Sägetstrasse 18, 3123 Belp, Switzerland +41 79 173 36 84 info@ict.technology

    Informationssicherheit und -management (ISMS)

    Details
    Geschrieben von: Ralf Ramge
    Kategorie: German (Gernany)
    Read Time: 9 mins
    Zugriffe: 10
    • Stand: 27.01.2026
    • Version: v1.0
    • Kontakt: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

     

    Management Summary – Informationssicherheit & Lieferkette

    ICT.technology KLG

    1. Unternehmensrolle und Kontext

    Die ICT.technology KLG ist ein spezialisierter IT-Dienstleister mit Fokus auf Automatisierung von Cloud- und Rechenzentrumsinfrastrukturen sowie den Entwurf und die Integration sicherheitskritischer Systeme für Geschäftskunden.

    Das Unternehmen agiert als technischer Dienstleister innerhalb der Lieferkette seiner Kunden, ohne dauerhaft operativen Betrieb kundenseitiger Systeme zu übernehmen. Administrativer Zugriff erfolgt ausschließlich, sofern technisch notwendig, zeitlich begrenzt und im Rahmen klar definierter Leistungen.

    2. Ansatz zur Informationssicherheit

    Das Sicherheitskonzept ist intern dokumentiert; eine formale Zertifizierung (z. B. ISO 27001) ist derzeit nicht Bestandteil des Ansatzes.

    Ziel ist es, Risiken für Kunden, Systeme und Informationen nachvollziehbar zu reduzieren und eine sichere Leistungserbringung sicherzustellen.

    Die Informationssicherheitsziele sind wie folgt priorisiert:

    1. Vertraulichkeit sensibler Informationen, Zugangsdaten und sicherheitskritischer Konfigurationen
    2. Integrität von Systemen, Automatisierungsartefakten und Konfigurationen
    3. Verfügbarkeit der eigenen Arbeitsfähigkeit ohne selbst zum Single Point of Failure zu werden

    3. Organisation & Verantwortung

    Die Gesamtverantwortung für Informationssicherheit liegt bei der Geschäftsführung.
    Aufgrund der Unternehmensgröße werden mehrere Rollen (Geschäftsführung, technische Leitung, Informationssicherheitsverantwortung) bewusst in einer verantwortlichen Person gebündelt.

    Für den Ausfall dieser Person ist eine Vertretungsregelung definiert.
    Sicherheitsrelevante Dokumentation sowie notwendige Zugänge sind über einen Passwortmanager geregelt und verfügbar.

    4. Datensicherung & Wiederherstellbarkeit

    Die ICT.technology KLG betreibt eine mehrstufige Backup-Strategie für unternehmensrelevante Systeme und Daten.

    • Zentrale Datenablagen sind clientseitig verschlüsselt und geografisch getrennt gespeichert
    • Infrastruktur- und System-Backups werden über integrierte Cloud-Mechanismen durchgeführt
    • Endgeräte-Daten werden regelmäßig gesichert und extern repliziert
    • Wiederherstellungen wurden anlassbezogen, insbesondere nach Systemänderungen, getestet

    Diese Maßnahmen stellen die Fortführung der Geschäftstätigkeit nach Vorfällen sicher.

    5. Notfall- und Incident-Management

    Für sicherheitsrelevante Vorfälle (z. B. kompromittierte Zugangsdaten, Malware- oder Ransomware-Ereignisse) besteht ein dokumentiertes Vorgehen.

    Dieses umfasst:

    • klare Entscheidungsbefugnis
    • definierte Sofortmaßnahmen (Zugriffssperren, Systemisolation)
    • geregelte Kommunikation mit Kunden
    • strukturierte Nachbereitung (Ursachenanalyse, Dokumentation, Maßnahmenableitung)

    6. Abgrenzung der Kundenverantwortung

    Sofern nicht ausdrücklich anders vereinbart, liegt die Verantwortung für Datensicherung, Wiederherstellung und Notfallvorsorge kundenseitiger Systeme beim jeweiligen Kunden.

    Diese Abgrenzung ist intern dokumentiert und wird vertraglich geregelt.

    7. Zusammenfassende Bewertung

    Aus Sicht der ICT.technology KLG bestehen:

    • eine klare Sicherheitsorganisation
    • dokumentierte Mindeststandards zur Informationssicherheit
    • nachvollziehbare Maßnahmen zur Risikoreduktion in der Lieferkette

    Damit stellt das Unternehmen ein kontrolliertes und transparentes Restrisiko im Sinne moderner Lieferketten- und NIS-2-Anforderungen dar.

    Nachweise (z. B. Richtlinienauszüge, Backup-/Restore-Nachweise, Verantwortlichkeitsmatrix) stellen wir auf Anfrage und unter NDA zur Verfügung.

    Sicherheitsziele & Geltungsbereich

    1. Unternehmensprofil und Leistungsrahmen

    Die ICT.technology KLG ist ein IT-Dienstleister mit Fokus auf die Automatisierung von Cloud-Infrastrukturen sowie on-premise Rechenzentren.
    Ein besonderer Schwerpunkt liegt auf dem Entwurf und der Integration sicherheitskritischer Systeme für Geschäftskunden.

    Die erbrachten Leistungen umfassen insbesondere:

    • Infrastruktur-Automatisierung mittels Infrastructure-as-Code und Policy-as-Code
    • Entwurf und Implementierung von Cloud-Architekturen
    • Managed Cloud Services im Rahmen eines Shared-Responsibility-Modells
    • Zugriff auf Kundensysteme (administrativ, lesend oder im Rahmen definierter Break-Glass-Szenarien)
    • Unterstützung bei der digitalen Transformation
    • Ausbildung und Befähigung interner Mitarbeiter von Kunden

    2. Rolle in der Lieferkette

    Die ICT.technology KLG agiert als spezialisierter IT-Dienstleister innerhalb der Lieferkette ihrer Kunden.
    Ein dauerhafter operativer Betrieb von Kundensystemen wird grundsätzlich vermieden.

    Administrativer Zugriff auf Kundensysteme erfolgt:

    • nicht dauerhaft,
    • nur sofern technisch oder organisatorisch nicht vermeidbar,
    • im Rahmen klar abgegrenzter Projekte oder definierter Managed-Service-Leistungen,
    • ausschließlich im Shared-Responsibility-Modell mit dem jeweiligen Kunden.

    Diese Vorgehensweise dient der Risikominimierung sowohl für Kunden als auch für das Unternehmen selbst.

    3. Schutzbedarf und Datenkategorien

    Im Rahmen der erbrachten Leistungen kann die ICT.technology KLG theoretisch mit folgenden Daten und Systemen in Berührung kommen:

    • technischen Kundendaten
    • personenbezogenen Daten
    • Zugangsdaten, Secrets und kryptographischem Material
    • geschäftskritischen IT-Systemen

    Insbesondere bei der Implementierung und dem Betrieb sicherheitskritischer Komponenten (z. B. Secrets-Management-Systeme) kann ein technisch weitreichender Zugriff erforderlich sein. Daraus ergibt sich ein erhöhter Schutzbedarf für die eingesetzten Prozesse und organisatorischen Maßnahmen.

    4. Sicherheitsziele

    Ziel der Informationssicherheit bei der ICT.technology KLG ist es, die Risiken für Kunden, deren Systeme und Daten angemessen zu reduzieren.

    Die Sicherheitsziele werden wie folgt priorisiert:

    1. Vertraulichkeit
      Schutz sensibler Informationen, Zugangsdaten und sicherheitsrelevanter Konfigurationen vor unbefugtem Zugriff.
    2. Integrität
      Sicherstellung der Korrektheit, Nachvollziehbarkeit und Unverfälschtheit von Systemen, Konfigurationen und Automatisierungsartefakten.
    3. Verfügbarkeit
      Unterstützung der Verfügbarkeit kundenseitiger Systeme im Rahmen der vereinbarten Leistungen, ohne selbst zum Single Point of Failure zu werden.

    5. Geltungsbereich

    Dieses Sicherheitskonzept gilt für das gesamte Unternehmen ICT.technology KLG, einschließlich:

    • aller internen Prozesse
    • aller Mitarbeiter und Rollen
    • aller eingesetzten IT-Systeme
    • aller Kundenprojekte und Dienstleistungen

     

    Rollen, Verantwortung & Organisation

    6. Organisation der Informationssicherheit

    Die ICT.technology KLG verfolgt einen schlanken, klaren organisatorischen Ansatz zur Informationssicherheit, der der Unternehmensgröße und dem tatsächlichen Risikoprofil angemessen ist.

    Das Unternehmen beschäftigt zwischen zwei und fünf Personen. Mehrfachrollen sind aufgrund der Unternehmensgröße üblich und bewusst so ausgestaltet.

    7. Verantwortlichkeiten

    7.1 Gesamtverantwortung

    Die Gesamtverantwortung für die Informationssicherheit liegt bei der Geschäftsführung.

    Diese Funktion wird durch den Inhaber Ralf Ramge wahrgenommen, der zugleich die Rollen:

    • Geschäftsführung
    • Technische Leitung (CTO)
    • Verantwortlicher für Informationssicherheit (CISO)

    vereint.

    Die Zusammenführung dieser Rollen stellt kurze Entscheidungswege, klare Verantwortlichkeiten und eine direkte Umsetzung sicherheitsrelevanter Maßnahmen sicher.

    7.2 Operative Umsetzung

    Die operative Umsetzung von Informationssicherheitsmaßnahmen erfolgt ebenfalls durch den Inhaber.

    Dazu gehören unter anderem:

    • Festlegung und Umsetzung technischer Sicherheitsmaßnahmen
    • Auswahl und Betrieb sicherheitsrelevanter Werkzeuge
    • Steuerung von Zugriffsrechten
    • Bewertung sicherheitsrelevanter Risiken
    • Reaktion auf Sicherheitsvorfälle

    Diese Struktur ist dokumentiert und den beteiligten Personen bekannt.

    7.3 Vertretungsregelung

    Für den Fall des Ausfalls der primär verantwortlichen Person ist eine Vertretungsregelung definiert.

    Die Vertretung übernimmt:

    • Heike May (Mitinhaberin)

    Folgende Maßnahmen stellen die Handlungsfähigkeit sicher:

    • sicherheitsrelevante Dokumentation ist vorhanden
    • notwendige Zugänge sind über einen Passwortmanager geregelt
    • der Zugriff auf kritische Informationen ist im Vertretungsfall möglich

    Diese Regelung dient der Aufrechterhaltung der Geschäftsfähigkeit und der Reaktionsfähigkeit bei Sicherheitsvorfällen.

    Backup-Strategie & Datensicherung 

    8. Ziel der Datensicherung

    Ziel der Datensicherung ist es, die Arbeitsfähigkeit der ICT.technology KLG nach sicherheitsrelevanten Ereignissen (z. B. Hardware-Ausfall, Fehlbedienung, Malware, Verlust von Endgeräten) sicherzustellen und den Verlust unternehmensrelevanter Informationen zu vermeiden.

    Die Datensicherung dient nicht dem Ersatz kundenseitiger Backup-Strategien, sofern diese nicht ausdrücklich vertraglich vereinbart sind.

    9. Umfang der Datensicherung

    Folgende Systeme und Daten werden regelmäßig gesichert:

    • Desktop-Arbeitsplatzrechner
    • Unternehmenslaptops
    • projektbezogene Informationen (z. B. Dokumentationen, Architekturdiagramme, Trainingsunterlagen, Videoaufzeichnungen)
    • Code-Repositories
    • Passwortmanager
    • E-Mail-Kommunikation (Microsoft 365)

    Kollaborations- und Groupware-Systeme (z. B. Jira, Confluence) werden als SaaS-Dienste betrieben und unterliegen den Sicherungsmechanismen der jeweiligen Anbieter.

    10. Backup-Architektur

    10.1 Zentrale Ablage und Verschlüsselung

    Interne Dokumente, Vorlagen sowie projektbezogene Informationen werden zentral in einem Netzlaufwerk gespeichert.
    Die Daten werden clientseitig verschlüsselt.

    Die verschlüsselte Datenablage wird:

    • bei einem internationalen SaaS-Anbieter betrieben
    • zusätzlich in ein Object Storage in der Region eu-frankfurt-1 repliziert.

    Dadurch wird eine räumliche und organisatorische Trennung der Datensicherung erreicht.

    10.2 Infrastruktur- und System-Backups

    • Backups von virtuellen Maschinen und Datenbanken werden über die integrierten Backup-Funktionen des Cloud-Anbeiters (VM-Backups, Database Platform Service) durchgeführt.
    • Code-Repositories und datenbankbasierte Systeme werden regelmäßig gesichert und in der Cloud vorgehalten.

    10.3 Endgeräte und lokale Daten

    Die Daten von Desktop-Arbeitsplatzrechnern und Unternehmenslaptops (einschließlich Benutzer-Home-Verzeichnissen) werden auf einem lokalen NAS-System gespeichert.

    Dieses NAS-System wird:

    • verschlüsselt betrieben
    • regelmäßig in ein Cloud-Object-Storage in mindestens einer EU-Region repliziert

    10.4 Zugangsdaten und SaaS-Dienste

    • Zugangsdaten werden zentral in einem Passwortmanager verwaltet.
    • E-Mail-Dienste werden über Microsoft 365 betrieben.
    • Groupware wird als SaaS bei einem etablierten Anbieter betrieben; Details stellen wir auf Anfrage unter NDA zur Verfügung.

    11. Backup-Frequenz

    Die Datensicherung erfolgt mit folgenden Frequenzen:

    • Lokales NAS: alle 15 Minuten
    • Zentrale Datenablage: ereignisbasiert 
    • Sonstige Systeme: mindestens täglich

    Diese Frequenzen sind geeignet, um einen angemessenen Schutz vor Datenverlust sicherzustellen.

    12. Wiederherstellungstests

    Wiederherstellungstests werden anlassbezogen und ad hoc durchgeführt, z. B.:

    • bei Systemänderungen
    • nach sicherheitsrelevanten Vorfällen
    • bei Bedarf im Rahmen interner Prüfungen

    Zusätzlich wird mindestens 1× jährlich ein Wiederherstellungstest stichprobenartig durchgeführt. Weitere Tests erfolgen anlassbezogen.

    13. Abgrenzung zur Kundenverantwortung

    Sofern nicht ausdrücklich anders vereinbart, liegt die Verantwortung für die Datensicherung kundenseitiger Systeme beim jeweiligen Kunden.

    Die ICT.technology KLG stellt im Rahmen ihrer Leistungen sicher, dass diese Abgrenzung transparent kommuniziert wird.

     

    Notfallkonzept & Incident Response

    14. Ziel des Notfall- und Incident-Managements

    Ziel dieses Notfall- und Incident-Response-Konzepts ist es, sicherheitsrelevante Ereignisse frühzeitig zu erkennen, angemessen darauf zu reagieren und negative Auswirkungen auf Kunden, Systeme und das Unternehmen selbst zu begrenzen.

    Das Konzept stellt sicher, dass auch bei sicherheitskritischen Vorfällen eine klare Entscheidungsstruktur und ein definiertes Vorgehen bestehen.

    15. Definition von Notfällen

    Als sicherheitsrelevante Notfälle gelten insbesondere folgende Ereignisse:

    • Kompromittierung von Zugangsdaten oder Secrets
    • Malware- oder Ransomware-Vorfälle

    Diese Ereignisse werden aufgrund ihres potenziell hohen Schadens als prioritär behandelt.

    16. Entscheidungsbefugnis

    Die Entscheidung, ob ein sicherheitsrelevanter Vorfall oder Notfall vorliegt, trifft die Geschäftsführung.

    Diese klare Zuständigkeit stellt eine schnelle und eindeutige Reaktion ohne Abstimmungsverzögerungen sicher.

    17. Erste Maßnahmen im Notfall

    Bei Eintritt eines sicherheitsrelevanten Vorfalls werden unverzüglich folgende Maßnahmen ergriffen:

    1. Sperrung betroffener Zugänge
      (z. B. Benutzerkonten, API-Keys, Tokens, Secrets, Zertifikate)
    2. Isolation betroffener Systeme
      (z. B. Trennung vom Netzwerk, Stilllegung kompromittierter Komponenten)

    Diese Maßnahmen dienen der Eindämmung des Vorfalls und der Vermeidung weiterer Schäden.

    18. Kommunikation

    Die Kommunikation im Notfall erfolgt zielgerichtet und situationsabhängig.

    • Kunden werden je nach Relevanz des Vorfalls informiert
    • Die Kommunikation erfolgt primär über Telefon und E-Mail

    Ziel ist eine zeitnahe, sachliche und transparente Information ohne unnötige Eskalation.

    19. Wiederherstellung und Nachbereitung

    Nach der Stabilisierung der Situation erfolgt eine strukturierte Nachbereitung in folgender Reihenfolge:

    1. Ursachenanalyse
      Ermittlung der technischen und organisatorischen Ursache des Vorfalls.
    2. Dokumentation
      Festhalten des Vorfalls, der getroffenen Maßnahmen und der Auswirkungen.
    3. Ableitung von Maßnahmen
      Definition von Verbesserungen zur Vermeidung ähnlicher Vorfälle in der Zukunft.

    20. Bezug zur Datensicherung

    Die Wiederherstellung von Systemen und Daten erfolgt auf Basis der vorhandenen Backup-Strategie.

    Wiederherstellungen wurden in der Vergangenheit anlassbezogen, insbesondere nach Änderungen an Systemen, getestet.
    Diese Vorgehensweise stellt sicher, dass Wiederherstellungsprozesse grundsätzlich funktionsfähig sind.

    21. Abgrenzung zur Kundenverantwortung

    Sofern nicht ausdrücklich vertraglich anders geregelt, liegt die Verantwortung für Datensicherung, Wiederherstellung und Notfallvorsorge der Kundensysteme beim jeweiligen Kunden.

    Diese Abgrenzung wird:

    • vertraglich bzw. über AGB geregelt und
    • zusätzlich im internen Sicherheitskonzept dokumentiert.
    (0 Votes)