Was bedeutet Informationssicherheit: Definition, Gefahren und Ziele
Unter Informationssicherheit versteht man allgemein den Schutz von Informationen vor Gefahren oder Manipulation und daraus resultierenden schweren wirtschaftlichen Schäden. In erster Linie zahlt Informationssicherheit darauf ein, einen unbefugten Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte zu verhindern.
Die größten Gefahren für Ihre Informationssicherheit
Für Unternehmen wird es immer wichtiger, ihre Informationen vor Missbrauch und Verlust zu schützen. Denn die Gefahr von Hackerangriffen hat in den letzten Jahren drastisch zugenommen. Doch auch die physische Sicherheit von Informationen, die zum Beispiel auf unternehmenseigenen Servern gespeichert sind oder analog in Aktenordnern liegen, ist eine Herausforderung.
Zu den größten Bedrohungen für die Informationssicherheit von Unternehmen gehören unter anderem:
Cyberangriffe mit Ransomware, Social Engineering oder Phishing-Mails
Datenklau durch Mitarbeiter
menschliche Fehler im Umgang mit Daten
Verlust von Daten durch fehlende Backups
Angriffe über die Lieferantenkette oder die Cloud
Sicherheitslücken durch veraltete Software
Beschädigung oder Verlust physischer Datenträger
Was sind die drei Prinzipien der Informationssicherheit?
Die Informationssicherheit verfolgt drei zentrale Ziele, die dem Schutz von Daten dienen. Zu den Zielen der Informationssicherheit gehört also die Sicherstellung der
Vertraulichkeit von Informationen: nur autorisierte User dürfen Zugriff auf die für sie bestimmten Informationen haben, um sie zu lesen, zu verarbeiten oder zu bearbeiten
Integrität von Informationen: unbemerkte Veränderungen durch Unbefugte sind nicht möglich oder werden verhindert, damit die Verlässlichkeit der Informationen sichergestellt ist
Verfügbarkeit von Informationen: der Zugriff auf Informationen muss in zugesicherter Art und Weise und zum gewünschten Zeitpunkt möglich sein, Ausfälle von Systemen werden verhindert
Eine detaillierte Beschreibung der drei Schutzziele finden Sie in unserem Datenschutzblog.
Was ist der Unterschied zwischen IT-Sicherheit und Informationssicherheit?
Im Mittelpunkt der Informationssicherheit stehen vor allem die digitalen Daten auf Computern, Servern oder mobilen Endgeräten. Deshalb werden IT- und Informationssicherheit häufig synonym verwendet. Allerdings bezieht sich die Informationssicherheit wie eingangs beschrieben nicht nur auf elektronische, sondern auch auf analoge Daten.
Das sind die Unterschiede zwischen IT-Sicherheit und Informationssicherheit:
- IT-Sicherheit bezieht sich auf einen Teilbereich der Informationssicherheit und soll den „Schutz eines soziotechnischen Systems“ gewährleisten. In dieses System sind Menschen und bestimmte Technologien eingebunden.
- Informationssicherheit geht noch weiter als die IT-Sicherheit. Sie konzentriert sich nicht nur auf die digitale Form von Informationen, sondern erfasst auch nicht-technische Systeme. Dazu gehören beispielsweise das Papierarchiv, Betriebsgelände oder die sensiblen Unternehmensdaten, die geschützt werden müssen.
Wie ist der Unterschied zwischen Datenschutz und Informationssicherheit?
Verwechslungsgefahr besteht auch zwischen Informationssicherheit und dem Datenschutz. Allerdings ist der Datenschutz genau wie die IT-Sicherheit nur ein Teilbereich der Informationssicherheit, der vor allem der Einhaltung gesetzlicher Pflichten aus der Datenschutzgrundverordnung (DSGVO) dient.
Wie hängen IT-Sicherheit und Datenschutz zusammen? Antworten liefert unser Blog.
Um die Informationssicherheit im Unternehmen zu gewährleisten, müssen entsprechende Maßnahmen im Bereich der IT-Sicherheit sowie der Sicherheit von nicht elektronisch verarbeiteten Informationen ergriffen werden. Dabei gibt es Überschneidungen mit denjenigen Maßnahmen, die dem Datenschutz dienen.
Allerdings gibt es auch Bereiche, in denen die Informationssicherheit und der Datenschutz eher in einem Spannungsfeld stehen. Das ist zum Beispiel der Fall, wenn es darum geht, die Verfügbarkeit von Informationen im Sinne der Informationssicherheit die Verfügbarkeit von Informationen zu gewährleisten. Hierfür greifen viele Unternehmen auf Cloud-Lösungen zurück – diese können jedoch können, je nach Anbieter, den Prinzipien des Datenschutzes widersprechen oder weitere Maßnahmen erforderlich machen, um beide Ziele miteinander zu vereinen.
Wichtige Informationssicherheitsrichtlinien und Standards im Überblick
In der Informationssicherheit spielen Richtlinien und Standards eine zentrale Rolle. In Deutschland entwickelt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) Richtlinien, Empfehlungen und Standards zur Stärkung der IT- und Informationssicherheit und unterstützt sowohl öffentliche als auch private Einrichtungen bei der Umsetzung von Schutzmaßnahmen.
Ein bewährter Rahmen, den das BSI vorgibt, ist zum Beispiel der IT-Grundschutz. Darüber hinaus veröffentlicht es regelmäßig Warnungen und Handlungsempfehlungen bei akuten IT-Sicherheitsbedrohungen.
Welche nationalen und internationalen Informationssicherheitsstandards gibt es?
Ein international anerkannter Standard für Informationssicherheit ist ISO/IEC 27001. Er bietet einen strukturierten Ansatz zur Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung von Informationssicherheitsmaßnahmen. Der Standard legt unter anderem fest, wie Risiken bewertet und Sicherheitsmaßnahmen implementiert werden sollen, um vertrauliche Daten zu schützen und die Verfügbarkeit von Systemen sicherzustellen.
Standards helfen Unternehmen dabei, Informationssicherheitsgesetze und Vorschriften einzuhalten. Zu den wichtigsten Vorschriften gehört neben der DSGVO und dem Bundesdatenschutzgesetz (BDSG) das KRITIS-Gesetz: Die Verordnung zu kritischen Infrastrukturen zielt auf den Schutz von Sektoren ab, die als kritisch für die Gesellschaft gelten, wie Energieversorgung, Gesundheitswesen, Transport und Kommunikation.
Betreiber solcher Infrastrukturen sind verpflichtet, besondere Sicherheitsvorkehrungen zu treffen, um den Betrieb ihrer Systeme auch in Krisensituationen sicherzustellen. Weitere wichtige Richtlinien sind die NIS2-Richtlinie oder das Patientendaten-Schutz-Gesetz (PDSG), das für Einrichtungen im Gesundheitswesen relevant ist.
Für andere Branchen gibt es ebenfalls spezifische Standards für die Informationssicherheit. So können Unternehmen in der Automobilbranche sich nach TISAX zertifizieren lassen. Im Gesundheitswesen, zum Beispiel in Krankenhäusern, wo der Schutz sensibler Patientendaten besonders wichtig ist, gibt es branchenspezifische Standards wie ISO 27799.
Mit welchen Maßnahmen können Unternehmen Informationssicherheit gewährleisten?
Um Informationssicherheit gewährleisten zu können, benötigen Unternehmen ein Sicherheitskonzept. Die DSGVO sieht für den Schutz von sensiblen Daten und Informationen technische und organisatorische Maßnahmen (TOM) vor. Dieses Konzept lässt sich auf das Prinzip der Informationssicherheit übertragen.
Technische Maßnahmen sind laut Art. 32 DSGVO:
die räumliche Sicherung von Daten und IT-Komponenten
Verschlüsselungen wie die Public-Key-Verschlüsselung
Softwareaktualisierungen
Virensoftware
Firewalls
Backups
Authentifizierungsmethoden
Zu den organisatorischen Maßnahmen gehören Mitarbeiterschulungen und Richtlinien für den Umgang mit sensiblen Daten, wie etwa Passwörter.
Um die Informationssicherheit sicherstellen zu können, müssen Unternehmen sowohl ihre Mitarbeiter als auch private Nutzer im Hinblick auf den Umgang mit vertraulichen Informationen sensibilisieren. Nur so können sie sicherstellen, dass Geschäftsgeheimnisse nicht nach außengelangen.
Linksammlung: So stärken Sie die Informationssicherheit im Unternehmen
Wenn Sie Ihre Informationen zuverlässig schützen möchten, müssen Sie zum einen Ihren Datenschutz sauber organisieren und zum anderen Maßnahmen zum Schutz aller digitalen und analogen Informationen im Unternehmen ergreifen.
Da das Thema Informationssicherheit komplex ist, greifen viele Unternehmen dabei auf international anerkannte Standards zurück – konkret auf die Inhalte der ISO 27001-Norm, die Grundlage für die Einführung eines Systems für Informationssicherheit (ISMS) sind. Außerdem ist es hilfreich, einen Informationssicherheitsbeauftragten zu ernennen, der die Maßnahmen für Informationssicherheit überwacht und den Schutz von Informationen sicherstellt.
Informieren Sie sich über die Vorteile eines ISMS, die Inhalte der ISO 27001 und die NIS2-Richtlinie – damit kommen auf viele Unternehmen neue und strengere Pflichten im Zusammenhang mit der Informationssicherheit zu. Unsere Linksammlung bietet alle Informationen, die Sie jetzt brauchen:
Wenn Sie einen Partner suchen, der Sie bei der Stärkung Ihrer Informationssicherheit unterstützt, steht unser Team aus erfahrenen Experten zur Seite.
Artikel veröffentlicht am: 18. März 2019
Artikel aktualisiert am: 06. Oktober 2024