IT-Sicherheitskonzept erstellen – Praxisanleitung für KMU

Inhalt in Kürze

• Ein IT-Sicherheitskonzept dokumentiert, wie Ihr Unternehmen IT-Risiken erkennt, bewertet und behandelt. Es ist die Grundlage für jede Zertifizierung, jedes Audit und jede Cyberversicherung.
• KMU brauchen kein 300-Seiten-Werk. Ein pragmatisches Konzept mit klarer Struktur reicht – wenn es gelebt wird.
• Der BSI IT-Grundschutz liefert fertige Bausteine, die Sie direkt übernehmen können. Sie müssen das Rad nicht neu erfinden.
• Ohne Konzept haften Sie persönlich – spätestens seit NIS2 und der verschärften Geschäftsführerhaftung.

---

Kunden fragen nach Ihrem Sicherheitskonzept. Die Cyberversicherung will es sehen. Der Auditor sowieso. Und spätestens wenn ein Vorfall passiert, fragt auch die Aufsichtsbehörde.

Die Realität in vielen mittelständischen Unternehmen: Es gibt eine Firewall, einen Virenscanner und vielleicht ein Backup. Aber ein dokumentiertes IT-Sicherheitskonzept? Fehlanzeige.

Dieser Artikel zeigt Ihnen, wie Sie ein IT-Sicherheitskonzept erstellen – strukturiert, auditfest und ohne dass Sie dafür ein ISMS-Experte sein müssen.

Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept ist ein strukturiertes Dokument, das beschreibt, wie Ihr Unternehmen seine IT-Systeme, Daten und Prozesse vor Bedrohungen schützt. Es definiert den Geltungsbereich, identifiziert Risiken und legt Maßnahmen fest.

Das Konzept beantwortet drei Fragen:

1. Was schützen wir? – Systeme, Daten, Prozesse (Geltungsbereich)
2. Wovor schützen wir es? – Bedrohungen und Schwachstellen (Risikoanalyse)
3. Wie schützen wir es? – Technische und organisatorische Maßnahmen

Ein IT-Sicherheitskonzept ist nicht dasselbe wie ein ISMS. Ein ISMS nach ISO 27001 ist das Management-System drumherum – mit kontinuierlicher Verbesserung, internen Audits und Managementbewertungen. Das Sicherheitskonzept ist ein Baustein davon. Für KMU ist es oft der richtige Einstieg, bevor das volle ISMS kommt.

Was gehört in ein IT-Sicherheitskonzept?

Die folgende Tabelle zeigt die Kernbestandteile. Orientieren Sie sich am BSI IT-Grundschutz-Kompendium – dort finden Sie zu jedem Bereich fertige Bausteine.

Bestandteil	Inhalt	BSI-Bezug
Geltungsbereich	Welche Standorte, Systeme und Prozesse das Konzept abdeckt	ISMS.1
IT-Strukturanalyse	Inventar aller IT-Systeme, Anwendungen und Netzverbindungen	Schicht SYS, NET, APP
Schutzbedarfsfeststellung	Bewertung von Vertraulichkeit, Integrität und Verfügbarkeit je Asset	BSI-Standard 200-2
Risikoanalyse	Bedrohungen und Schwachstellen identifizieren, Risiken bewerten	BSI-Standard 200-3
Maßnahmenplan	Technische und organisatorische Maßnahmen je Risiko	Bausteine OPS, CON
Notfallvorsorge	Backup-Konzept, Wiederanlaufplan, Incident Response	DER.2.1, CON.3
Rollen und Verantwortlichkeiten	Wer ist für welchen Bereich zuständig?	ORP.1, ORP.2
Schulungskonzept	Awareness-Maßnahmen für alle Mitarbeitenden	ORP.3
Prüf- und Aktualisierungsplan	Wann und wie das Konzept überprüft wird	ISMS.1

IT-Sicherheitskonzept erstellen in 6 Schritten

1. Geltungsbereich definieren Legen Sie fest, welche Standorte, Abteilungen und IT-Systeme das Konzept umfasst. Starten Sie nicht mit dem gesamten Unternehmen, sondern mit dem geschäftskritischen Kern. Ein Handelsunternehmen beginnt beispielsweise mit dem ERP-System und der Warenwirtschaft, nicht mit dem WLAN im Pausenraum.
2. IT-Strukturanalyse durchführen Erfassen Sie alle IT-Systeme, Anwendungen und Netzverbindungen im Geltungsbereich. Erstellen Sie ein Inventar: Server, Clients, mobile Geräte, Cloud-Dienste, Netzwerkkomponenten. Dokumentieren Sie, welche Daten wo verarbeitet und gespeichert werden. Ohne dieses Inventar können Sie keine Risiken bewerten.
3. Schutzbedarf feststellen Bewerten Sie für jedes Asset die drei Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit. Nutzen Sie die BSI-Kategorien „normal", „hoch" und „sehr hoch". Die Kundendatenbank hat vermutlich hohen Schutzbedarf bei Vertraulichkeit. Der Webserver hohen Schutzbedarf bei Verfügbarkeit. Die Bewertung bestimmt, wie viel Aufwand Sie in die Absicherung stecken.
4. Risikoanalyse und Maßnahmenauswahl Identifizieren Sie Bedrohungen und Schwachstellen für jedes Asset mit hohem Schutzbedarf. Nutzen Sie die elementaren Gefährdungen aus dem BSI-Kompendium als Ausgangspunkt. Wählen Sie dann passende Maßnahmen aus den BSI-Grundschutz-Bausteinen. Priorisieren Sie nach Risikograd: Was passiert am wahrscheinlichsten und richtet den größten Schaden an?
5. Maßnahmen umsetzen und dokumentieren Setzen Sie die gewählten Maßnahmen um und dokumentieren Sie den Stand. Dazu gehören technische Maßnahmen wie Firewall-Regeln, Verschlüsselung und Patchmanagement, aber auch organisatorische wie Sicherheitsrichtlinien, Zuständigkeiten und Datenschutzkonzept mit Schutzmaßnahmen.
6. Prüfzyklus einrichten Ein IT-Sicherheitskonzept ist kein Einmal-Projekt. Definieren Sie, wann und wie Sie es überprüfen: mindestens jährlich, nach jedem Sicherheitsvorfall und bei größeren IT-Änderungen. Benennen Sie eine verantwortliche Person. Ohne regelmäßige Prüfung veraltet das Konzept innerhalb weniger Monate.

Checkliste: Ist Ihr IT-Sicherheitskonzept vollständig?

Grundlagen

• Geltungsbereich schriftlich definiert
• IT-Inventar vollständig und aktuell
• Schutzbedarfsfeststellung für alle Assets durchgeführt
• Verantwortlichkeiten und Rollen zugewiesen

Risikobehandlung

• Risikoanalyse dokumentiert
• Maßnahmen je Risiko festgelegt und priorisiert
• Restrisiken von der Geschäftsführung akzeptiert und unterschrieben
• Maßnahmenplan mit Terminen und Zuständigkeiten

Technische Maßnahmen

• Firewall und Netzwerksegmentierung konfiguriert
• Patchmanagement-Prozess etabliert
• Backup-Konzept dokumentiert und Wiederherstellung getestet
• Verschlüsselung für Daten in Transit und at Rest

Organisatorische Maßnahmen

• Sicherheitsrichtlinie verabschiedet
• Mitarbeitende geschult (Awareness)
• Incident-Response-Prozess definiert
• Prüfzyklus mit festen Terminen eingerichtet

Die häufigsten Fehler

Zu groß denken. Viele KMU scheitern, weil sie versuchen, sofort ein vollständiges ISMS nach ISO 27001 aufzubauen. Starten Sie mit der BSI-Basis-Absicherung. Die deckt 80 % der Risiken ab und ist in Wochen statt Monaten umsetzbar.

Kein Inventar. Sie können nichts schützen, was Sie nicht kennen. Die IT-Strukturanalyse ist langweilig, aber unverzichtbar. Vergessen Sie Cloud-Dienste und Schatten-IT nicht.

Einmal erstellt, nie aktualisiert. Ein IT-Sicherheitskonzept von 2022 ist wertlos, wenn Sie seitdem die halbe IT umgebaut haben. Der Prüfzyklus ist kein Nice-to-have.

Kein Buy-in der Geschäftsführung. Ohne Rückendeckung von oben fehlen Budget und Durchsetzungskraft. Seit NIS2 haftet die Geschäftsführung persönlich – das Argument sollte sitzen. Mehr dazu: NIS2 und Lieferketten-Compliance.

IT-Sicherheitskonzept für Hamburger Unternehmen

Der Hamburger Hafen zählt als kritische Infrastruktur — und mit ihm Hunderte Zulieferer, Speditionen und Dienstleister in der Metropolregion. Wer in dieser Lieferkette arbeitet, braucht ein belastbares IT-Sicherheitskonzept. Nicht irgendwann, sondern jetzt. Unsere IT-Sicherheitsberatung in Hamburg begleitet Sie von der Strukturanalyse bis zum fertigen Konzept — zugeschnitten auf norddeutsche Mittelständler.

Häufige Fragen (FAQ)

Was ist ein IT-Sicherheitskonzept?

Ein IT-Sicherheitskonzept dokumentiert alle technischen und organisatorischen Maßnahmen zum Schutz Ihrer IT-Infrastruktur. Es umfasst Risikoanalyse, Schutzmaßnahmen, Notfallpläne und Verantwortlichkeiten – abgestimmt auf die Größe und Risiken Ihres Unternehmens.

Ist ein IT-Sicherheitskonzept für KMU Pflicht?

Eine direkte gesetzliche Pflicht besteht nicht für alle KMU. Allerdings verlangt die DSGVO angemessene technische Maßnahmen (Art. 32), und NIS2 fordert von betroffenen Unternehmen ein Risikomanagement. Ein IT-Sicherheitskonzept ist der beste Weg, diese Anforderungen nachweisbar zu erfüllen.

Wie orientiere ich mich am BSI-Grundschutz als KMU?

Nutzen Sie den BSI-Grundschutz-Basis als Einstieg. Er bietet einen vereinfachten Ansatz mit Standard-Sicherheitsmaßnahmen, die ohne aufwändige Risikoanalyse umsetzbar sind. Für KMU ist das ein pragmatischer Startpunkt.

Was gehört mindestens in ein IT-Sicherheitskonzept?

IT-Asset-Inventar, Risikoanalyse, Maßnahmenkatalog (Firewall, Backup, Zugriffsrechte), Notfall- und Wiederherstellungsplan, Verantwortlichkeiten und ein Zeitplan für regelmäßige Überprüfungen.

Wie oft muss ein IT-Sicherheitskonzept aktualisiert werden?

Mindestens einmal jährlich sowie nach jedem Sicherheitsvorfall, bei wesentlichen IT-Änderungen oder neuen Bedrohungslagen. Das BSI empfiehlt zudem regelmäßige Penetrationstests zur Überprüfung der Wirksamkeit.