Der Bereich der Konzept-Erstellung umfasst im Bereich der IT-Sicherheit die folgenden Aspekte:

  • Bestandsaufnahme einer bestehenden IT-Sicherheitsstruktur
  • Schwachstellenanalyse
  • Risikoanalyse / Risikofolgeabschätzung
  • Erstellung/Erweiterung eines IT-Sicherheitskonzeptes
  • Erstellung/Erweiterung des Notfallhandbuches

Hierbei ist zu beaachten, dass dies weder eine Rechtsberatung noch eine abschließende Betrachtung nach DSGVO-EU umfasst.

Beide Bereiche werden nach bestem Wissen mit berücksichtigt, die Erstellung der Konzepte ersetzt aber weder eine Rechtsberatung (besonders zu Themen des Arbeitsrechts) noch die Einbindung eines  internen oder externen Datenschutzbeauftragten, da in diesen Bereichen weitergehende Punkte zu beachten sind als rein IT-spezifische Gesichtspunkte.

 

Bei der Bestandsaufnahme unter IT-Sicherheits-Gesichtspunkten wird ähnlich der IT-Strukturanalyse eine Aufnahme der physischen und logischen Struktur der Unternehmens-IT vorgenommen, allerdings in einem deutlich größeren Umfang.

Hierbei  werden unter anderem Art und Umfang der Dokumentation, Prüfzyklen, Parameter wie z.B. Art und Lebensdauer von Kennwörtern, Berechtigungsstrukturen oder auch Vertretungsregelungen mit aufgelistet und auf Schwachstellen hin untersucht.

Diese Bestandsaufnahme dient lediglich dem Zweck, einen aktuellen Status zu erhalten, von dem aus eine Schwachstellen- und anschließend eine Risiko-Analyse durchgeführt bzw. zu einem späteren Zeitpunkt ein IT-Sicherheitskonzept erstellt werden kann.

Bei geplanten Änderungen der IT-Struktur sollten die Planungen mit dem Bestand zusammengeführt werden, um auf Grund dieser neuen Ausgangslage ein zukunftsorientiertes IT-Sicherheitskonzept aufbauen zu können.

 

Im nächsten Schritt, der Risikoanalyse oder Risikofolgeabschätzung wird analysiert, welche Schwachstellen zu welchem Schaden führen und wie diese behoben werden können.

Diese Abschätzung erfolgt in enger Zusammenarbeit mit dem Kunden, da die hierbei zu berücksichtigenden Faktoren wie z.B. Versicherungen, Unternehmensausrichtung und Risikobereitschaft unternehmensbedingt unterschiedlich ausgeprägt sind.

Die entsprechende Gewichtung der einzelnen Bausteine führt anschließend oftmals zu einer direkten Priorisierung in der Schwachstellenbeseitigung und legt den Grundstein für das hieraus resultierennde IT-Sicherheitskonzept.

 

Die Erstellung oder Aktualisierung eines IT-Sicherheitskonzeptes Ihnen klare Richtlinien zur Verfügung, wie mit der Unternehmens-IT in Bezug auf IT-Sicherheit umzugehen ist. Hierfür ist zwingend eine vorherige Durchführung einer Ist-Aufnahme mit nachfolgender Risikoanalyse durchzuführen, um eventuell veränderte Grundvoraussetzungen mit zu erfassen.

Das IT-Sicherheitskonzept sollte regelmäßig (spätestens nach einem Jahr) und nach größeren Veränderungen in der IT-Struktur aktualisiert werden, um den neuen Gegebenheiten Rechnung zu tragen.

Betrachtungen, welche sich aus dem IT-Sicherheitskonzept ergeben, werden mitunter auch direkte Bestandteile des Notfallhandbuches, welches Ihnen im Störfall Anweisungen an die Hand gibt, wie Sie schnellstmöglich einen Notbetrieb aufrecht erhalten können.