Definition: Ein Sicherheitskonzept verfolgt das Ziel ein vordefiniertes Datensicherheitsniveau zu erreichen. Dazu werden verschiedene Schadens- und Angriffsszenarien durchgeplant und zu diesen Gegenmaßnahmen entworfen.
Stichpunkte:
- Prozess
- Dokumentation
- BSI IT-Grundschutzbaustein M 2.195
- Risikoanalyse
- Strukturanalyse
- Maßnahmenplanung
- IT- Grundschutz
- Vertraulichkeit, Verfügbarkeit und Integrität
- Security & Safety
Hinter einem Sicherheitskonzept steht ein kontinuierlicher Prozess, der zum Ziel hat die informationstechnische Infrastruktur in einem Unternehmen oder einer Praxis zu verbessern. Das Konzept besteht aus mehreren Abschnitten, die sich durch eine Risikobewertung des gesamten Unternehmens ergeben. Dabei werden Aspekte der „Security“ (Schutz) und des „Safety“ (Sicherheit) abgefragt. Die „Security“ befasst sich mit der Absicherung gegenüber böswilliger Angriffe. Der „Safety“-Aspekt hingegen versucht das Risiko von menschlichem oder technischem Versagen zu verringern. Das Bundesamt für Sicherheit in der Informationstechnik sieht in seinem IT-Grundschutzkatalog M 2.195 (https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02195.html) den Inhalt eines Sicherheitskonzeptes vor.
Zu Beginn wird eine Strukturanalyse der gesamten IT durchgeführt, bei der alle Komponenten mit den entsprechenden Daten, die sie verarbeiten, erfasst werden. Auf Grundlage dessen wird für jedes System dediziert der Schutzbedarf für Vertraulichkeit, Verfügbarkeit und Integrität bestimmt. Mit diesen Daten werden Maßnahmen bestimmt, die die Sicherheit des Systems gewährleisten sollen und mit dem Ist-Zustand verglichen. Wenn dabei festgestellt wird, dass ein zusätzlicher Analysebedarf, beispielsweise wegen besonders hoher Sicherheitsanforderungen, besteht, wird für das betreffende System eine tiefergehende Risikoanalyse durchgeführt. Wenn diese Schritte abgeschlossen wurden, folgt die Umsetzung der identifizierten Maßnahmen. Dieser Untersuchung wiederholt sich in regelmäßigen Abständen.
Dieses ganze Vorgehen wird in dem Sicherheitskonzept dokumentiert und auch alle identifizierten Maßnahmen werden dort festgehalten. Aus diesem Grund ist das Sicherheitskonzept hoch vertraulich, da es unter anderem aktuelle Schwachstellen der IT-Landschaft aufführt, und sollte noch einem eingeschränkten Personenkreis zur Verfügung gestellt werden.
