Umsetzung

Wie wird IT-Sicherheit umgesetzt?

Die Sicherheitsmaßnahmen in Organisationen werden i.d.R. vom Verantwortlichen für Informationssicherheit bzw. von der Leitung der Organisation festgelegt. Sie müssen an den Wert der zu schützenden Daten angepasst werden, da zu viele Maßnahmen finanziell häufig nicht umsetzbar sind und auch bei den Mitarbeitern auf wenig Akzeptanz stoßen. Zudem müssen die Mitarbeiter für IT-Sicherheit sensibilisiert und durch Schulungen befähigt werden, entsprechende Sicherheitsrichtlinen umzusetzen, um eigenverantwortlich für mehr Sicherheit zu sorgen, wenn sie mit IT-gestützter Information umgehen.

In regelmäßigen Audits (Sicherheitsaudits, Teilaudits) müssen die ergriffenen Maßnahmen überprüft werden, um ein festgelegtes Maß an IT-Sicherheit dauerhaft zu gewährleisten und gegebenenfalls bestehende Sicherheitsrisiken zu erkennen. Aus den Ergebnissen der Audits lassen sich weitere oder geänderte Maßnahmen ableiten, um die Risiken zu reduzieren oder zu beseitigen.

IT-Sicherheitskonzept?

Grundlage für die festgelegten Maßnahmen und die regelmäßigen Audits zur IT-Sicherheit sollte ein IT-Sicherheitskonzept sein, das speziell auf die Bedürfnisse des Unternehmens abgestimmt ist.

Wir empfehlen ein IT-Sicherheitskonzept nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das BSI hat IT-Grundschutzstandards entwickelt, mit deren Hilfe zügig entsprechende Vorgaben im Unternehmen umgesetzt werden können. Dieses Hilfsmittel ist besonders für Unternehmen interessant, die sich nicht nach irgendwelchen ISO-Standards zertifizieren lassen wollen, sondern ein IT-Sicherheitskonzept benötigen, das "schlank" ist, wenig Aufwand erfordert und sich streng nach der gelebten Praxis im Unternehmen richtet.

IT-Sicherheitsbeauftragter

Analog zum Datenschutzbeauftragten kann es nicht zuletzt für größere Organisationen sinnvoll sein, einen IT-Sicherheitsbeauftragten zu ernennen, auch wenn eine solche Funktion in Unternehmen oft bislang nicht vorgesehen ist.

Neben ihrer notwendigen fachlichen Kompetenz sollte diese Person möglichst unabhängig von den Stellen sein, die maßgeblich die Gestaltung der IT-Landschaft und die Verarbeitung der Daten prägen. Diese Voraussetzungen erfüllt oft nur ein externer IT-Sicherheitsbeauftragter.