Zum Hauptinhalt springen
PLUS UND PLUS
031 511 22 33
Kontakt
Kontakt
031 511 22 33
Remote Support

IT-Sicherheitskonzept

Mehr als Technik – Verantwortung, Struktur und gelebte Sicherheit

zum IT-Ratgeber

,

Cyberangriffe, Datenverluste und rechtliche Vorschriften sind heute Teil des Alltags. Für Unternehmen, Stiftungen und Organisationen reicht es nicht, einzelne Tools einzusetzen.
Ein IT-Sicherheitskonzept bündelt Technik, Prozesse und Verantwortung – und wird so zum Fundament für Vertrauen, Compliance und Zusammenarbeit.

IT-Sicherheitskonzept Symbolbild – Sicherheitsausgang Schild

1. Was ein IT-Sicherheitskonzept ausmacht

Ein IT-Sicherheitskonzept beschreibt, wie ein Unternehmen seine Daten, Systeme und Prozesse schützt. Es ist kein Papier für die Schublade, sondern ein lebendiges Dokument, das Abläufe klar regelt und Verantwortlichkeiten benennt.

Zentrale Fragen:

  • Welche Daten sind besonders schützenswert?
  • Wer ist für welche Massnahmen zuständig?
  • Wie läuft die Kommunikation im Ernstfall?
  • Welche rechtlichen und statutarischen Vorgaben gelten?

2. Aufbau – die wichtigsten Bausteine

Ein gutes Konzept gliedert sich typischerweise in:

  1. Ziele und Geltungsbereich – Was soll geschützt werden? Welche Systeme und Daten sind im Fokus?
  2. Risikobewertung – Analyse möglicher Bedrohungen und Schwachstellen.
  3. Schutzmassnahmen – Technische (Firewalls, Backups, MFA), organisatorische (Regeln, Schulungen) und physische (Zutrittskontrollen).
  4. Rollen & Verantwortlichkeiten – Wer trägt die Verantwortung (IT-Abteilung, Geschäftsleitung, externe Partner)?
  5. Ablauf & Prozesse – Von der Prävention über den Incident-Response-Plan bis zur regelmässigen Überprüfung.
  6. Rechtliche Vorgaben – Datenschutzgesetz (DSG), EU-DSGVO, Statuten von Stiftungen, branchenspezifische Regeln.
  7. Kontinuierliche Verbesserung – Das Konzept lebt, wird getestet, überprüft und angepasst.

3. Wer trägt die Verantwortung?

Ein IT-Sicherheitskonzept ist Chefsache. Die Geschäftsleitung trägt die Gesamtverantwortung.

  • IT-Abteilung oder externe Partner setzen Massnahmen um.
  • Mitarbeitende tragen Verantwortung für den Alltag (sichere Passwörter, keine sensiblen Daten über unsichere Kanäle).
  • Stiftungsräte, Aufsichtsgremien oder Verwaltungsräte geben zusätzliche Vorgaben, besonders wenn sensible oder besonders schützenswerte Daten betroffen sind.

4. Stakeholder und Vorgaben

Neben der Geschäftsleitung und IT sind oft weitere Akteure involviert:

  • Datenschutzbeauftragte oder Compliance-Verantwortliche.
  • Stiftungsräte oder Vorstände, die klare Vorgaben machen.
  • Externe Regulatoren und Gesetze, die Standards vorgeben.

So wird Sicherheit nicht nur eine technische, sondern eine gesamtunternehmerische Aufgabe.

5. Ein Praxisbeispiel

Bei PLUS UND PLUS schreiben wir unsere Reports stets erfolgsorientiert – mit Fokus auf dem, was erreicht wurde. Genauso funktioniert ein IT-Sicherheitskonzept: Es beschreibt nicht nur, was getan wird, sondern macht sichtbar, was erreicht werden soll – nämlich Sicherheit, Vertrauen und Verlässlichkeit.

6. Fazit: Sicherheit als Haltung

Ein IT-Sicherheitskonzept ist kein starres Dokument. Es ist eine Haltung: Verantwortung übernehmen, klar kommunizieren, verbindlich handeln.

So entsteht nicht nur Schutz vor Risiken, sondern auch ein positives Signal nach innen (für Mitarbeitende und Lernende) und nach aussen (für Kunden, Partner und Aufsichtsbehörden).

Download-Tipp: Checkliste „Die 7 Bausteine eines IT-Sicherheitskonzepts“

P&P Checkliste – IT-Sicherheitskonzept

Frage an Dich:

Hast Du in Deinem Unternehmen bereits ein IT-Sicherheitskonzept – und wenn ja, lebt es wirklich im Alltag oder liegt es in der Schublade?

Portrait von David Moser - Geschäftsführer und Inhaber von PLUS UND PLUS AG

David Moser

Geschäftsführer und Inhaber
031 511 22 33
team@plusundplus.ch