IT Sicherheit –
alles was du wissen musst

 

 

Icon good to know

 

 

 

Was ist IT Sicherheit?

 

IT-Sicherheit soll die Gewährleistungen von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherstellen. Das umfasst den Schutz von Computern und anderen mobilen Devices, bis hin zu Netzwerken, Servern, Rechenzentren und Cloud-Diensten.

IT-Sicherheit soll vor Cyberangriffen schützen: Viren, Hackerangriffe, DDoS-Attacken oder Phishing. Aber auch vor Vorfällen wie Hardwareausfälle, Naturkatastrophen oder menschlichen Fehlern.

 

 

 

IT Sicherheit, Informationssicherheit und Cybersecurity
– Klarheit im Begriffsjungle

 

In der IT gibt es eine Vielzahl spezifische Begriffe, auch im Bereich Sicherheit von IT Systemen, Informationen und Daten gibt es festgesetzte Begriffe. Sie klingen ähnlich, sind aber nicht synonym zu verwenden. Hier ist eine Aufschlüsselung und Abgrenzung:

 

IT Sicherheit:
Wie bereits oben definiert, geht es um den Schutz von IT Systemen. Ziel ist es, Verfügbarkeit, Vertraulichkeit und Integrität dieser Systeme zu gewährleisten.

Informationssicherheit:
Informationssicherheit bezieht sich auf die Sicherheit von Informationen – auch außerhalb von IT-Systemen und in analoger Form. Der Begriff ist breiter und umfassender als IT Sicherheit.

Datenschutz:
Sehr spezifisch geht es beim Datenschutz um den Schutz personenbezogener Daten: Datensicherung, Verschlüsselung, Manipulationsschutz und Zugriffskontrolle.

Cyber Security:
Die Abgrenzung zwischen IT Sicherheit und Cyber Security ist bei vielen Quellen nicht sehr trennscharf. Ein häufiges Unterscheidungsmerkmal ist der Wirkungskreis: Cyber Security bezieht sich auf das Netzwerk, oder häufig eben auf das Internet im Gesamten – eben nicht nur begrenzt auf das eigene Unternehmen.

 

 

 

 

Schutzziele der IT Sicherheit

 

Die IT Sicherheit kennt drei Schutzziele: Integrität, Vertraulichkeit und Verfügbarkeit. Galten diese Ziele zuerst als Schutzziele der IT Sicherheit, sind sie heute auch häufig mit dem Thema Informationssicherheit verbunden. Der einzige Unterschied ist, dass Informationssicherheit auch Informationen außerhalb von IT Systemen umfasst.

 

Schutzziel I: Integrität
Integrität bezeichnet den Schutz vor Manipulation von Daten. Unautorisierte Änderungen müssen verhindert werden, Änderungen und Löschungen von sensiblen Daten sollten immer erkennbar sein.

Schutzziel II: Vertraulichkeit
Vertrauliche Informationen gehören in die richtigen Hände. Mit diesem Schutzziel soll sichergestellt werden, dass nur berechtigte Personen auf sensible Daten zugreifen können. Zum Beispiel mit Zugangsberechtigungen oder Verschlüsselungen.

Schutzziel III: Verfügbarkeit
Informationen, aber auch Systeme oder physische Räume mit betreffenden analogen Unterlagen müssen für Befugte jederzeit zugänglich sein. Das größte Risiko bergen hier Systemausfälle, die keine Ausnahme von dieser Regel darstellen. Eine Risikoanalyse hilft, Ausfallwahrscheinlichkeiten einzuschätzen und das Schadenpotential gering zu halten.

 

 

 

Zertifizierungen für IT Sicherheit

 

Wer sich den Status seiner Prozesse und Systeme in Punkto IT-Sicherheit zertifizieren lassen möchte, tritt auf eine Vielzahl möglicher Zertifizierungen, national, international und branchenspezifisch. Wir gehen hier auf einige Beispiel vor allem für den deutschen Raum ein.

 

ISO 27001:
Eine der bekanntesten Zertifizierungen im Zusammenhang mit IT Sicherheit ist die ISO 27001. Die ISO 27001 / IEC 27001 ist eine international anerkannte Norm. Sie stellt Anforderungen für die Einrichtungen und den Betrieb eines Informationsmanagementsystems (ISMS) und beurteilt Sicherheitsrisiken. Dabei bezeichnet das ISMS nicht nur eine Software, sondern ein Konglomerat aus Prozessen und Strukturen.
Eine ISO-Zertifizierung ist in Deutschland nicht für alle Unternehmen vorgeschrieben, eine Pflicht gilt nur für Betreiber kritischer Infrastruktur. Aber auch außerhalb profitieren Unternehmen von einem Zertifikat: In vielen Lieferkatalogen wird die ISO 27001 Zertifizierung abgefragt und gilt so häufig als Voraussetzung für eine Zusammenarbeit.

T.I.S.P.:
T.I.S.P. ist die Kurzform für “TeleTrusT Information Security Professional”. Das Zertifikat ist das einzige Expertenzertifikat im Bereich Informationssicherheit, das speziell auf den europäischen Markt abgestimmt ist. Es werden Inhalte zu den wichtigsten internationalen Aspekten der Informationssicherheit geprüft, ebenso wie die den Prinzipien zum IT-Grundschutz und dem Sicherheitsmanagement. Zugrunde liegen die deutsche und europäische Gesetzgebung. Genau das unterscheidet T.I.S.P. auch von der auf den weltweiten Markt ausgerichteten CISSP Zertifizierung. Die Prüfung von einer Personenzertifizierungsstelle des TÜV Rheinland abgenommen.

TISAX®:
TISAX ist eine branchenspezifische Zertifizierung für Informationssicherheit in der Automobilindustrie. Das Kürzel steht für „Trusted Information Security Assessment Exchange“. Es basiert auf einem Fragenkatalog, entwickelt vom Verband der Automobilindustrie (VDA). Neben den Grundmodulen zur Informationssicherheit und Datenschutz gibt es auch spezifische Module zum Prototypenschutz. Seit 2017 fordern Auftraggebende der Automobilindustrie eine TISAX Zertifizierung in ihren Rahmenverträgen als Voraussetzung für die Zusammenarbeit.

BSI:
Im Zusammenhang mit Zertifizierungen zur IT Sicherheit wird häufig das BSI erwähnt. Allerdings ist BSI keine weitere Zertifizierung zur IT Sicherheit, sondern die Abkürzung für das Bundesamt Sicherheit in der Informationstechnik. Damit ist das BSI die Zertifizierungsstelle in Deutschland und treibt mit weiteren Partnern die IT Sicherheit weltweit voran. Aufgabe des BSI ist es, neben dem BSI-Gesetz und der BSI-Zertifizierungs- und Anerkennungsverordnung informationstechnische Produkte oder Systeme zu zertifizieren.

 

 

 

IT Sicherheit in Unternehmen

 

IT Sicherheit nimmt in immer mehr Unternehmen größeren Stellenwelt ein. Das liegt unter anderem an der gestiegenen Bedeutung von Netzwerken, neuen gesetzlichen Regelungen und der Anzahl von Angriffen von außen. Dabei geht es bei IT Sicherheit gleichzeitig um eine große Anzahl von verschiedenen Aspekten:

 

  • Einer der sicherlich wichtigsten Aspekte von IT Sicherheit ist Risiken und Bedrohungen einzuschätzen, zu verstehen und zu minimieren. Zu den größten Bedrohungen gehören: Malware, also Schadsoftware, wie Viren oder Trojaner; Phishing, also der Versuch persönliche Daten durch gefälschte Mails, Websites o.Ä. abzufangen; Distributed Denial of Service Angriffe, kurz DDoS, eine Angriffsmethode, die durch übermäßige Anfragen Server oder Webseiten unzugänglich macht oder auch Sicherheitslücken in der Software, die von Angreifern ausgenutzt werden können.
  • Zertifizierungen wirken in zwei Richtungen. Nach innen helfen Sie dabei den Status Quo zu überprüfen, Verbesserungspotentiale zu identifizieren und umzusetzen. Im besten Fall sorgt das für gesteigerte Effizienz, schlankere Prozesse und auch mehr Motivation. Nach Außen helfen Sie dabei einen Standard zu gewährleisten und Vertrauen zu schaffen. In einigen Fällen sind Zertifizierungen sogar Voraussetzungen für die Marktteilnahme, da sie von Auftraggebenden vorausgesetzt werden.
  • Datenschutz und Datensicherheit: Während es beim Datenschutz nach DSGVO vor allem um personenbezogene Daten geht, soll Datensicherheit die Verschlüsselung aller Daten abdecken.
  • Aktualisierung von Software: Die Software auf dem aktuellen Stand zu halten, ist unerlässlich, um Sicherheitsrisiken zu minimieren. Das kontinuierliche Optimieren von Software kann auch dazu beitragen, einen Wettbewerbsvorteil zu erlangen.
  • Zugriffsrechte: Gefahren der IT Sicherheit lauern nicht nur von außen. Auch nach innen sollte sichergestellt werden, dass sensible Daten und Informationen nicht in die falschen Hände kommen. Das Verwalten von Sicherheitsrechten, Implementieren von Zugriffskontrollen und Überprüfen der Zugriffsrechte gehört auch zur IT Sicherheit.
  • Wissensvermittlung und Schulungen: IT Sicherheit kann nur wirklich effektiv sein, wenn alle Mitarbeitenden aktiv dabei sind. So können die Praktiken gelernt, im Arbeitsalltag umgesetzt und im Ernstfall Bedrohungen identifiziert werden.

 

IT Sicherheit ist häufig eng verknüpft mit IT Service Management, im besten Fall gehen beide Hand in Hand. IT Service Management stellt sicher, dass alle Abläufe in der IT reibungslos gestaltet werden können und Pläne und Abläufe für Vorfälle und Incidents möglichst schadenfrei überwunden werden.

 

 

 

Cyber Security und Cyber Attacken

 

Cyber Security und IT Sicherheit sind wie weiter oben bereits erwähnt häufig in synonymer Verwendung anzutreffen. In den meisten Fällen ist das kein Problem, weil die Schnittmenge sehr groß ist. Häufig sind Definitionen, Ziele, Maßnahmen und Bedrohungen gleich. Während sich IT-Sicherheit aber oft auf den Raum eines Unternehmens oder einer Organisation beschränkt, bezeichnet Cyber Security den gesamten Cyber Raum. Es geht hier also beispielsweise nicht nur um die Aufklärung und Schulung der eigenen Mitarbeitenden, sondern um die der gesamten Bevölkerung.

Bedrohungen der Cyber Security kommen nicht immer von außen, allerdings ist die Zahl der Cyber Attacken oder Hackerangriffe in den letzten Jahren deutlich gestiegen. Cyber Angriffe betreffen nicht immer nur Unternehmen, Organisationen oder Privatpersonen. Auch Terrorismus und Kriegsführung spielen sich online ab, deswegen haben sich auch Begriffe wie Cyberterrorismus und Cyberkriegsführung etabliert. Cyberkriminalität ist der Oberbegriff für alle illegalen Cyber Attacken. Die Motive können recht unterschiedlicher Natur sein: kriminell motivierte Angreifer trachten nach Geld durch Erpressung oder Diebstahl oder die Störung der Geschäftsabläufe oder um sich Wettbewerbsvorteile zu verschaffen; persönlich motivierte nach Störungen, Schäden des Unternehmens oder der anderen Person; die politisch motivierten Angreifer versuchen Aufsehen für ihre Sache zu erregen, oder auch klassische Spionage, mittlerweile hat sich hier der Begriff Hacktivismus etabliert.

 

Die häufigsten Cyber Attacken haben wir hier zusammengefasst:

 

Malware:
Malware ist eine Zusammenfassung von schädlicher Software wie Viren, Trojaner, Würmer und Ransomware. Sie können einzelne Computer, aber auch ganze Netzwerke schädigen

DDoS-Attacken:
DDoS ist die Kurzform von Distrubuted Denial of Service. Es handelt sich um Angriffe, bei denen eine große Anzahl von Anfragen verwendet werden, um einen Server oder eine Website zu überlasten. DDoS Attacken sind sehr verbreitet und dienen dazu einen Service außer Gefecht zu setzen, die Website oder Server sind dann nicht erreichbar.

Phishing:
Phishing ist den meisten sicher aus den Nachrichten bekannt. Kriminelle versuchen hier sensible Daten wie Passwörter, persönliche Daten oder Bankdaten durch gefälschte Mails, Websites, oder SMS zu erlangen. Die Fälschungen sehen teilweise täuschend echt aus und sind schwer zu identifizieren.

Social Engineering:
Beim Social Engineering versuchen Kriminelle eine Person so zu manipulieren, dass sie Zugang zu vertraulichen Informationen oder gesamten Systemen erhalten.

Bedrohungen von innen:
Softwareupdates enthalten häufig geschlossene Sicherheitslücken, wer auf Updates verzichtete, steigert das Risiko eines Angriffs. Cyberkriminelle nutzen die Lücken in veralteter Software gern aus. Ein weiteres Risiko sind Insider: auch Mitarbeitende können die ihnen anvertrauten Informationen und Zugänge ausnutzen, sei es unabsichtlich oder mit Vorsatz.

Vernetzung:
Die zunehmende Vernetzung hat nicht nur Vorteile: Geräte oder Sensoren, die mit dem Internet verbunden sind, können von Cyberkriminellen genutzt werden, um Geräte zu kontrollieren oder manipulieren.

 

 

Zurück zur Übersicht