Icon IT-Sicherheit
Cloud- & Cyber-Security

Anwendungen schützen – mit Konzept

Matthias Niedung
Verfasst von: Matthias Niedung
Berater für IT-Sicherheit und Datenschutz

Wenn wir Informationssicherheit betrachten, betrachten wir das Ganze. Der Blick von oben – die Organisation der Sicherheit in Ihrem Unternehmen. Doch was, wenn es konkret wird? Wir schützen Sie eine spezielle Anwendung?


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.


Wie weisen Sie nach, dass Sie Sicherheit auch wirklich und nachhaltig implementiert haben? Dafür eignet sich das IT-Sicherheitskonzept. Das IT-Sicherheitskonzept ist die Symbiose aus dem Gesamtkonzept und dem speziellen Einzelfall. Immer wieder werden wir im Beratungskontext darum gebeten, spezielle Sicherheitskonzepte für individuelle oder neu eingesetzte Anwendungen zu entwickeln. Aufgabe ist es, die vorhandenen Prozesse, die Anwendung und Ihre Risiken zu identifizieren, zu analysieren und die besten Maßnahmen für einen sicheren Betrieb zu erarbeiten. Dabei setzen wir als Althammer & Kill die Vorgaben des BSI-Grundschutzes.

Das Vorgehen ist dabei einheitlich definiert, damit auch unabhängige Dritte entsprechende Ableitungen treffen können.

Die Vorgehensweise

Der Informationsverbund

Je nachdem, wofür Sie das Sicherheitskonzept benötigen, muss dieser Verbund definiert werden. Dazu gehört es, neben der Anwendung beziehungsweise dem Geltungsbereich auch zu identifizieren, welche Partner, Dienstleister und Schnittstellen vorhanden sind. Denn nur ein vollständiger Überblick ermöglicht vollständigen Schutz.

Die Strukturanalyse

Tiefergehend folgt die Strukturanalyse. Welche Systeme, welche Software, welche Bibliotheken kommen zum Einsatz? Der „Deep Dive“ versetzt Sie in die Lage, das zu schützende Gut vollständig zu verstehen und so die weiteren Prozesse zu ermöglichen.

Schutzbedarfsfeststellung

Bei der Schutzbedarfsfeststellung ermitteln wir, welchen Schutz Sie für die vorbenannten Prozesse, Systeme und Informationen Sie auswählen sollten. Dabei wird auch kritisch geprüft, was für Anforderungen sich aus Verträgen oder Gesetzen ableiten.

Modellierung

Auf Basis der Schutzbedarfsfeststellung werden fortan die Maßnahmen modelliert. Dabei hilft ein Blick in die BSI-Grundschutz-Kataloge, aber auch eigene Maßnahmen können sinnvolle Ergänzungen zum Schutz Ihrer Werte darstellen.

Basis-Sicherheitscheck

Hier wird geprüft, welche Anforderungen Sie schon erfüllen und ob Sie weitere umsetzen sollten. Ein Basis-Sicherheitscheck – den man auch als Bestandsaufnahme betrachten könnte – offenbart die Stärken und Schwächen Ihres bisherigen Handelns.

Ergänzende Sicherheitsanalyse

Die ergänzende Sicherheitsanalyse stellt fortan sicher, dass nicht vollständig abgedeckte Aspekte identifiziert werden. Hierbei werden natürlich die vorgelagerten Phasen genutzt, um das Schutzniveau signifikant erhöhen zu können.

Risikoanalyse

Bei der nun folgenden Risikoanalyse werden die erkannten Risiken den Maßnahmen gegenübergestellt und geprüft, ob diese nachhaltig und effektiv die Risiken mindern. Ist das nicht der Fall, werden weitere Maßnahmen identifiziert, geprüft und umgesetzt. Eine erneute Risikoanalyse ermöglicht dann die erneute Prüfung der Risikoreduktion.

Dokumentation

Selbstredend muss das aus der Vorgehensweise erstellte Konzept dokumentiert werden. Dabei ist zu betrachten, dass das IT-Sicherheitskonzept auch für die Personen verständlich dokumentiert ist, die es umsetzen müssen – ein Sicherheitskonzept, das für den praktischen Umgang mit der Anwendung nicht geeignet ist, erfüllt den eigentlichen Zweck nicht. Deshalb ist es ratsam, bei der Erstellung des Sicherheitskonzeptes auch die relevanten Stakeholder mit einzubeziehen.

Fertig – und nun? Das lebende Sicherheitskonzept

Wie in allen Bereichen von Sicherheit und Qualität muss man verstehen, dass auch ein Sicherheitskonzept ein lebendes Dokument ist. Neue Funktionen, neue Dienstleister oder gravierende Änderungen machen es notwendig, das Sicherheitskonzept zu aktualisieren und es den veränderten Gegebenheiten anzupassen. Nur gelebte und lebendige IT-Sicherheit hat auch langanhaltende und nachhaltige Wirkung. Deshalb muss das Sicherheitskonzept in die Dokumentenprüfung überführt und seine Aktualisierung aktiv fortgeführt werden.

Althammer & Kill – Ihre Partner für IT-Sicherheit

Als professioneller Partner beraten und unterstützen wir Sie bei der Erstellung, Einführung und Fortführung entsprechender Sicherheitskonzepte. Hierbei können wir auf jahrelange Erfahrung zurückblicken und haben mehrfach Kunden bei der Implementierung nachhaltiger und effektiver IT-Sicherheit unterstützt.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.