Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

IT-Sicherheitskonzept: Aufbau, Inhalte und Umsetzung

Ein IT-Sicherheitskonzept dokumentiert systematisch alle Maßnahmen zum Schutz der Informationssicherheit im Unternehmen. Es bildet die Grundlage für ein ISMS nach ISO 27001 oder BSI IT-Grundschutz und ist Voraussetzung für Zertifizierungen.

Inhaltsverzeichnis (6 Abschnitte)

Ein IT-Sicherheitskonzept ist ein strukturiertes Dokument, das alle organisatorischen und technischen Maßnahmen zum Schutz der IT-Infrastruktur, der Daten und der Geschäftsprozesse eines Unternehmens beschreibt. Es beantwortet drei zentrale Fragen: Was schützen wir?, Wovor schützen wir es? und Wie schützen wir es?

Das Konzept ist kein einmaliges Projekt, sondern ein lebendes Dokument, das regelmäßig aktualisiert wird. In vielen Branchen ist ein IT-Sicherheitskonzept gesetzlich vorgeschrieben - etwa durch die NIS-2-Richtlinie für kritische Infrastrukturen, die DSGVO für personenbezogene Daten oder branchenspezifische Vorgaben wie BAIT (Banken) und B3S (KRITIS-Betreiber).

Abgrenzung: IT-Sicherheitskonzept vs. ISMS

Ein IT-Sicherheitskonzept beschreibt was umgesetzt werden soll. Ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 beschreibt darüber hinaus wie die Sicherheit kontinuierlich gesteuert, überwacht und verbessert wird. Das IT-Sicherheitskonzept ist damit ein wesentlicher Bestandteil eines ISMS - aber nicht das gesamte ISMS.

AspektIT-SicherheitskonzeptISMS (ISO 27001)
ScopeTechnische und organisatorische MaßnahmenGesamtes Managementsystem
DokumentationEin zentrales Dokument mit AnhängenDokumentenhierarchie (Leitlinie, Richtlinien, Verfahren)
FortlaufendPeriodische AktualisierungKontinuierlicher PDCA-Zyklus
ZertifizierbarNicht eigenständigJa (ISO 27001, BSI IT-Grundschutz)
PflichtOft regulatorisch gefordertFreiwillig, aber zunehmend gefordert

Bestandteile eines IT-Sicherheitskonzepts

Ein vollständiges IT-Sicherheitskonzept besteht aus sieben Kernbereichen:

1. Geltungsbereich und Schutzziele

Der Geltungsbereich definiert, welche Systeme, Standorte und Prozesse das Konzept abdeckt. Die Schutzziele orientieren sich an der CIA-Triade:

  • Vertraulichkeit (Confidentiality): Nur autorisierte Personen haben Zugriff auf Informationen
  • Integrität (Integrity): Daten sind vollständig und unverändert
  • Verfügbarkeit (Availability): Systeme und Daten sind bei Bedarf zugänglich

Je nach Branche kommen weitere Schutzziele hinzu: Authentizität, Nicht-Abstreitbarkeit, Datenschutz oder Belastbarkeit (Resilienz).

2. Bestandsaufnahme (Asset-Inventar)

Bevor Risiken bewertet werden können, muss bekannt sein, was geschützt werden soll:

  • Hardware: Server, Clients, Netzwerkgeräte, IoT-Geräte, Mobile Devices
  • Software: Betriebssysteme, Anwendungen, Datenbanken, Cloud-Dienste
  • Daten: Kundendaten, Finanzdaten, Intellectual Property, Konfigurationsdaten
  • Prozesse: Geschäftskritische Abläufe mit IT-Abhängigkeit
  • Personal: Rollen mit privilegiertem Zugriff, externe Dienstleister

Für jedes Asset wird ein Schutzbedarf festgestellt: normal, hoch oder sehr hoch. Diese Einstufung nach BSI IT-Grundschutz oder die Bewertung nach ISO 27001 Annex A bestimmt, welche Maßnahmen erforderlich sind.

3. Risikoanalyse und -bewertung

Die Risikoanalyse identifiziert Bedrohungen und bewertet deren Eintrittswahrscheinlichkeit und potenzielle Schadenshöhe:

Bedrohungskategorien:

  • Höhere Gewalt (Brand, Überschwemmung, Stromausfall)
  • Organisatorische Mängel (fehlende Prozesse, ungeklärte Verantwortlichkeiten)
  • Menschliches Fehlverhalten (Fehlkonfiguration, Social Engineering)
  • Technisches Versagen (Hardware-Defekte, Softwarefehler)
  • Vorsätzliche Handlungen (Hacking, Malware, Innentäter)

Bewertungsmatrix (Beispiel):

EintrittswahrscheinlichkeitGeringer SchadenMittlerer SchadenHoher SchadenSehr hoher Schaden
SeltenGeringGeringMittelMittel
MöglichGeringMittelHochHoch
WahrscheinlichMittelHochHochSehr hoch
Sehr wahrscheinlichMittelHochSehr hochSehr hoch

Für jedes identifizierte Risiko wird eine Behandlungsstrategie festgelegt: vermeiden, vermindern, übertragen (z.B. Cyberversicherung) oder akzeptieren.

4. Technische Maßnahmen

Die technischen Maßnahmen bilden die operative Schutzschicht:

Netzwerksicherheit:

  • Firewall-Architektur mit DMZ-Segmentierung
  • Intrusion Detection/Prevention (IDS/IPS)
  • VPN für Remote-Zugriffe
  • Netzwerksegmentierung nach Schutzbedarf

Endpoint-Schutz:

  • Endpoint Detection & Response (EDR)
  • Festplattenverschlüsselung (BitLocker, FileVault)
  • Application Whitelisting
  • Patch-Management mit definierten SLAs

Identitäts- und Zugriffsmanagement:

  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Multi-Faktor-Authentifizierung (MFA) für alle privilegierten Zugänge
  • Privileged Access Management (PAM)
  • Regelmäßige Rezertifizierung von Berechtigungen

Datensicherung:

  • 3-2-1-Backup-Regel: 3 Kopien, 2 verschiedene Medien, 1 offsite
  • Regelmäßige Restore-Tests
  • Verschlüsselung von Backups
  • Aufbewahrungsfristen nach DSGVO und GoBD

E-Mail-Sicherheit:

  • SPF, DKIM und DMARC konfiguriert
  • E-Mail-Gateway mit Malware-Scanning
  • Phishing-Erkennung und Quarantäne

5. Organisatorische Maßnahmen

Technik allein reicht nicht - Menschen und Prozesse müssen ebenfalls adressiert werden:

  • Sicherheitsrichtlinien: Passwort-Policy, Clean-Desk-Policy, BYOD-Regelungen, Homeoffice-Richtlinie
  • Rollenverteilung: Informationssicherheitsbeauftragter (ISB), IT-Leitung, Datenschutzbeauftragter, Geschäftsführung
  • Security Awareness: Regelmäßige Schulungen, Phishing-Simulationen, Sensibilisierungskampagnen
  • Dienstleistermanagement: Sicherheitsanforderungen in Verträgen (AVV, SLA), regelmäßige Audits
  • Änderungsmanagement: Genehmigungs- und Testprozesse für IT-Änderungen

6. Notfallmanagement

Das Notfallmanagement beschreibt das Vorgehen bei Sicherheitsvorfällen:

  • Meldewege: Wer meldet an wen? (intern und extern - BSI, Datenschutzbehörde, Strafverfolgung)
  • Eskalationsstufen: Wann wird aus einem Ereignis ein Vorfall, wann eine Krise?
  • Incident-Response-Playbooks: Vordefinierte Abläufe für Ransomware, Datenleck, Account-Kompromittierung
  • Business Continuity: Wiederanlaufpläne für geschäftskritische Systeme mit definierten RTOs und RPOs
  • Krisenübungen: Mindestens jährliche Tabletop-Exercises mit Management-Beteiligung

7. Überprüfung und Weiterentwicklung

Ein IT-Sicherheitskonzept ist nur so gut wie seine letzte Aktualisierung:

  • Regelmäßige Audits: Interne Prüfung der Maßnahmenumsetzung (mindestens jährlich)
  • Penetrationstests: Technische Überprüfung durch externe Experten
  • Kennzahlen: Patch-Compliance-Rate, MTTR (Mean Time to Respond), Anzahl offener Schwachstellen
  • Management-Review: Jährlicher Bericht an die Geschäftsführung mit Empfehlungen
  • Anlassbezogene Aktualisierung: Nach Vorfällen, organisatorischen Änderungen oder neuen Bedrohungslagen

Vorgehen: IT-Sicherheitskonzept erstellen in 6 Schritten

Schritt 1: Initiierung und Scope-Definition

Die Geschäftsführung beauftragt das Projekt und definiert den Geltungsbereich. Ohne Management-Commitment scheitern die meisten Sicherheitsprojekte an fehlenden Ressourcen.

Schritt 2: Bestandsaufnahme

Alle IT-Assets erfassen, Abhängigkeiten dokumentieren und Schutzbedarf feststellen. Tools wie Asset-Management-Systeme und Netzwerk-Scanner unterstützen diese Phase.

Schritt 3: Risikoanalyse

Bedrohungen identifizieren, bestehende Maßnahmen bewerten und Restrisiken ermitteln. Die Methodik orientiert sich am gewählten Framework (BSI 200-3 oder ISO 27005).

Schritt 4: Maßnahmenplanung

Für jedes unakzeptable Risiko werden konkrete Maßnahmen definiert - mit Verantwortlichem, Budget, Zeitplan und Erfolgskriterium.

Schritt 5: Umsetzung

Die Maßnahmen werden priorisiert umgesetzt. Quick Wins (MFA-Aktivierung, Patch-Management) gehen vor langfristigen Projekten (Netzwerksegmentierung, SIEM-Einführung).

Schritt 6: Dokumentation und Review

Das gesamte Konzept wird dokumentiert, von der Geschäftsführung freigegeben und in einen regelmäßigen Review-Zyklus überführt.

Regulatorische Anforderungen

Je nach Branche und Unternehmensgröße gibt es unterschiedliche Pflichten:

RegulierungBetroffenePflicht
DSGVO Art. 32Alle Unternehmen mit personenbezogenen DatenTechnische und organisatorische Maßnahmen (TOMs)
NIS-2-RichtlinieWesentliche und wichtige Einrichtungen (ab 50 MA / 10 Mio. EUR)Risikomanagementmaßnahmen, Meldepflichten
KRITIS (BSI-KritisV)Betreiber kritischer InfrastrukturenNachweis angemessener IT-Sicherheit alle 2 Jahre
BAIT/MaRiskKreditinstituteInformationssicherheitsmanagement, ISB-Pflicht
TISAXAutomotive-ZuliefererInformationssicherheit nach VDA ISA
B3SKRITIS-Betreiber (branchenspezifisch)Branchenspezifischer Sicherheitsstandard

Häufige Fehler bei der Erstellung

  1. Kein Management-Buy-in: Ohne Rückendeckung der Geschäftsführung fehlen Budget und Durchsetzungskraft
  2. Zu großer Scope: Besser mit dem kritischsten Bereich starten und schrittweise erweitern
  3. Nur Technik, keine Organisation: Firewalls helfen nicht gegen Social Engineering
  4. Einmal erstellt, nie aktualisiert: Ein veraltetes Konzept wiegt Verantwortliche in falscher Sicherheit
  5. Copy-Paste aus Vorlagen: Jedes Unternehmen hat individuelle Risiken - generische Konzepte greifen zu kurz
  6. Keine Übungen: Ein Notfallplan, der nie geprobt wurde, funktioniert im Ernstfall nicht

IT-Sicherheitskonzept und Penetrationstests

Ein Penetrationstest liefert wertvolle Daten für das IT-Sicherheitskonzept: Er deckt reale Schwachstellen auf, die in einer theoretischen Risikoanalyse übersehen werden. Die Ergebnisse fließen direkt in die Maßnahmenplanung ein und validieren bereits umgesetzte Schutzmaßnahmen.

Umgekehrt definiert das IT-Sicherheitskonzept den Scope und die Prioritäten für Penetrationstests: Systeme mit hohem Schutzbedarf werden häufiger und intensiver getestet.

Quellen & Referenzen

  1. [1] BSI-Standard 200-2: IT-Grundschutz-Methodik - Bundesamt für Sicherheit in der Informationstechnik
  2. [2] ISO/IEC 27001:2022 - Informationssicherheitsmanagementsysteme - International Organization for Standardization
  3. [3] BSI-Standard 200-3: Risikoanalyse auf der Basis von IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Vincent Heinen
Vincent Heinen

Abteilungsleiter Offensive Services

PGP 1DDAA57F2B972787

M.Sc. IT-Sicherheit mit über 5 Jahren Erfahrung in offensiver Sicherheitsanalyse. Leitet die Durchführung von Penetrationstests mit Spezialisierung auf Web-Applikationen, Netzwerk-Infrastruktur, Reverse Engineering und Hardware-Sicherheit. Verantwortlich für mehrere Responsible Disclosures.

Responsible Disclosures: CVE-2023-0865 CVE-2025-43579 CVE-2025-53533
OSCP+ OSCP OSWP OSWA
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 08.03.2026 bearbeitet. Verantwortlich: Vincent Heinen, Abteilungsleiter Offensive Services bei AWARE7 GmbH. Lizenz: CC BY 4.0 — freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung