A B C D I N P R S V W
Si Sy
logo_dokuit
Wissenswertes

Glossar

Sicherheitskonzept (systembezogen)

Ein Sicherheitskonzept ist ein fachlich-technisches Dokument, das für einen definierten Geltungsbereich (z. B. eine Anwendung, ein IT-System, eine Plattform oder einen Standort) den Schutzbedarf feststellt, Risiken bewertet und die erforderlichen technischen und organisatorischen Maßnahmen (TOM) definiert. Es konkretisiert die Vorgaben des ISMS für das jeweilige Objekt und ist Voraussetzung für die Inbetriebnahme und den sicheren Betrieb.

Das Sicherheitskonzept im System- und Anwendungsbetrieb

Das Sicherheitskonzept für ein IT-System transferiert die abstrakten Vorgaben der Sicherheitsleitlinien auf ein konkretes Objekt (Anwendung oder System). Es muss vor der Inbetriebnahme erstellt und während des Lebenszyklus aktuell gehalten werden. Inhalte gemäß Best Practices (z. B. BSI IT-Grundschutz):

Strukturanalyse

Was gehört dazu? (Server, Anwendungen, Daten, Schnittstellen).

Schutzbedarfsfeststellung

Wie kritisch sind die Daten bezüglich Vertraulichkeit, Integrität und Verfügbarkeit?

Modellierung/Risikoanalyse

Welche Gefährdungen drohen?

Maßnahmenplanung

Wie werden Risiken behandelt (z. B. Verschlüsselung, 2-Faktor-Authentifizierung)?

Für die verschiedenen Aufgabenbereiche des operativen IT-Betriebs stellt es die folgenden Informationen bereit:

  • Das Sicherheitskonzept ist ein zentrales Ergebnis der Design-Phase. Es setzt „Security by Design“ um, indem es Anforderungen an die Anwendungsarchitektur (z. B. Eingabevalidierung, Rollenkonzept) definiert, bevor programmiert wird (Build).
  • Für den Anwendungsbetrieb (Operate) gibt das Konzept verbindliche Vorgaben zur Härtung (Hardening), zum Patch-Management, zur Protokollierung (Logging) und zur Administration.
  • Bei Nutzung externer Services (Cloud/SaaS) muss das Sicherheitskonzept die Schnittstellen definieren (Shared Responsibility-Model). Es legt fest, welche Sicherheitsleistungen der Provider erbringen muss (Nachweis durch Zertifikate) und welche der Auftraggeber selbst umsetzt.
  • Das Konzept liefert die Sicherheits-Parameter für den Servicebetrieb. Die definierten Verfügbarkeitsanforderungen fließen direkt in die SLAs ein.
  • Das Sicherheitskonzept liefert den Input für die Verfügbarkeitsanforderungen. Wenn hier ein sehr hoher Schutzbedarf festgestellt wird, muss das Notfallmanagement entsprechende Wiederanlaufpläne erstellen.

Beispiele

Sicherheitskonzept „HR-Portal“ (Anwendung)

  • Schutzbedarf: Hoch (Personaldaten).
  • Maßnahme ALM: Implementierung von Verschlüsselung auf Datenbankebene (Design).
  • Maßnahme Betrieb: Zugriff nur über VPN, Admins nutzen 2FA.
  • Maßnahme Provider: Hosting-Provider muss ISO 27001 zertifiziert sein.

Sicherheitskonzept „Mobiles Arbeiten“ (Infrastruktur/Szenario)

  • Risiko: Verlust von Endgeräten.
  • Maßnahme: Festplattenverschlüsselung (BitLocker), MDM-Lösung zur Fernlöschung.

Abgrenzung und Synonyme

Abgrenzung zur Sicherheitsrichtlinie (Policy)

  • Sicherheitsrichtlinie: Übergreifende, generelle Regelung der Organisation (z. B. „Wir verschlüsseln alle mobilen Daten“).
  • Sicherheitskonzept: Konkrete Anwendung dieser Regeln auf ein System (z. B. „Das System XY nutzt TLS 1.3 und AES-256“).

Abgrenzung zum Notfallkonzept

  • Sicherheitskonzept: Fokus auf Prävention und Abwehr von Angriffen/Fehlern (Schutz der Vertraulichkeit/Integrität).
  • Notfallkonzept: Fokus auf Reaktion bei massiven Ausfällen (Wiederherstellung der Verfügbarkeit).

Synonyme

  • IT-Sicherheitskonzept
  • Informationssicherheitskonzept
  • Schutzkonzept

Verwandte Begriffe

  • ISMS-Dokumentation
  • Anwendungsdokumentation (Design-Phase)
  • Betriebskonzept
  • Notfallkonzept
  • Verzeichnis der Verarbeitungstätigkeiten (Datenschutzbezug)

FAQ Sicherheitskonzept

Im Rahmen des Anwendungsmanagements zwingend in der Design-Phase, also vor der Entwicklung oder Beschaffung. Nachträgliche Sicherheit („Bolted-on Security“) ist meist teurer und unsicherer.

Auch für SaaS-Anwendungen benötigen Sie ein Sicherheitskonzept. Es beschreibt, warum der Provider sicher genug ist (Zertifikatspüfung), wie Sie den Zugriff steuern (IAM) und wie Daten verschlüsselt übertragen werden. Es regelt die Verantwortung des Auftraggebers.

Verantwortlich ist der System- oder Anwendungsverantwortliche (Application Owner), unterstützt durch den Informationssicherheitsbeauftragten (ISB), der methodische Vorgaben macht und das Konzept freigibt.

Nach oben scrollen