Von der Risikobewertung zu Sicherheitsmaßnahmen
Sicherheitskonzepte schaffen den Rahmen, um Risiken zu bewerten, Schutzziele festzulegen und daraus passende Sicherheitsmaßnahmen abzuleiten. Sie helfen Unternehmen dabei, Sicherheit nicht über Einzelmaßnahmen zu steuern, sondern als nachvollziehbaren Prozess aufzubauen. Genau dieses Prinzip findet sich auch in den aktuellen BSI-Grundlagen wieder: Ein Sicherheitskonzept beschreibt, mit welchen Maßnahmen die Sicherheitsziele verfolgt werden, und braucht dafür einen definierten Geltungsbereich.
Was ein Sicherheitskonzept ausmacht
Ein Sicherheitskonzept basiert auf einem einfachen Zusammenhang:
- Risikoanalyse
- Schutzzieldefinition
- Sicherheitsmaßnahmen
Die Risiken einer Organisation werden dabei unter Berücksichtigung des internen und externen Kontexts betrachtet. Aus der Analyse der Bedrohungen und der sicherheitsrelevanten Historie werden Schutzziele abgeleitet. Erst auf dieser Grundlage werden geeignete Sicherheitsmaßnahmen festgelegt und umgesetzt.
Warum die Risikoanalyse am Anfang steht
Die Risikoanalyse ist die Grundlage jedes Sicherheitskonzepts. Sie ist ein wichtiger Aspekt im Konzept und stellt Fragen zur Sicherheitslage, zu allgemeinen Bedrohungen, zu besonderen Bereichen mit Schutzbedarf sowie zu rechtlichen und vertraglichen Anforderungen. Dazu gehören unter anderem Standort- und Länderrisiken, Vandalismus und Sabotage, frühere Vorfälle, branchenspezifische Gefährdungen, BCM-Anforderungen und Versicherungsauflagen.
Das BSI bündelt im Standard 200-3 die risikobezogenen Arbeitsschritte des IT-Grundschutzes, und ISO 31000 beschreibt Risikomanagement als strukturiertes Vorgehen zum Identifizieren, Analysieren, Bewerten, Behandeln, Überwachen und Kommunizieren von Risiken. Erst wenn diese Grundlage sauber gelegt ist, lässt sich festlegen, welche Sicherheitsmaßnahmen wirklich notwendig sind.
Welche Rolle die Risikomatrix spielt
Bei der Risikoanalyse hilft eine Risikomatrix um die Risiken sichtbar zu machen und zu priorisieren. Die Risiken werden nach Schadenspotential und Eintrittswahrscheinlichkeit eingeordnet. Die Matrix ist ein wichtiger Bestandteil für die Festlegung der Schutzziele. Später kann sie bei der Überprüfung von den bestehenden Sicherheitsmaßnahmen aktualisiert werden.
Auch das BSI beschreibt die Risikomatrix als gebräuchliches und anschauliches Instrument zur Darstellung von Eintrittshäufigkeiten, Schadensauswirkungen für Risiken. Das BSI betont außerdem, dass die Kategorien klar definiert und an die Gegebenheiten der eigenen Institution angepasst werden sollten.
Definition der Schutzziele
Nach der Risikobewertung werden die Schutzziele für die relevanten Bereiche verbindlich festgelegt. Sie beschreiben, was in welchem Umfang geschützt werden muss und welches Schutzniveau dafür erforderlich ist.
- Schutzniveau festlegen
- Schutzbedarf konkretisieren
- Kritische Bereiche und Werte einordnen
Aus den Schutzziele werden anschließend die Sicherheitsmaßnahmen abgeleitet. Organisatorische, technische und bauliche Maßnahmen werden also nicht isoliert definiert, sondern aus Risiko und Schutzbedarf entwickelt.
- Maßnahmen systematisch ableiten
- Prioritäten fachlich begründen
- Sicherheitskonzept strukturiert aufbauen
Welche Sicherheitsmaßnahmen aus einem Sicherheitskonzept folgen
Auf Grundlage von Risikoanalyse und Schutzzielen werden die passenden Sicherheitsmaßnahmen abgeleitet. Wir unterscheiden dabei in vier Bereiche:
Personelle Maßnahmen
Dabei geht es vor allem um Sicherheitspersonal mit klaren Aufgaben und Zuständigkeiten. Personelle Maßnahmen helfen dabei, sicherheitsrelevante Bereiche zu überwachen, Vorfälle frühzeitig zu erkennen und im Ereignisfall nach festgelegten Abläufen zu handeln.
Organisatorische Maßnahmen
Organisatorische Maßnahmen schaffen Regeln, Zuständigkeiten und Abläufe innerhalb der Organisation. Dazu zählen zum Beispiel Notfall- und Gefahrenpläne oder Schutzzonenkonzepte, mit denen festgelegt wird, wie Sicherheit im Alltag und im Ereignisfall umgesetzt werden soll.
Technische Maßnahmen
echnische Maßnahmen unterstützen dabei, Risiken zu erkennen, Zugriffe zu steuern und Vorfälle nachvollziehbar zu machen. Dazu gehören etwa EMA, ÜMA, Videosicherheitssysteme oder Zutrittskontrollanlagen, die zur Überwachung, Alarmierung und Zugangskontrolle eingesetzt werden
Bauliche Maßnahmen
Bauliche Maßnahmen bilden die physische Grundlage des Schutzes. Dazu zählen zum Beispiel Türen, Tore, Mauern, Drehkreuze und Zäune, mit denen Bereiche gesichert, Zutritte begrenzt und sensible Zonen abgegrenzt werden können.
Warum Sicherheitskonzepte umgesetzt und regelmäßig überprüft werden müssen
Ein Sicherheitskonzept entfaltet seinen Nutzen erst dann, wenn die festgelegten Maßnahmen in der Organisation verankert, von den Mitarbeitenden verstanden und bei Bedarf angepasst werden. Dazu gehören Information über Änderungen, Sensibilisierung und Schulungen ebenso wie die regelmäßige Überprüfung, ob die Maßnahmen noch wirksam sind und zur aktuellen Bedrohungslage passen. Neue gesetzliche Anforderungen, veränderte Risiken, Änderungen im Geschäftsmodell oder neue Best Practices können Anpassungen erforderlich machen.
Wie die 3-core bei Sicherheitskonzepten unterstützt
Bei der 3-core unterstützen wir Unternehmen dabei, Sicherheitskonzepte nicht nur methodisch zu entwickeln, sondern auch praktisch umzusetzen. Von der Risikoanalyse über die Definition der Schutzziele bis hin zur Ableitung passender Sicherheitsmaßnahmen schaffen wir eine Struktur, die im Alltag funktioniert. Mit unserem Resilience Time Planner lassen sich dabei auch risikobasierte Schutzzonenplanungen inklusive Kostenkalkulation nachvollziehbar und übersichtlich abbilden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
