• Bei einem IT SiKo handelt es sich grundsätzlich erstmal um ein Dokument, welches mit Risiken umgeht. Solche Risiken werden Informationssicherheitsrisiken genannt.
• Beim Eintreten der Risikien können die Informationen von Unbefugten gesehen, manipuliert, beschädigt oder gelöscht werden, aber auch Naturkatastrohpen oder technisches Versagen bilden eine potentielle Gefahr für die Informationen eines Unternehmens.
• außerdem ist ein IT Sicherheitskonzept nur eine kleine Teilmenge von etwas Größeren.
• Dies ist ein größeres Rahmenwerk, welches aus mehreren Dokumenten besteht. Dieses Rahmenwerk nennt sich Information Security Management System, kurz ISMS
  
•  Ein solches Rahmenwerk findet sich sehr häufig in größeren Unternehmen wieder

• Ein ISMS definiert eine sogenannte Informationssicherheits-Strategie. Dazu gehören  Sicherheitsziele, die ein Unternehmen erreichen möchte.
• Ein solches Ziel kann bspw. sein die Informationssicherheitsrisiken um einen bestimmten Wert zu reduzieren.

•   Unterschied zwischen Sicherheitskonzept und ISMS
• das Information Security Management System ist die strategische Komponente  und das Sicherheitskonzept die taktische Komponente
•  das IT Sicherheitskonzept ist zuständig für die Umsetzung der Strategie. Es werden praktische Maßnahmen ausgearbeitet
•   Jede der  beschriebenen Maßnahmen trägt dazu bei, die Gefahren für die Informationssicherheit im Unternehmen zu verringern.
• Entweder man verringert die Eintrittswahrscheinlichkeit des Risikos, oder die Auswirkung beim Eintritt. Optimal ist, wenn man beides verringern kann.

Wofür braucht man ein IT Sicherheitskonzept

• Das IT Sicherheitskonzept legt  fest: „Genau so gehen wir mit Informationssicherheit um“.
• Es setzt Mindestanforderungen an die IT Sicherheit, die in einem Unternehmen erfüllt sein müssen
• Wer gegen die Grundprinzipien des SiKo verstößt, handelt fahrlässig.
•   Außerdem dient es den Mitarbeitern eines Unternehmens als Leitfaden. Die meisten Mitarbeiter sind motiviert und an einer funktionierenden IT Sicherheit interessiert.
• das IT Sicherheitskonzept bildet ein entsprechendes Rahmenwerk.
• Es sagt  beispielsweise aus, welche Sicherheitsmaßnahmen Priorität haben.
• Ohne ein IT Sicherheitskonzept wird „einfach irgendwas gemacht“

Welche Ziele verfolgt ein IT Sicherheitskonzept?

• Das IT Sicherheitskonzept verfolgt das Ziel der Informationssicherheit.
• Bedrohungen sollen frühzeitig erkannt werden. Ein Sicherheitskonzept definiert Grundlagen, anhand derer Sicherheitsrisiken bewertet werden.
• durch eine frühzeitige Erkennung kommt es zur Definition von Vorbeugungsmaßnahmen. Wer ein Risiko frühzeitig erkennt, kann sich auf dessen Eintritt vorbereiten. Dadurch wird den Gefahren vorgebeugt.

• Mit einem Verschlüsselungsverfahren kann ein Klartext z.B eine Nachricht in einen Geheimtext umgewandelt werden und umgekehrt der Geheimtext wieder in den Klartext rückgewandelt werden
• Daten sollen nur von berechtigten Personen ausgelesen werden können, nämlich von denjenigen Nutzern, die den „Schlüssel“ zum Klartext kennen.
• Trotz dieser Verschlüsselung kann ein Dritter, meist Codeknacker genannt, versuchen, den für ihn unverständlichen Text zu entziffern.       

•       Wie funktioniert Verschlüsselung?

• Verschlüsselungsverfahren bestehen aus zwei Elementen: einem Schlüssel und einer Vorschrift
  
• die verschlüsselte Botschaft entsteht durch die Anwendung des Schlüssels auf die zu verschlüsselnde Information

Digitale Zertifikate und Identität

• mit digitalen Zertifikaten  kann jede Internet-Seite, jede Person und Organisation oder jedes Gerät seine Identität in der digitalen Welt nachweisen. 
• ein Digitales Zertifikat ist ein elektronischer Datensatz, der Identitätsinformationen von Organisationen, Personen oder Objekten enthält z.B Name, E-Mail und die Internet-Adresse bei Webseiten.
• Oft verwendet werden Public-Key-Zertifikate. In diesen sind die Identitätsdaten mit einem öffentlichen Schlüssel (Public-Key) verbunden.
• Das Gegenstück, der private Schlüssel, ist außerhalb des Zertifikats sicher abgelegt.
• Damit lassen sich Zertifikate nicht nur zur Authentifizierung, sondern auch zur Verschlüsselung von E-Mails und zum Signieren von Dokumenten einsetzen.