Informationssicherheit kurz erklärt: Definition, Ziele und Maßnahmen
Volljurist und Compliance-Experte
March 7, 2024
6 Minuten
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
Informationssicherheit schützt Unternehmensinformationen vor Bedrohungen wie Datenmissbrauch und -verlust, sowohl digital als auch analog.
Die Ziele der Informationssicherheit sind die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Die Umsetzung geschieht mithilfe eines Informationssicherheits-Managementsystems (ISMS)
Informationen gehören zu den wichtigsten Gütern eines Unternehmens. Der Verlust, der Missbrauch und die Manipulation von Daten können Ihrem Betrieb u. a. einen hohen wirtschaftlichen Schaden zufügen. Beim Thema Informationssicherheit sollten Sie daher keine Kompromisse eingehen.
In diesem Beitrag erfahren Sie, was genau hinter diesem großen Begriff steckt und warum Sie sich besser heute als morgen mit geeigneten Maßnahmen zum Schutz Ihrer Daten auseinandersetzen sollten.
Definition: Was ist Informationssicherheit?
Informationssicherheit fasst kurz gesagt alle Maßnahmen zusammen, die Informationen in Unternehmen vor jeglichen Bedrohungen und Gefahren wie Datenmissbrauch und Datenverlust schützen. Dabei geht es nicht nur um technische Systeme, die Informationen sicher speichern und verarbeiten. Auch organisatorische Aspekte, die zum Beispiel Strategien, Prozesse und das Personal betreffen, sind wichtig.
Schützenswerte Informationen gibt es in Unternehmen viele, darunter beispielsweise personenbezogene Daten von Mitarbeitern und Kunden sowie wichtige Geschäftsdaten als auch Prozesse zu den Finanzen, aus der Produktion und dem Vertrieb. Diese Daten liegen in unterschiedlicher Form vor, sowohl digital als auch analog.
Grundsätzlich verfolgt Informationssicherheit drei Hauptziele:
- die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen
- Informationen und Unternehmensdaten vor Bedrohungen schützen
- das Unternehmen vor wirtschaftlichen Schäden, Verstößen gegen Gesetze, Vorschriften oder Verträge und Ansehensverlusten bewahren
Die Schutzziele der Informationssicherheit
Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sind sozusagen die Grundwerte der Informationssicherheit – auch bekannt unter dem Akronym (der englischen Begriffe) CIA oder als CIA-Triade.
Vertraulichkeit (Confidentiality)
Vertraulichkeit bedeutet, dass nur befugte Personen Einsicht und Zugriff auf bestimmte Daten haben dürfen. Geeignete (System-)Einstellungen und Unternehmensprozesse sorgen dafür, dass niemand unautorisiert an Informationen gelangt.
Sicherheitslücken in Bezug auf die Vertraulichkeit lauern in Unternehmen an jeder Ecke, beispielsweise wenn vom Büroflur aus ein uneingeschränkter Blick auf die Bildschirme von Mitarbeitern möglich ist, Personaldokumente in einem offenen Aktenschrank abgelegt sind oder ein ungeschütztes WLAN zur Datenübertragung genutzt wird.
Integrität (Integrity)
Datenintegrität bezieht sich auf die Korrektheit der Daten, das heißt, dass sie konsistent, vertrauenswürdig und vollständig sind. Um die Integrität Ihrer Daten zu wahren, sollten Sie sicherstellen, dass Informationen nicht unbemerkt beziehungsweise unbefugt verändert und manipuliert werden können. Der gesamte Lebenszyklus von Daten sollte immer nachvollziehbar sein.
Die Integrität von Daten kann sowohl unbeabsichtigt durch technische Fehler oder Fehlbedienungen als auch durch einen gezielten Angriff verletzt werden. Ein Beispiel für Letzteres ist die SQL-Injection: Hier schleusen Hacker in Web-Anwendungen eigene SQL-Befehle ein und dringen darüber in die Datenbank ein, um diese zu manipulieren.
Verfügbarkeit (Availability)
Bei diesem Schutzziel geht es darum, sicherzustellen, dass die Informationen nur für autorisierte Personen verfügbar sind, wenn sie benötigt werden.
Um die Verfügbarkeit zu gewährleisten, sollten Sie sich unter anderem um eine ausfallsichere IT-Infrastruktur kümmern und geeignete Back-up-Strategien entwickeln sowie umsetzen.
Weitere Schutzziele:
Neben den drei allgemeinen Schutzzielen lassen sich in bestimmten Kontexten noch weitere Schutzziele definieren, zum Beispiel:
- Authentizität: Die Echtheit und Vertrauenswürdigkeit von Informationen lässt sich überprüfen, z. B. die Identität eines Benutzers.
- Nichtabstreitbarkeit: Handlungen können nicht abgestritten werden, sie sind verbindlich und nachweisbar, z. B. der Abschluss eines Vertrags.
- Anonymität: In bestimmten Kontexten kann es notwendig sein, dass die identifizierbaren Merkmale eines Nutzers/Urhebers so gelöscht werden, dass kein Rückschluss auf denjenigen oder dessen schutzwürdige Daten möglich ist.
- Verlässlichkeit: Das System erfüllt seine Funktionen konsistent und zuverlässig.
Abgrenzung zu IT-Sicherheit, Datensicherheit, Datenschutz und IT-Compliance
IT-Sicherheit, Datenschutz, Informationssicherheit, Datensicherheit – all diese Begriffe werden oft in denselben Topf geworfen und wild verrührt. Ganz so falsch ist das nicht – wenn man Informationssicherheit als den Topf sieht und die anderen als Zutaten.
Oder anders ausgedrückt: IT-Sicherheit, IT-Compliance, Datensicherheit und Datenschutz sind Teilbereiche, die sich alle in das übergeordnete Konzept der Informationssicherheit einordnen lassen.
💡 Hinweis: Auch wenn wir im Folgenden eine Abgrenzung der Begrifflichkeiten mit ihren Gemeinsamkeiten und Unterschieden vornehmen, sollten die Bereiche in der Praxis nicht separat voneinander betrachtet werden, sondern eng zusammenarbeiten.
IT-Sicherheit
Während sich Informationssicherheit auf Informationen aller Art, digital und analog, bezieht, konzentriert sich die IT-Sicherheit auf den Schutz von elektronisch gespeicherten Informationen und digitalen IT-Systemen.
IT-Sicherheit selbst lässt sich wiederum in Teilbereiche aufteilen, darunter:
- Computersicherheit: In den Anfängen des PCs ging es bei der Computersicherheit hauptsächlich darum, die Funktionalität der verwendeten Hard- und Software sicherzustellen. Heute steht der Schutz von Computersystemen vor Ausfall, Manipulation und unerlaubtem Zugriff im Vordergrund.
- Cyber-Sicherheit: Cyber-Sicherheit widmet sich den Bedrohungen aus dem Cyber-Raum, also insbesondere den Gefahren und Angriffen aus dem Internet.
- Netzwerksicherheit: Hier geht es um die Sicherheit von Rechnernetzwerken.
Datenschutz
Jeder Mensch hat das Recht auf Privatsphäre und auf informationelle Selbstbestimmung. Jeder kann also selbst über seine persönlichen Daten, zum Beispiel seine Privatanschrift, Telefonnummer oder Bankdaten, bestimmen. Der Schutz dieser personenbezogenen Daten ist Gegenstand des Datenschutzes. Dieser wiederum ist gesetzlich geregelt, und zwar im Bundesdatenschutzgesetz (BDSG) und in der Datenschutz-Grundverordnung (DSGVO).
Datenschutz und Informationssicherheit haben viele Überschneidungen, wenn es darum geht, Datenmissbrauch zu verhindern. Darüber hinaus beschäftigt sich Datenschutz jedoch auch mit der grundsätzlichen Frage, welche Daten überhaupt erhoben und verarbeitet werden dürfen.
Datensicherheit
Datensicherheit bezeichnet die technische Sicherung von Daten mit und ohne personenbezogene Merkmale. Es geht vor allem um die Frage, mit welchen technischen Maßnahmen Daten vor Verlust, Manipulation und anderen Bedrohungen geschützt werden können. Damit hat Datensicherheit viel mit Informationssicherheit gemein, Letztere ist jedoch noch einmal umfassender.
IT-Compliance
Compliance bezieht sich auf die Einhaltung der geltenden Gesetze und Regelungen. Besonders beim Thema Datenschutz, aber auch in anderen Bereichen der Informationssicherheit ist es wichtig, dass sich Unternehmen regelkonform verhalten. Bei Verstößen können ansonsten empfindliche Strafen drohen. Deshalb sollten entsprechende IT-Compliance-Richtlinien aufgestellt werden, an die sich alle Beteiligten zu halten haben.
Warum Informationssicherheit so wichtig ist
Ob sie Dokumente bearbeiten, Präsentationen erstellen, E-Mails verschicken oder Geschäftsanalysen durchführen – Mitarbeiter in Unternehmen arbeiten jeden Tag mit einer Menge an Informationen sowie Anwendungen zur Informationsverarbeitung.
Daraus ergeben sich zwei große Risiken für Unternehmen:
- Bei den Informationen handelt es sich oft um sehr sensible und wertvolle Daten, die nicht in die falschen Hände geraten und auch nicht verloren gehen sollten.
- Unternehmen sind heutzutage sehr abhängig von IT-Systemen, die wiederum anfällig für Fehlbedienungen, Ausfälle und Angriffe sind.
Mögliche Bedrohungen
Grundsätzlich lauern im Unternehmensalltag viele Gefahren und Bedrohungen für die Schutzziele der Informationssicherheit. So können technische Probleme oder Naturkatastrophen wie Überschwemmungen für Ausfälle sorgen und die Verfügbarkeit einschränken.
Auch menschliches Versagen kann zu Sicherheitsrisiken führen. Zudem müssen Sie in Ihrem Unternehmen mit kriminellen Angriffen rechnen, die den Diebstahl, die Spionage oder Manipulation von Daten zum Ziel haben.
In Anbetracht der vielen Risiken ist ein umfassendes Konzept zur Informationssicherheit für Unternehmen unabdingbar. Ein solches hilft Ihnen dabei:
- Informationen und Daten vor Missbrauch und Verlust zu schützen
- Geschäfts- und Betriebsgeheimnisse zu wahren
- Datenschutz, z. B. von Kunden- und Mitarbeiterdaten, sicherzustellen
- Sicherheitsrisiken vorzubeugen, zu erkennen und zu reduzieren
Maßnahmen für die Informationssicherheit
Neben technischen Lösungen zur Sicherung von IT-Produkten und Daten beinhalten Maßnahmen für die Informationssicherheit auch rechtliche und organisatorische Aufgaben. Zudem sollten konkreten Maßnahmen zunächst konzeptionelle Überlegungen vorausgehen.
Entwickeln Sie also eine umfassende Strategie, mit der Sie vom Management bis zu jedem einzelnen Mitarbeiter den Schutz Ihrer Informationen verbessern . Die Entwicklung, Umsetzung und Revision der Strategie fließt in einem Informationssicherheits-Managementsystem (ISMS) zusammen und sollte ein kontinuierlicher Verbesserungsprozess sein.
Security Policy & IT-Sicherheitsmanagement
Informationssicherheit ist top-down organisiert. Das heißt, es ist Aufgabe des Managements, ein Sicherheitskonzept für das Unternehmen zu entwickeln und geeignete Informationsschutz- und Sicherheitsrichtlinien (Security Policy) anhand geltender Standards festzulegen.
Die wichtigsten Sicherheitsstandards für das Informationssicherheitsmanagement sind das IT-Grundschutzkompendium sowie die Standard-Reihe vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die ISO/IEC 27000-Reihe, insbesondere ISO 27001.
Darüber hinaus sind auch branchenspezifische Standards zu beachten. So verpflichtet das IT-Sicherheitsgesetz unter anderem Betreiber von kritischen Infrastrukturen (KRITIS) zu einem Mindestmaß an Sicherheitsanforderungen.
Eine Voraussetzung für den Erfolg Ihres Informationssicherheitsmanagements ist, dass Sie die Richtlinien in Zusammenarbeit mit den Führungskräften an die gesamte Belegschaft kommunizieren und die Mitarbeiter für das Thema sensibilisieren. Schaffen Sie ein Bewusstsein dafür, wie wichtig Informationssicherheit ist.
Im nächsten Schritt geht es darum, die Mitarbeiter zu einem sicheren, verantwortungsvollen und umsichtigen Umgang mit den Unternehmensdaten zu befähigen, zum Beispiel in entsprechenden Schulungen und Trainings.
Risikomanagement
Informationssicherheit sollte auch immer Hand in Hand mit dem Risikomanagement gehen. Dazu gehört zum einen, einzuschätzen, welche Schäden mit welcher Wahrscheinlichkeit und in welcher Höhe eintreten können. Zum anderen sollten Sie Ihre Geschäftsprozesse, Anwendungen und IT-Systeme einer sorgfältigen Risikoanalyse und Bewertung unterziehen.
Anhand der Ergebnisse sollten Sie gezielte, unternehmensspezifische Schutzziele und IT-Sicherheitsmaßnahmen entwickeln.
Information Security Management System (ISMS)
Ein Information Security Management System (ISMS) – zu Deutsch: Informationssicherheitsmanagementsystem – dient u. a. der Umsetzung der Informationssicherheitsrichtlinie. Mit dem ISMS definieren Sie Verfahren, mit denen Sie die Informationssicherheit in Ihrem Unternehmen steuern, kontrollieren und laufend verbessern können.
Die Anforderungen, die ein ISMS erfüllen muss, sind u. a. in der Norm ISO/IEC 27001 geregelt.
Dort finden Sie unter anderem auch eine Liste an Sicherheitskontrollen, um das Sicherheitsniveau in Ihrem Unternehmen zu überprüfen. Dazu gehören zum Beispiel Kontrollen zur Compliance, zum Systemerwerb sowie zur Kommunikations- und Personalsicherheit.
Konkrete operative IT-Sicherheitsmaßnahmen
Sie haben jetzt viel über Standards, Schutzziele, Richtlinien und Anforderungen gehört. Diese dienen schließlich als Grundlage für alle operativen Sicherheitsmaßnahmen, die Sie in Ihrem Unternehmen durchführen.
Beispiele für konkrete Maßnahmen sind:
- Sichere Zugangskontrollen
- Individuelle Benutzerrechte
- Regelmäßige Software-Updates
- Sicherungskopien
- Firewalls
- Verschlüsselung
- und viele mehr
Informationssicherheit ist also mehr, als hier und da vereinzelte Schutzmaßnahmen zu implementieren. Stattdessen erfordert Informationssicherheit umfassendes Know-how und ein ganzheitliches Konzept. Nur so schützen Sie die Informationen in Ihrem Unternehmen nachhaltig.
Professionelle Unterstützung beim Aufbau und Betrieb Ihres ISMS erhalten Sie bei SECJUR. Gerne zeigen wir Ihnen in einer Demo, wie Sie Informationssicherheit mit unserer Plattform effektiv umsetezen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office