Informationssicherheit – alles was du wissen musst
Was ist Informationssicherheit?
Informationssicherheit möchte Informationen und Daten vor unbefugten Zugriff, Beschädigung oder vor dem kompletten Verlust bewahren. Es ist ein sehr umfassender Begriff und umspannt die Sicherheit von Informationen in Computersystemen, Netzwerken, mobilen Geräten, Clouds und auch analoge Daten.
Ziel von Informationssicherheit ist es, die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu gewährleisten.
Um die Qualität der Informationssicherheit zu standardisieren und gewährleisten, wurden eine Reihe von Zertifizierungen geschaffen. Sie dienen als Rahmen für die Implementierung von Sicherheitsmaßnahmen und fördern Vertrauen und Compliance.
IT Sicherheit, Informationssicherheit und Datenschutz – Was ist was?
Im Bereich Informationssicherheit stolpert jeder über diese drei Begriffe: Doch gibt es feine Unterscheidungen und im Allgemeinen sollten sie nicht synonym verwendet werden.
IT Sicherheit
IT Sicherheit bezieht sich auf den Schutz von IT-Systemen vor unbefugten Zugriff, Diebstahl, Missbrauch und Beschädigung.
Informationssicherheit
Informationssicherheit bezieht sich auf die Sicherheit von Informationen – auch außerhalb von IT-Systemen und in analoger Form. Der Begriff ist breiter und umfassender.
Datenschutz
Sehr spezifisch geht es beim Datenschutz um den Schutz personenbezogener Daten: Datensicherung, Verschlüsselung, Manipulationsschutz und Zugriffskontrolle.
Schutzziele der Informationssicherheit
Informationssicherheit kennt drei verschiedene Schutzziele: Integrität, Vertraulichkeit und Verfügbarkeit. So kann festgestellt werden, ob das Informationssicherheitsmanagementsystem (ISMS) bereits alle Standards der Informationssicherheit erreicht hat. Wenn alle drei Schutzziele erfüllt sind, ist das ein guter Indikator, dass Informationen hier sicher und geschützt vor Eingriffen und Angriffen sind.
Schutzziel I: Integrität
Integrität bezeichnet den Schutz vor Manipulation von Daten. Unautorisierte Änderungen müssen verhindert werden, Änderungen und Löschungen von sensiblen Daten sollten immer erkennbar sein.
Schutzziel II: Vertraulichkeit
Vertrauliche Informationen gehören in die richtigen Hände. Mit diesem Schutzziel soll sichergestellt werden, dass nur berechtigte Personen auf sensible Daten zugreifen können. Zum Beispiel mit Zugangsberechtigungen oder Verschlüsselungen.
Schutzziel III: Verfügbarkeit
Informationen, aber auch Systeme oder physische Räume mit betreffenden analogen Unterlagen müssen für Befugte jederzeit zugänglich sein. Das größte Risiko bergen hier Systemausfälle, die keine Ausnahme von dieser Regel darstellen. Eine Risikoanalyse hilft, Ausfallwahrscheinlichkeiten einzuschätzen und das Schadenpotential gering zu halten.
Die häufigsten Bedrohungen der Informationssicherheit in Unternehmen
In der zunehmend vernetzten Welt gewinnen Informationen immer weiter an Bedeutung. Umso wichtiger ist es, sie zu schützen. Denn Risiken lauern hinter jeder Ecke – von Kriminalität bis hin zu technischen Fehlern und menschlichem Versagen.
Cyber-Attacken und Kriminalität
Eine der offensichtlichsten Risiken sind Cyber-Attacken. Kriminelle nutzen Phishing Angriffe, Malware oder Social Engineering. Phishing Angriffe sind gefälschte Mails, Webseiten oder Textnachrichten, die vorgeben echt zu sein, um Informationen wie Passwörter oder Kreditkarteninformationen zu stehlen. Malware ist eine Schadsoftware, beispielsweise Viren oder Trojaner. Sie soll das Computersystem oder Netzwerk stören, kontrollieren oder Informationen stehlen. Beim Social Engineering werden menschliche Schwächen ausgenutzt, um Zugriffe zu bestimmten Systemen oder Informationen zu erhalten.
Hardware und Software Probleme
Auch die beste Hardware und Software ist nicht unfehlbar. Geräte und Systeme können ausfallen, mutwillig oder nicht zerstört werden oder Fehlfunktionen aufweisen. Informationen sind schon bei vorübergehenden Störungen gefährdet, wenn sie nicht mehr vollumfänglich dokumentiert werden können. Auch Software kann zur Fehlerquelle werden, durch Fehlfunktionen oder etwa durch fehlende Sicherheitsupdates.
Menschliches Versagen
Fehler sind menschlich, heißt es häufig. Diese Fehlerquelle sollte bei der Informationssicherheit mitgedacht werden, es kommen einige zusammen. Denkbar sind Anwendungsfehler, Missbrauch bei der Zugriffs- oder Rechteverwaltung, Nachlässigkeit beim Updaten der Software oder auch die Nutzung von Informationen aus unzuverlässigen Quellen. Auch Kriminelle machen sich menschliche Schwächen zu Nutzen, etwa bei Phishing oder durch Betrug, Bestechung und Erpressung, um an Informationen oder Zugriffsrechte zu kommen.
Äußere Einflüsse
Auch äußere Einflüsse können die Schutzziele der Informationssicherheit gefährden. So kann es beispielsweise bei Stromausfällen, Feuern, Wasserschäden oder einfach durch Korrosion und Staub zu Informationsverlust kommen.
Maßnahmen zur Informationssicherheit in Unternehmen
Was können Unternehmen tun, um den Schutzzielen der Informationssicherheit gerecht zu werden? Obwohl es erstmal nach einem hauptsächlich technischen Thema klingt, ist es viel mehr als das. Jeder Bereich und jede Hierarchieebene im Unternehmen ist von Informationssicherheit betroffen, von potenziellen Mitarbeitenden, Geschäftspartnern bis hin zur Führungsebene. Informationssicherheit sollte daher ein zentrales Thema der Managementebene sein.
Um das Thema möglichst effizient im ganzen Unternehmen umzusetzen helfen verschiedene Maßnahmen: Ein Informationsmanagementsystem, kurz ISMS, ein Informationssicherheitsbeauftragter, kurz ISB, oder unterschiedliche Informationssicherheits-Zertifizierungen.
Was ist ein ISMS?
Das Informationssicherheitsmanagementsystem (ISMS) gibt einen Rahmen vor, um Informationssicherheit innerhalb eines Unternehmens systematisch und integriert zu verwalten. Die rechtliche Grundlage für die Konzeption, aber auch die Umsetzung, bildet die internationale Norm ISO 27001. Es gibt sowohl Hilfestellungen für die Identifikation von Risiken, als auch Maßnahmen zur Minimierung dieser Bedrohungen und der Umsetzung der drei Schutzziele. Mehr Informationen über das ISMS und seine Bedeutung findest Du in unserem Glossary.
Was macht ein ISB?
Ein Informationssicherheitsbeauftragter oder ISB ist eine Ansprechperson innerhalb oder außerhalb des Unternehmens, die alle Maßnahmen rund um das Thema Informationssicherheit koordiniert. Für die meisten Unternehmen ist die Bestellung eines ISB kein Muss – eine Pflicht besteht lediglich für die Betreiber:innen von kritischer Infrastruktur. In der Praxis ist ein ISB trotzdem für sehr viele Betriebe wichtig. Denn viele große Unternehmen verlangen von Dienstleistern, Lieferanten oder Partner Zertifizierungen für Informationssicherheit. Für das Erlangen und Erhalten dieser Zertifikate ist ein ISB als Ansprechperson ein guter Weg. Gerade für kleinere oder mittelständische Unternehmen, die keine internen Ressourcen aufwenden wollen, kann ein externer ISB der richtige Weg sein.
Zertifizierungen für Informationssicherheit
Im Bereich Informationssicherheit gibt es einige Zertifizierungen auf nationaler oder internationaler Basis, teilweise auch für bestimmte Branchen.
ISO 27001
Die wohl bekannteste ist ISO 27001. Sie ist der international anerkannte Standard für Informationssicherheit über alle Branchen hinweg. Sie gilt für wirtschaftliche Unternehmen, aber auch für gemeinnützige oder staatliche Organisationen. In dieser Norm finden sich Anforderungen für das ISMS, aber auch für die Beurteilung von Sicherheitsrisiken.
TISAX®
TISAX ist eine branchenspezifische Zertifizierung für Informationssicherheit in der Automobilindustrie. Das Kürzel steht für „Trusted Information Security Assessment Exchange“. Seit 2017 fordern Auftraggebende der Automobilindustrie eine TISAX Zertifizierung in ihren Rahmenverträgen als Voraussetzung für die Zusammenarbeit. TISAX basiert auf einem Fragenkatalog, entwickelt vom Verband der Automobilindustrie (VDA). Neben den Grundmodulen zur Informationssicherheit und Datenschutz gibt es auch spezifische Module zum Prototypenschutz.
Trusted Partner Network (TPN)
Das Trusted Partner Network (TPN) ist eine international anerkannte Zertifizierung für Informationssicherheit, spezifisch für die Film- und Fernsehindustrie. Das System stellt Anforderungen an die Einrichtung und den Betrieb eines ISMS, ähnlich wie die ISO 27001 und legt dazu aber besonderen Fokus auf die Absicherung von geistigem Eigentum.
Zurück zur Übersicht