bekannt sind und auch die Maßnahmen, mit denen Unternehmen sich davor schützen können, ebenfalls weitgehend klar sind, geht es bei der Erstellung Ihres iT Sicherheitskonzepts primär darum, diese allgemeinen Vorgaben und Rahmenbedingungen an die individuellen Schwerpunkte und Anforderungen Ihres Unternehmens anzupassen

Am Ende des Prozesses muss Ihr iT Sicherheitskonzept klar und deutlich die Antwort darauf geben, welche Ziele erreicht, welche Mindestanforderungen (bspw. Wiederanlauf-Niveau) eingehalten und welche Richtlinien und Maßnahmen in welcher Reihenfolge umgesetzt werden müssen, damit das iT-Sicherheitsniveau Ihres Unternehmens durch das iT Sicherheitskonzept nachhaltig gesteigert wird.

Damit ist Ihr iT Sicherheitskonzept zudem auch die Grundlage für einen kontinuierlichen Abgleich zwischen Ihrem Soll und Ihrer Ist-Situation und ermöglicht Ihnen, den erreichten Status Quo kontinuierlich mit Ihren Vorgaben abzugleichen.

Im Wesentlichen geht es bei der Erstellung eines iT Sicherheitskonzepts um zwei Ziele:

1.) Erhöhung des Schutzniveaus

Das primäre Ziel des iT Sicherheitskonzepts besteht darin, auf Basis eines strukturierten Vorgehens eine Liste an Zielen, Richtlinien und Maßnahmen zu erstellen, die definieren, was zu tun ist und wie mit der eigenen iT umzugehen ist, um das Risiko von Cyber-Vorfällen vorausschauend möglichst stark zu reduzieren.

Eine nachhaltige Steigerung des eigenen iT Sicherheitsniveaus kann nur dann erreicht werden, wenn iT Sicherheit tatsächlich gelebt – also als kontinuierlicher Prozess und nicht etwa als einmaliges Projekt verstanden wird. Daher definiert Ihr iT Sicherheitskonzept ebenfalls, in welchen Abständen welche Themen überprüft bzw. umgesetzt werden, um diese Kontinuität in der Praxis zu verankern.

2.) Vorbereitung für den Schadenfall

Darüber hinaus wird in einem Notfallplan festgehalten, welche konkreten Schritte im Fall des Auftretens eines iT Sicherheitsvorfalls umzusetzen sind, um den Schaden sowie die Wiederanlaufzeit möglichst gering zu halten, schnell die Arbeitsfähigkeit wiederherzustellen und so über einen Notbetrieb schrittweise in den Normalbetrieb zurückzukehren und die Aufklärung nicht unnötig zu behindern.

Diese Richtlinien werden im iT Sicherheitskonzept durch konkrete, priorisierte Maßnahmen unterfüttert, die klären, wie die in den Richtlinien enthaltenen Ziele am besten umgesetzt werden können.

Leistungen

Unser Vorgehen zur Erstellung Ihres iT Sicherheitskonzepts

1. Schritt

Status-Quo Analyse

Im ersten Schritt des iT Sicherheitskonzepts geht es um Ihre iT-Infrastruktur und Ihre Sicherheitsinfrastruktur:

Um das Ziel Ihres iT Sicherheitskonzepts – die individuelle Schwerpunktsetzung und Priorisierung von Zielen, Richtlinien und Maßnahmen – zu erreichen, bedarf es der Kenntnis des Status Quo der eigenen iT-Infrastruktur und der aktuell implementierten iT-Sicherheitsmaßnahmen. Denn ohne dieses Hintergrundwissen ist eine individuelle Anpassung schlicht nicht möglich bzw. nicht sinnvoll.

Gemeinsam analysieren und stellen wir für Ihr iT Sicherheitskonzept fest, wo Sie bereits gut aufgestellt sind, wo derzeit noch Lücken bestehen und an welchen Stellen noch gar keine Schutzmaßnahmen umgesetzt bzw. angedacht worden sind. Neuralgische Punkte sind oft aktuelle Projekte, an denen gerade und/oder unter großem Druck gearbeitet wurde – bspw. die Integration von Cloud-Diensten, Migrationen, die Anbindung von Fernzugriffen auf das Firmennetz unter Corona, etc.

Sofern Sie den aktuellen Status nicht kennen bzw. als Basis für Ihr iT Sicherheitskonzept daran interessiert sind, von uns als (bislang) unbeteiligtem Dritten eine objektive Ist-Analyse und Bewertung des derzeitigen Stands Ihrer iT-Sicherheitsinfrastruktur zu erhalten, übernehmen wir die Status-Quo Analyse im Rahmen unseres RIT® iT-Risk Assessments.

2. Schritt

Analyse Ihres Schutzbedarfs

Im zweiten Schritt geht es um Sie:

Zum einen um Ihr Geschäftsmodell: Im gemeinsamen Diskurs bewerten wir mit Ihnen welche individuellen Schwerpunkte in Bezug auf iT-Sicherheitsrisiken aus Ihrer Tätigkeit, Ihrer Branche und Ihrem Geschäftsmodell resultieren.

Darüber hinaus analysieren wir mit Ihnen, welche Ihrer Daten besonders schützenswert, welche Ihrer Prozesse vital für die Handlungsfähigkeit Ihres Unternehmens und welche Ihrer iT-Systeme (d.h. Hard- und Software) daran beteiligt sind. Auf dieser Basis können wir entsprechende Mindsets und Strukturen für Ihr iT Sicherheitskonzept schaffen.

Insgesamt geht es in diesem Schritt um die Bestimmung und Konkretisierung Ihres Schutzniveaus. Die typischen Fragen, die in diesem Zusammenhang bearbeitet werden, sind:

  • Was (Daten, Prozesse, Mitarbeiter*innen, etc.) muss geschützt werden?
  • Wie stark muss der Schutz ausfallen?
  • Wie viel (Daten-)Verlust / (System-)Ausfall sind für Sie akzeptabel?
  • Was ist für einen Notbetrieb unerlässlich?
  • Wie lange darf die Wiederanlaufzeit im Notfall sein?

Als 'Werkzeugkoffer' für diese Gespräche nutzen wir unsere eigenen Vorlagen, die wir in den vergangenen 20 Jahren auf Basis unserer Erfahrungen im Umfeld mittelständischer Unternehmen sowie in Anlehnung an den BSI Grundschutz und ISO 27001 erstellt haben; ergänzend berücksichtigen wir die Vorgaben und Regelungen aus der europäischen Datenschutzgrundverordnung (EU-DSGVO) und dem aktuellen Bundesdatenschutzgesetz (BDSG neu). Unsererseits ist explizit gewünscht, dass Ihr(e) Datenschutzbeauftragte(r) an diesen Gesprächen aktiv teilnimmt, damit Sie auch hier einen entsprechenden Zusatznutzen realisieren können und Vorgaben hinreichend berücksichtigt werden.

Ein weiterer wichtiger Grundstein für die Analysephase ist – soweit vorhanden – Ihre iT-Strategie. Denn die dort aufgeführten strategischen und operativen Ziele sind eine wertvolle Basis für eine darauf abgestimmte Bestimmung des iT-Sicherheitsniveaus.

3. Schritt

Richtlinien- und Maßnahmenplanung

Im dritten und letzten Schritt zum iT Sicherheitskonzept geht es um Ihre To Dos:

Auf Basis der Ergebnisse aus den ersten beiden Schritten werden diejenigen Richtlinien und Maßnahmen identifiziert, die für die nachhaltige Steigerung des iT-Sicherheitsniveaus Ihres Unternehmens zum aktuellen Zeitpunkt den größten Hebel haben.

Diese To Dos sind es, die nicht nur darüber entscheiden, ob Ihr Unternehmen überhaupt angemessen gegen Cyber-Vorfälle geschützt ist, sondern ob Sie das realisierte Schutzniveau ansatzweise zu einem sinnvollen Preis-/Leistungsniveau realisiert haben.

Denn in Bezug auf iT-Sicherheit kann man im Grunde nur zwei große Fehler machen:

  1. Nichtstun
  2. Aktionismus

Die teils marktschreierischen Angebote vieler Hersteller im Bereich der iT-Sicherheit in Kombination mit dem medialen Druck, der spürbar wird, sobald der nächste prominente iT-Sicherheitsvorfall auftritt, führen schneller zu Aktionismus, als sich das viele bewusst machen. Aktionismus in Bezug auf iT-Sicherheit ist deshalb so gefährlich, weil bei einem unpriorisierten, punktuellen Vorgehen schnell Unmengen an Geld verbrannt werden, ohne dass das Schutzniveau merklich steigt.

Deshalb ist ein ganzheitliches und auf Ihre jeweiligen Anforderungen ausgerichtetes iT Sicherheitskonzept mit aufeinander abgestimmten Zielen, Richtlinien und Maßnahmen so wichtig, bevor Maßnahmen identifiziert oder gar umgesetzt werden.

Am Ende dieser Phase haben wir gemeinsam mit Ihnen ein ganzheitliches Konzept zur Steigerung der iT-Sicherheit Ihres Unternehmens erarbeitet, das konkrete und priorisierte Ziele, Richtlinien und Maßnahmen enthält, um die Resilienz Ihres Unternehmens gegen Cyber-Vorfälle nachhaltig zu erhöhen.

Um dieses Ziel zu erreichen, dient Ihr iT Sicherheitskonzept auch und gerade als Leitfaden und Basis für bevorstehende Projekte und als Richtschnur, um das Schutzniveau dauerhaft auf dem von Ihnen gewünschten Level zu halten.

Kundenstimmen
"R.iT = Garant für Aktualität und iT-Sicherheit."
Kai Kittel,
Geschäftsführung Familien-  und Krankenpflege e.V. Herne

Basis für eine effektive und zielgerichtete Umsetzung

Wann Sie die Maßnahmen des iT Sicherheitskonzepts umsetzen, ist dabei ganz Ihnen überlassen und richtet sich natürlich nach Ihrem finanziellen und zeitlichen Budget. Aber Sie können sicher sein, dass jede neue Maßnahme, die Sie basierend auf diesem Konzept umsetzen, Sie schrittweise Ihrem Ziel näherbringt: Einem immer besser gegen Cyber-Vorfälle geschützten Unternehmen, das auch im Ernstfall so aufgestellt ist, dass der Schaden minimiert wird.

Da sich die heutigen Rahmenbedingungen schnell ändern und iT an immer mehr Stellen im Unternehmen genutzt wird, sollten Sie Ihr iT Sicherheitskonzept regelmäßig aktualisieren, um immer handlungsfähig zu sein. Die Häufigkeit ist hierbei abhängig von Ihrem Entwicklungsgrad in Bezug auf umgesetzte iT-Sicherheitsmaßnahmen einerseits und andererseits natürlich davon, wie stark sich Ihre iT-Infrastruktur zwischenzeitlich verändert hat. Üblicherweise sind ein bis drei Jahre ein realistisches Intervall, in dem Sie Ihr vorhandenes iT Sicherheitskonzept aktualisieren sollten.

Wie oben bereits beschrieben, kann eine nachhaltige Erhöhung Ihres iT-Sicherheitsniveaus nur erreicht werden, wenn iT-Sicherheit in Ihrem Unternehmen als kontinuierlicher Prozess verstanden wird: Während also Ihr iT Sicherheitskonzept bspw. im ein- bis dreijährigen Turnus überarbeitet und aktualisiert wird, muss sein Inhalt natürlich regelmäßig – also bspw. einmal pro Quartal / Halbjahr – zu Rate gezogen werden, um auf der Basis dieses Soll-Ist-Vergleichs fundiert zu entscheiden, an welchen Stellen als nächstes sinnvoll gehandelt werden sollte.

Unsere Erfahrung – Ihr Vorteil

Handeln Sie im Bereich iT-Sicherheit nicht, ohne ein vernünftiges iT Sicherheitskonzept. Denn erst die Kombination aus einem starken Partner und einem fundierten iT Sicherheitskonzept ist der Garant dafür, dass Sie Ihr iT-Sicherheitsniveau nachhaltig und zu angemessenen Kosten steigern.

Mit unserer mehr als 20-jährigen Erfahrung im Bereich der iT-Sicherheit und der Erstellung von iT Sicherheitskonzepten in mittelständischen Unternehmen, mit unserer Expertise aus zahlreichen Projekten, und Workshops, durch unser Engagement auf iT-Sicherheitskongressen und anderen iT-Sicherheitsveranstaltungen und durch unsere Auszeichnungen vom BMWi und ECSO stehen wir für überdurchschnittliche Qualität und zuverlässige Ergebnisse. Unsere erfahrenen iT-Security Consultants beraten Sie gern in jeder Phase, wie Sie die iT-Sicherheit Ihres Unternehmens auf Basis eines fundierten und ganzheitlichen iT Sicherheitskonzepts nachhaltig steigern – sprechen Sie uns an!

Zielgruppen

Unsere iT Sicherheitskonzepte richten sich vor allem an folgende Menschen:

Grundsteinleger*innen

Sie möchten die iT-Sicherheit Ihres Unternehmens durch ein iT Sicherheitskonzept auf eine fundierte Grundlage stellen?

Entscheider*innen

Sie suchen nach einem erfahrenen Partner, der gemeinsam mit Ihnen ein auf Ihre Anforderungen maßgeschneidertes iT Sicherheitskonzept erstellt, das es Ihnen ermöglicht, zielgerichtet, effizient und nachhaltig die iT-bezogene Resilienz Ihres Unternehmens zu steigern?

iT-Verantwortliche

Sie haben bereits ein iT Sicherheitskonzept, möchten es aber aktualisieren und/oder überprüfen?

Unternehmenslenker*innen

Sie überlegen, wie Sie das hochkomplexe Thema 'iT-Sicherheit' am besten angehen können und suchen nach einem Partner, der Sie mit einem iT Sicherheitskonzept dabei begleitet?

Referenzen

Einblick in unsere Projekte

Lesen Sie hier von zufriedenen Kunden, die von der Durchführung erfolgreicher Projekte im Zuge ihrer Digitalen Transformation profitiert haben:

Autorisierung

Seit 2015 sind wir vom Bundeswirtschaftsministerium im Rahmen eines Pilotprojekts in NRW zu go-digital, das mittlerweile bundesweit ausgerollt wurde, dazu autorisiert, geförderte Projekte in den beiden Bereichen digitale Geschäftsprozesse und iT-Sicherheit durchzuführen.

Verwandte Leistungen

Sie haben Interesse an einem nachhaltigen, zielgerichteten und effektiven iT Sicherheitskonzept? Dann könnten folgende Themen auch von Interesse für Sie sein:

RIT® iT-Risk Assessment

Strategieberatung

Zu wissen, wie Ihr Unternehmen für den Ernstfall aufgestellt ist, ist sowohl für Ihr Risikomanagement als auch zur nachhaltigen Stärkung der Resilienz Ihres Unternehmens von hoher Relevanz.

Ihr iT Sicherheitskonzept ist dabei die zentrale Grundlage – aber eben 'nur' die Grundlage: Wie die praktische Umsetzung der in Ihrem iT Sicherheitskonzept aufgeführten Ziele, Richtlinien und Maßnahmen in Ihrem Unternehmen aussieht, ist eine mindestens ebenso wichtige Frage.

Wenn Sie daher – gerade auch aus kaufmännisch-strategischer Sicht – wissen möchten, wie es um die aktuelle iT-Sicherheit Ihrer iT-Infrastruktur bestellt ist, welche Risiken bestehen und mit welchen konkreten, priorisierten Handlungsempfehlungen Sie diese in den Griff bekommen können, ist unser RIT® iT-Risk Assessment die passende Beratungsleistung für Sie.

Wie oben beschrieben, können die hier gewonnenen Ergebnisse zudem sehr gut als Grundlage für die weitere Ausarbeitung und/oder Aktualisierung Ihres iT Sicherheitskonzepts genutzt werden.

iT-Strategie

iT-Beratung

iT-Sicherheit ist eine zentrale Voraussetzung, um die Zukunftsfähigkeit sowie nachhaltige Wettbewerbsfähigkeit Ihres Unternehmens zu gewährleisten.

Eine weitere Voraussetzung besteht darin, dass wir unsere Unternehmen optimal für die sich aus der Digitalen Transformation ergebenden neuen Anforderungen aufstellen. Dazu sind Vorbereitungen auf drei Ebenen zu treffen:

  1. Strategie
  2. Organisation
  3. (Informations-)Technologie

Neben einer passenden Digitalisierungsstrategie und den passenden organisatorischen Rahmenbedingungen ist eine auf die Anforderungen der Digitalen Transformation ausgerichtete iT-Strategie dabei einer von drei wichtigen Bausteinen.

Im Rahmen unserer Beratungsleistungen zur iT-Strategie erarbeiten wir gemeinsam mit Ihnen auf strategischer Ebene, wie Sie den Bereich 'Informationstechnologie' in Ihrem Unternehmen aufstellen sollten, damit er die Digitale Transformation Ihres Unternehmens optimal unterstützt.

Strategie für Cloud Dienste

iT-Beratung

Im Rahmen der Erstellung Ihres iT Sicherheitskonzepts spielt die Integration von Cloud-Diensten eine wesentliche Rolle, denn die Nutzung Cloud-basierter Leistungen wird für immer mehr Unternehmen ein essentieller Bestandteil Ihrer iT-Infrastruktur.

Nutzen Sie das Fachwissen und die Praxis-erprobte Projekterfahrung unserer iT-Experten, um im gemeinsamen Diskurs eine nachhaltige Strategie zur Nutzung der Cloud-Dienste für Ihr Unternehmen zu entwickeln und gern auch gemeinsam mit uns schrittweise in die Praxis umzusetzen.

Ansprechpartner

Lassen Sie uns gemeinsam Ihre digitale Transformation gestalten.

Als Ihr Ansprechpartner für die Erstellung Ihres individuellen iT Sicherheitskonzepts stehe ich Ihnen gerne für Ihre Rückfragen zur Verfügung.

Niklas Zistler

iT-Professional