Informationssicherheit
Was ist der Unterschied zwischen Informationssicherheit und IT-Sicherheit?Was ist Informationssicherheit - Definition
Was ist Informationssicherheit überhaupt?
Die Definition von Informationssicherheit lautet kurz gesagt: der Schutz von Informationen eines Unternehmens, egal welcher Art oder Herkunft. Dabei geht es um Informationen aus sowohl technischen als auch nicht-technischen Bereichen. Das bedeutet, im Fokus der Informationssicherheit stehen Informationen auf Papier, jene in den Köpfen von Personen, aber natürlich auch die IT. Informationssicherheit verfolgt dabei die Einhaltung festgelegter Sicherheitsziele.
Informationssicherheit - Ziele
Informationssicherheit hat also das Ziel, alle sensiblen Informationen eines Unternehmens einerseits vor unbefugten vorsätzlichen Handlungen, wie Zugriff oder Manipulation, und andererseits vor höherer Gewalt wie Feuer, Wasser, etc. und so schlussendlich vor möglichen hohen wirtschaftlichen oder reputativen Schäden zu schützen.
Um einen wirksamen Schutz der Informationen zu gewährleisten ist es erforderlich, die Informationssicherheit im Rahmen eines Managementsystems, mit entsprechenden definierten Prozessen, zu organisieren.
Was ist der Unterschied zwischen Informationssicherheit und IT-Sicherheit?
Zur Absicherung der Unternehmen ist ein rein technischer Schutz durch zum Beispiel Firewall-Systeme heutzutage längst nicht mehr ausreichend und muss durch umfassende organisatorische Maßnahmen begleitet werden. Entsprechende Maßnahmen sind u. a. der Aufbau einer Organisationsstruktur, Festlegung des angestrebten Sicherheitsniveaus und der Sicherheitsziele. Außerdem weitere Maßnahmen, wie die Erstellung einer Sicherheitsstrategie und des Sicherheitskonzepts sowie die Definition von Prozessen zur Analyse von Gefährdungen, zum Testen und Üben, zum Auditieren, zur kontinuierlichen Verbesserung und so weiter.
Abgrenzung von Informationssicherheit und IT-Sicherheit
Dabei wird in vielen Unternehmen in Informationssicherheit und IT-Sicherheit (auch Cyber Security, Cyber Resilience) unterschieden. Das hat unter anderem mit den fachlichen Anforderungen an die Mitarbeiter zu tun. Die IT-Sicherheit fokussiert sich dabei auf den Schutz aller IT-Infrastrukturen, IT-Systemen und -Anwendungen, die Informationen verarbeiten. Alle Informationen, die hier betrachtet werden, finden auf rein technischer Ebene statt. Die IT-Sicherheit ist also als Teilbereich der Informationssicherheit zu betrachten. Dagegen arbeitet die Informationssicherheit der Definition nach übergeordneter, sowohl mit technischen als auch mit nicht-technischen Informationen und befasst sich auch mit der Organisation.
Was bedeutet technisch/nicht-technisch überhaupt?
Auch wenn es zunächst kompliziert klingt, die Definition dahinter ist simpel:
Informationen können heute in ganz unterschiedlicher Form vorliegen. So können Informationen als digitale Datei auf einem Computer vorliegen oder beispielsweise dem Zweck von Netzwerksicherheit oder Computersicherheit dienen. Hier befindet man sich im technischen oder auch IT-Bereich. Auch Informationssicherheit und Datenschutz sind hier ein Thema.
Doch zur gleichen Zeit können Informationen auch in anderer Form vorliegen. Zum Beispiel in Form eines Papierarchivs, in dem wichtige Daten erfasst sind. Zudem können bedeutsame Informationen auch mündlich, von Mensch zu Mensch, weitergegeben werden. Auch das Betriebsgelände eines Unternehmens ist ein solches nicht-technisches oder nicht-digitales System und Teil der Informationssicherheit.
Die Schutzziele der Informationssicherheit beschränken sich also nicht auf IT-Systeme und digitale Daten. Vielmehr dient die Informationssicherheit der Sicherung aller relevanten Daten aus technischen und nicht-technischen Bereichen.
Sicherheitsziele der Informationssicherheit - Definition der Schutzziele
Die klassischen Sicherheitsziele/Schutzziele der Informationssicherheit sind:
- die Vertraulichkeit - Schutz von Informationen vor der Kenntnisnahme durch unbefugte Personen
- die Integrität - Verhinderung der unbefugten Veränderung von Daten, zumindest muss erkannt werden können, dass Veränderungen vorgenommen wurden
- die Verfügbarkeit - betrifft sowohl informationstechnische Systeme als auch die darin verarbeiteten Daten und bedeutet, dass die Systeme jederzeit betriebsbereit sind und auf die Daten wie vorgesehen zugegriffen werden kann
- die Authentizität - Daten müssen einem Absender eindeutig zugeordnet werden können. Es muss sichergestellt sein, dass Informationen echt und glaubwürdig sind (Quellenangabe) oder es sich um manipulationsfreie, unversehrte IT-Systeme und IT-Anwendungen handelt. Der Absender kann eine Person, ein System oder eine Anwendung sein von Informationen
Weitere mögliche Sicherheitsziele/Schutzziele der Informationssicherheit sind die
- Unverkettbarkeit,
- Nicht-Verfolgbarkeit,
- Pseudonymität (Schutz vor namentlicher Identifizierung z. B. nach § 3 Abs. 6a BDSG), Unbeobachtbarkeit (gewährleistet, dass sich nicht erkennen lässt, wer Daten sendet oder empfängt),
- Verdecktheit (niemand außer den Kommunikationspartnern weiß, dass Kommunikation stattfindet),
- Anonymität (Schutz vor Identifizierung. Sie ist auch Folge der Unverkettbarkeit),
- Revisionsfähigkeit (Nachprüfbarkeit und Nachvollziehbarkeit durch Protokollierung und Dokumentation von Handlungen),
- Kontingenz (Möglichkeit der Feststellung, dass „etwas anders sein könnte, als es scheint“. Das Schutzziel „Integrität“ erlaubt hingegen immer nur die Feststellung, dass „etwas so ist, wie es ist“),
- Verlässlichkeit (Verhinderung, dass Systeme unzulässige oder undefinierte Zustände annehmen und die Gewährleistung, dass die spezifizierte Funktion zuverlässig erbracht wird),
- Beherrschbarkeit,
- Nicht-Vermehrbarkeit,
- glaubhafte Abstreitbarkeit.
Um diese Ziele zu erreichen, werden Maßnahmen im Rahmen des Informationssicherheitsmanagements ergriffen.
Datenschutz und Informationssicherheit - untrennbar verbunden!
Die Themen Datenschutz und Informationssicherheit sind untrennbar miteinander verbunden. Da viele Daten heute in digitaler Form vorliegen, kommt auch die IT-Sicherheit wieder ins Spiel, denn sie sorgt für den Schutz sensibler Daten. Nur durch IT-Sicherheit, als ein Teilbereich der Informationssicherheit, ist Datenschutz also überhaupt erst möglich. Datenschutz und Informationssicherheit sind also fest miteinander verbunden.
Vereinfacht kann man es auch so ausdrücken: Der Datenschutz eines Betriebs in Kombination mit IT-Sicherheit resultiert in ganzheitlicher Informationssicherheit. Das Zusammenspiel von Datenschutz und Informationssicherheit funktioniert nur auf diese Weise - dafür aber umso besser.
Mögliche Bedrohungen als Leitlinie zur Informationssicherheit
Da Informationen in ganz unterschiedlicher Art und Weise vorliegen können, sind auch mögliche Bedrohungen für Verlust oder Schädigung der Daten vielfältig. Auch hier wirken Bedrohungen deshalb natürlich wieder auf technischer sowie auch auf nicht-technischer Ebene und folgende Leitlinie zur Informationssicherheit macht Sinn:
- Bedrohungen auf technischer Ebene sind Hackerangriffe, Spionage, aber auch Computerviren oder eine Veränderung oder Entschlüsselung von Daten durch Unbefugte.
- Mögliche Bedrohungen auf nicht-technischer Ebene kann beispielsweise Vandalismus sein, aber auch Naturkatastrophen durch Fluten, Brände oder Stürme.
Maßnahmen der Informationssicherheit
All diesen möglichen Bedrohungen soll vorgebeugt und Informationen jeglicher Art auf diese Weise geschützt werden.
Maßnahmen werden im Rahmen eines Sicherheitskonzepts organisiert und finden - wie auch die Informationen selbst - auf technischer und organisatorischer Ebene statt. Zuständig für die Planung und Organisation aller Maßnahmen ist das jeweilige Unternehmensmanagement.
Dieses übernimmt das Informationssicherheitsmanagement in die Hand, mit Hilfe des Informationssicherheitsmanagement-Systems (ISMS). Wenn nun die Maßnahmen betrachtet werden, die im jeweils technischen und nicht-technischen Bereich ergriffen werden, wird die Abgrenzung des technischen und nicht-technischen Bereichs noch einmal deutlicher:
Technische Maßnahmen der Informationssicherung sind zum Beispiel: Die Sicherstellung, dass Software, Virenschutzprogramme, Backup-Systeme und Firewalls vorhanden sind und sich auf dem neusten Stand befinden. Außerdem wird hier unter anderem sichergestellt, dass Verfahren zur Verschlüsselung und Authentifizierung stets korrekt funktionieren. IT-Komponenten wie Computer und alle wichtigen Daten werden durch technische Maßnahmen sicher be- und verwahrt.
Dagegen sind Beispiele für organisatorische Maßnahmen: Hier geht es um Organisation. So sind dahingehende Maßnahmen der Informationssicherheit der Definition nach zum Beispiel: themenspezifische Weiterbildung und Schulung von Mitarbeitern, die auch ihrer Sensibilisierung für das Thema Informationssicherheit dienen. Weiter können Mitarbeiter hinsichtlich korrekter Dokumentation trainiert werden oder Richtlinien für den verantwortungsbewussten Umgang mit Passwörtern und ähnlich sensiblen Daten erhalten.