So erstellen Sie ein IT-Sicherheitskonzept (Teil 1 – IT-Richtlinie)

Wichtiger Hinweis: Die Ausführungen hier sind veraltet und werden derzeit an die DSGVO angepasst. Ihr könnt sie zwar noch verwenden, solltet dann aber auch schon die Vorgaben aus Art. 32, 25 und 24 DSGVO „implementieren“.
Zuletzt aktualisiert: 09.11.2015
Wie…wir brauchen ein IT-Sicherheitskonzept? Was soll denn das sein? Haben wir nicht schon so etwas? Wir hatten doch mal so etwas erstellt, oder…? Diese und ähnliche Fragen treten gerne auf, wenn das Thema IT-Sicherheit im Unternehmen auf einmal aufkommt. Häufig stellen wir uns diese Fragen, wenn ein Vertragspartner auf einmal nach einem solchen Dokument fragt oder wir bei Durchsicht eines Vertrages mit einem Auftraggeber oder Kunden eine Vertragsklausel finden, in der steht, dass der Auftragnehmer („wir“) verpflichtet ist, ein IT-Sicherheitskonzept vorzuhalten oder gar vorzulegen. Und auch in – hinsichtlich der IT-Sicherheit – gut aufgestellten Unternehmen kommen manchmal Fragen dazu auf, ob die bisherige Konzeption des Informationssicherheits-Management-Systems (ISMS) noch aktuell ist oder ggf. optimiert werden kann.

Wie Sie wahrscheinlich wissen, bin ich Jurist. Genau genommen bin ich Rechtsanwalt. Ich bin also eigentlich gar nicht prädestiniert und wohlmöglich auch nicht qualifiziert dafür, hier Anleitungen und Hinweise zu geben, die Ihnen dabei helfen, ein IT-Sicherheitskonzept zu erstellen. Und vielleicht haben Sie sogar Recht. Es hat sicher einen Grund, dass IT-Sicherheitskonzepte von Technikern erstellt werden, oder? Und dennoch…bei meinem Internet-Angebot Datenschutz-Guru geht es eben nicht darum, dass ich der Guru bin. Es geht darum, die besseren Fragen zu stellen, um zu den besseren Ergebnissen zu gelangen. Genau das führt letztlich zu Erfolg. Aber was ist Erfolg? Erfolg ist, wenn Sie ihre Ziele erreichen! Und wenn Ihr und unser Ziel ist, IT-Sicherheit im Unternehmen einfach und effektiv besser umzusetzen als vorher, dann ist es auch Fachfremden erlaubt, Fragen zu stellen.
Und kennen Sie das nicht auch, dass Sie häufig so tief in Ihrer Fachwelt stecken, dass Sie den Wald vor lauter Bäumen nicht mehr sehen. Und wenn dann z.B. ein Arbeitskollege oder noch besser Ihr Lebenspartner fragt, warum Sie das nicht einfach “so und so“ machen, geht Ihnen auf einmal ein Licht auf, und es fällt der Groschen…die Lösung war viel einfacher als Sie dachten.

Ich erlaube mir daher – frech wie ich bin – hier Ausführungen als Jurist zu einem Technikthema zu machen. Und wenn wir es einmal näher betrachten, sehen wir sogar, dass es gar nicht nur ein technisches Thema ist. Auch wenn die Durchführung der Erstellung eines IT-Sicherheitskonzeptes ein primär techniklastiges Thema ist; die wesentlichen Motive für die Erstellung eines IT-Sicherheitskonzepts sind Rechtssicherheit und vor allem Risikominimierung und Risikominderung. Und diese Themen wiederum sind nicht nur mittelbar beeinflusst durch Recht, sondern sogar getrieben von Recht.

Meine Erfahrung als Anwalt mit IT-Sicherheitskonzepten: Meine erste unmittelbare mit IT-Sicherheitskonzepten stammt aus einer Zeit, in der ich noch als Referendar beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) tätig war. Das war 2002. In diesem Jahr ist im ULD das „backUP – Magazin für IT-Sicherheit“ zum ersten Mal veröffentlicht worden. Und in der ersten Ausgabe, die nach wie vor gelungen und in den wesentlichen Teilen immer noch aktuell ist, wurde das Thema „IT-Sicherheitskonzepte – Planung, Erstellung und Umsetzung“ ziemlich umfassend und vor allem verständlich abgehandelt. Das war das erste Mal, das ich wirklich verstanden habe, wie so ein IT-Sicherheitskonzept erstellt wird und was dabei beachtet werden muss. Wenn Sie gleich in die Materie einsteigen wollen…einen Link zum Magazin finden Sie hier:

Da ich schon zu Beginn meiner Anwaltszeit vornehmlich im IT-Recht und mittlerweile nur noch im Datenschutzrecht (und Recht der IT-Sicherheit) tätig bin, habe ich seitdem etliche IT-Sicherheitskonzepte gesehen, geprüft und evaluiert. Und noch häufiger habe ich erlebt, dass IT-Sicherheitskonzepte nicht vorhanden waren, obwohl wir das hätten erwarten können. Selbst in Verfahren für Datenschutz-Gütesiegel wie das Gütesiegel für IT-Produkte des ULD oder das European Privacy Seal (EuroPriSe) dürfen wir Gutachter uns manchmal wundern, dass selbst datenschutzaffine Unternehmen ihre Hausaufgaben im Bereich der Informationssicherheit nicht gemacht haben und z.B. IT-Sicherheitskonzepte fehlen.

Mit den Newsletter-Ausgaben „So erstellen Sie ein IT-Sicherheitskonzept“ möchte ich versuchen, gerade kleinen und mittelständischen Unternehmen das Thema näher zu bringen und ihnen zu ermöglichen, ein passendes IT-Sicherheitskonzept für ihr Unternehmen mit vertretbarem Aufwand zu erstellen und nach Möglichkeit auch zu pflegen. Die Idee dazu hatte ich, nachdem ich vor kurzem in Berlin eine Schulung für Mitarbeiter von mittelständischen Unternehmen durchgeführt habe, die das Thema IT-Sicherheitskonzepte im Hinblick auf den Datenschutz in Unternehmen beleuchten sollte. Es war das zweite Mal, dass ich dieses Seminar gehalten habe. Und als ich am Ende des ersten Seminartages in die Gesichter der Teilnehmer schaute, sah ich ziemlich genau, dass sie wahrscheinlich niemals Zeit und Ressourcen dafür aufbringen können, in ihren eher kleinen Unternehmen ein IT-Sicherheitskonzept nach BSI-Standard zu erstellen. Selbst bei Verwendung von Software-Tools bleibt der Aufwand immer noch enorm.

Was ich jedoch noch für viel relevanter halte, ist die Tatsache, dass ein IT-Sicherheitskonzept, das den BSI-Standard entspricht, sehr häufig weniger aussagekräftig ist, als ein zusammenhängend geschriebenes – selbstgestricktes – IT-Sicherheitskonzept, sofern dies bestimmte Kriterien erfüllt.

Als ich am Abend nach einer schönen Lauf-Runde durch den Tiergarten in Berlin in meinem Hotelzimmer angekommen war, habe ich die gesamte Seminarkonzeption für den zweiten Tag komplett neu gestaltet. Meine Idee war, zwar eine Anlehnung an BSI-Standard vorzunehmen, bei den wesentlichen Inhalten eines IT-Sicherheitskonzeptes jedoch die inhaltlichen Vorgaben für die Erstellung eines IT-Sicherheitskonzeptes aus dem o.g. backUP-Magazin des ULD als Grundlage anzusetzen.

Das ergab sich im Ergebnis für mich folgender Aufbau der IT-Sicherheitskonzeption:

  • Jedes Unternehmen braucht eine IT-Richtlinie, die grundlegende Vorgaben für die Benutzung von IT-Systemen und Applikationen enthält und die sich an die Benutzer – also in der Regel die Mitarbeiter – richtet.
  • Ein IT-Sicherheitskonzept, das in verständlicher Weise die grundlegenden technischen und organisatorischen Maßnahmen darstellt, die im Unternehmen zur Gewährleistung von Datenschutz und Datensicherheit getroffen werden.
  • Flankierend zum IT-Sicherheitskonzept wird für jedes Unternehmen eine Auflistung der nach § 9 BDSG Betroffenen technischen und organisatorischen Maßnahmen in übersichtlicher Weise vorgenommen.

Kommen wir in diesem Newsletter am besten doch gleich zum ersten Punkt. Sie finden im Internet zahlreiche Muster für IT-Richtlinien, EDV-Benutzerrichtlinien oder ähnliche Dokumente, in denen es darum geht, dass ein Unternehmen (oder eine öffentliche Stelle) den Nutzern von IT-Systemen und -anwendungen Vorgaben im Umgang mit diesen Ressourcen macht. Es gibt sehr umfangreiche Dokumente, und es gibt sehr kurze Dokumente.

Für mich ist entscheidend, dass das Dokument neben den Basis-Inhalten vor allem auch für die Adressaten noch verständlich bleibt. Für meine Seminarteilnehmer habe ich einfach ein neues Dokument erstellt, das dem entspricht, wie ich mir eine IT-Richtlinie für ein kleines oder mittelständisches Unternehmen grundsätzlich vorstelle. Es ist nur ein Vorschlag, und Sie können das sicherlich besser machen als ich. Und Sie wissen ja wie das ist…manchmal ist es einfach hilfreich, wenn wir ein Muster haben, an dem wir uns orientieren können, um selbst unseren Weg zu einem noch besseren Dokument zu finden.

Also…warum fangen Sie nicht auch einfach an, ihre eigene IT-Richtlinie zu schreiben? Sie sind herzlich eingeladen, hierfür mein Muster zu verwenden, dass ich hier als Word-Dokument zur Verfügung stelle:

Es ist wirklich sehr leicht, so einen Anfang zu machen und das Dokument an ihre persönlichen Bedürfnisse anzupassen und – vor allem – zu verbessern.

Wenn Sie jedoch lieber auf Nummer sicher gehen wollen, dann sollten Sie in der Tat den Weg über BSI-Standard („Grundschutz“) gehen. Hier brauchen Sie dann die BSI-Dokumente „Standard 100-1 bis 100-4“. Es handelt sich jeweils um PDF-Dokumente. Im BSI-Standard 100-1 geht es um die Erstellung einer Sicherheitsleitlinie werden allgemeine Anforderungen an Informationssicherheits-Management-Systeme beschrieben. Das eigentliche „Brot-und-Butter“-Dokument ist dann BSI-Standard 100-2, wo erläutert wird, wie die Strukturanalyse der IT-Systeme, Anwendungen, Räume und Netzkomponenten erfolgt und wie Sie dann die Schutzbedarfsfeststellung und die Ermittlung der Gefährdungen und der jeweils zu treffenden Maßnahmen aus den IT-Grundschutzkatalogen/-bausteinen entnehmen. Die BSI-Dokumente finden Sie hier:

Für viele Unternehmen ist dies jedoch nach wie vor etwas komplex und daher vielleicht nicht die beliebteste Wahl.

Teil 2 der Serie zur Erstellung eines Sicherheitskonzepts können Sie hier abrufen:
So erstellen Sie ein IT-Sicherheitskonzept (Teil 2) – Die “GM”-Methode