Was ist der Unterschied zwischen IT-Sicherheit und Informationssicherheit?
Auch wenn die beiden Begriffe Informationssicherheit und IT-Sicherheit auf den ersten Blick dasselbe suggerieren, gibt es doch einige Unterschiede. Sensible und personenbezogene Daten können auf unterschiedlichen Wegen gespeichert werden: beispielsweise im Kopf, auf gewöhnlichem Papier oder auf Festplatten. Bei dem Begriff IT-Sicherheit geht es genau genommen um den Schutz von Daten, die elektronisch gespeichert wurden, und um deren Verarbeitung. Diese müssen durch entsprechende Maßnahmen geschützt werden.
Im Unterschied zu dem Begriff IT-Sicherheit ist die Informationssicherheit noch etwas umfassender und wird daher im Sprachgebrauch häufiger verwendet. Englische Bezeichnungen sind Information Security, Cyber Security oder IT Safety. Auch sie werden im deutschen Sprachgebrauch in Zeiten der Globalisierung häufig eingesetzt.
Informationssicherheit erfordert einen fortlaufenden Managementprozess. Damit ein entsprechendes Sicherheitsniveau gewährleistet ist, ist es erforderlich, dass sämtliche Bereiche im Unternehmen dazu ihren Beitrag leisten. Kontinuierlich müssen Risiken identifiziert und behoben werden. Als nützlich hat es sich dabei erwiesen, das Sicherheitsniveau zuvor genau zu definieren.
Maßnahmen für eine optimale Informationssicherheit im Unternehmen
Die Cyberkriminalität stellt für Unternehmen ein großes Problem dar. Dabei wird in der Regel aus finanziellen Gründen versucht, virtuell in eine Datenbank einzudringen. Darunter leiden jedoch auch die Reputation und das Vertrauen in das Unternehmen. Aus diesem Grund sollten das Thema Datenschutz und somit auch das Thema Datensicherheit im Unternehmen höchste Priorität besitzen. Daher wurde zum Beispiel die Datenschutzgrundverordnung (DSGVO), die im Mai 2018 gültig wurde, eingeführt, die exakt definierte Sicherheitsrahmen beinhaltet. Unternehmen sind mit kontinuierlichen Audits und Sicherheitskonzepten sowie mit den daraus resultierenden technischen und organisatorischen Maßnahmen dazu verpflichtet, die sensiblen Daten zu schützen.
Geregelt wird dabei unter anderem, wie mit Daten vor, während und nach der Verarbeitung umzugehen ist. Wird gegen die DSGVO verstoßen, drohen empfindliche Strafen. Insbesondere personenbezogene Daten müssen noch besser geschützt werden. Geregelt ist aber auch, wie mit Daten umgegangen werden muss, wenn es um eine Speicherung und den Zugang zu den Daten geht. Eingesetzte Software muss kontinuierlich getestet werden, damit Schwachstellen frühzeitig erkannt werden können. Somit müssen Unternehmen entsprechende Vorsorge- und Schutzmaßnahmen einhalten.
Die drei wichtigsten Ziele der Informationssicherheit im Überblick
Um die Informationssicherheit zu gewährleisten, ist es erforderlich, dass Sicherheitsziele erreicht werden. Diese definieren sich aus den Anforderungen, die ein Sicherheitssystem erfüllen muss, um den Schutz zu gewährleisten. Dabei kann es vorkommen, dass nicht sämtliche Ziele erreicht werden können und dass sich einige Ziele widersprechen oder überschneiden. Damit diese Ziele erfüllt werden können, ist es erforderlich, dass sie messbar werden, um sie bewertbar zu machen.
Es gibt drei Schutzziele, die mit CIA abgekürzt werden. Sie setzen sich zusammen aus den Wörtern:
• Confidentiality = Vertraulichkeit
• Integrity = Integrität
• Availability = Verfügbarkeit
Das sind nicht die einzigen Ziele, sondern nur die drei wichtigsten. Denn es gibt noch einige weitere Schutzziele, wie zum Beispiel die Privatsphäre oder die Authentizität. Neben der Sicherheit von Daten in digitaler oder in Papierform gehört zur Informationssicherheit auch das Sichern von Räumen mit vertraulichem Datenmaterial, wie zum Beispiel die Personalabteilung, die IT-Abteilung oder Archive.
Vertraulichkeit als Ziel der Informationssicherheit: die Regelung der Berechtigung
Bei dem ersten Ziel der Informationssicherheit handelt es sich um die Vertraulichkeit. Darunter wird unter anderem verstanden, dass Daten nur von bestimmten Personen eingesehen und verändert werden dürfen, die hierfür eine Berechtigung besitzen. Daher muss genau definiert sein, welcher Mitarbeiter Zugriff auf welche Daten hat.
Außerdem dürfen Daten nicht von nicht unberechtigten Personen gelesen oder verändert werden können. In der Praxis bedeutet das, dass bei Datenübertragungen Daten am besten verschlüsselt werden. Dazu gehören nicht nur Daten bei Zahlungen, sondern zum Beispiel auch der E-Mail-Verkehr.
Das Schutzziel Integrität: die Verhinderung von unbemerkten Änderungen
Im Unterschied zu Vertraulichkeit bedeutet Integrität, dass Daten nicht unbemerkt verändert werden können. Hier geht es einerseits um die reine Nachvollziehbarkeit der Änderungen. Andererseits ist dafür Sorge zu tragen, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden.
Im Vergleich dazu liegt der Schwerpunkt bei der Vertraulichkeit in der Regelung der Berechtigung. In der Praxis müssen demnach für Datenveränderungen Dokumentationspflichten eingeführt werden. Zu Problemen kann es zum Beispiel dann kommen, wenn sich mehrere User einen Account teilen. Außerdem müssen Schutzmaßnahmen getroffen werden, die möglichst verhindern, dass personenbezogene Daten von Dritten bzw. Unbefugten verarbeitet werden.
Verfügbarkeit: Zeitspanne der Informationssicherheit möglichst lange aufrechterhalten
Die Zeit, in der die Informationssicherheit gegeben ist, wird mit Verfügbarkeit bezeichnet. Daher muss die Verfügbarkeit möglichst hoch sein. Dabei ist es wichtig, dass Systemausfälle minimiert werden. Die Datenbestände und Systeme, die für die Arbeitsabläufe im Unternehmen essenziell sind, müssen dementsprechend vor Ausfällen geschützt werden. Dies gelingt am besten mit einer Risikoanalyse, in der aufgelistet wird, wie hoch die Wahrscheinlichkeit eines Ausfalls ist, wie lang die Ausfallzeit beträgt und welches Schadenspotenzial gegeben ist. Wichtig ist in Zusammenhang mit der Verfügbarkeitskontrolle unter anderem auch, dass regelmäßig Datensicherungen erstellt werden und dass die Rücksicherung von gesicherten Daten in gewissen Abständen getestet wird, um im Problemfall schnellstmöglich und richtig reagieren zu können. Zudem sollten die Datensicherungen in verschiedenen Brandabschnitten aufbewahrt werden. Darüber hinaus sollte der Serverraum gegen Brand, Überflutung und sonstige Katastrophen geschützt werden.
Sicherheit der Daten wird immer wichtiger
Mit dem Zeitalter der Digitalisierung wächst auch die Priorität des Datenschutzes. Aus diesem Grund ist auch seit Mai 2018 die europaweite DSGVO gültig. Sie schreibt unter anderem vor, dass ein Unternehmen verpflichtet ist, insbesondere personenbezogene Daten nicht nur vor dem Zugriff unbefugter Dritter zu schützen, sondern auch ein konkretes Konzept zu verfolgen und regelmäßige Prüfungen vorzunehmen. Gemeint ist damit nicht nur die Speicherung der Daten, sondern auch die Übermittlung und die Verarbeitung. Bei einem Verstoß gegen die DSGVO drohen Geldstrafen bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Außerdem müssen Unternehmen sicherstellen, dass ihre IT zuverlässig und fehlerfrei funktioniert. Dabei stehen nicht nur Unternehmen in der Verantwortung, sondern auch Softwareanbieter und Cloud-Betreiber. Neben den regelmäßigen Kontrollen müssen aktive Maßnahmen eingeleitet werden. Das Einhalten der Informationssicherheit und der Informationsstandards kostet nicht nur Geld, sondern ist auch zeitintensiv. Doch das Sicherheitsbewusstsein der Kunden, Geschäftspartner und Lieferanten wächst ebenfalls, daher handelt es sich hierbei um eine wichtige Investition, die dabei hilft, einen immateriellen Schaden, wie zum Beispiel den einer schlechten Reputation, zu verhindern.
