Was ist Informationssicherheit? Definition, Grundsätze und Maßnahmen

Informationssicherheit ist eine Reihe von Praktiken, mit denen Daten vor unbefugtem Zugriff oder Änderungen geschützt werden sollen. Im Folgenden wird ein umfassender Überblick über die Richtlinien, Grundsätze und Personen gegeben, die zum Schutz von Daten eingesetzt werden.

Die Sicherheit von Informationen kann im IT-Kontext in verschiedene Teilbereiche aufgestellt werden, wie etwa Datenschutz, Netzwerksicherheit, oder Computersicherheit. Eine zentrale Komponente spielt hierbei auch das so genannte Informationssicherheitsmanagement-System (ISMS).

In der Praxis orientiert sich die Informationssicherheit an international gültigen ISO/IEC Normen, genauer gesagt an der ISMS-Zertifizierung nach ISO 27001. Diese beschreibt die Anforderungen an Umsetzung und Dokumentation eines ISMS.

 

Definition Informationssicherheit

 

Informationssicherheit stellt eine Reihe von Praktiken dar, welche Daten vor unbefugtem Zugriff oder Änderung schützen sollen. Dieser Schutz soll sowohl bei der Speicherung, als auch bei der Übertragung von einer Maschine oder einem physischen Ort zu einer anderen Maschine. Da Daten im heutigen Zeitalter sehr wertvolle Assets darstellen, hat der Schutz dergleichen besonders an Bedeutung gewonnen.

 

 

Unterschied Informationssicherheit – Cybersicherheit

Informationssicherheit ist heutzutage ein gängiger Begriff in Unternehmen geworden, welche oft mit IT-Sicherheit oder Cybersicherheit gleichgesetzt wird. Dabei ist die Cybersicherheit eine umfassendere Disziplin, welche die Verteidigung von IT-Assets vor Angriffen bezeichnet, während die Informationssicherheit eine spezifische Praktik innerhalb der Cybersicherheit darstellt. Netzwerksicherheit und Anwendungssicherheit stellen dabei verwandte Praktiken der Informationssicherheit dar, welche sich auf die Bereiche Netzwerke und Anwendungen konzentrieren.

Natürlich gibt es zwischen den oben genannten Begriffen in der Praxis Überschneidungen. Es können keine Daten gesichert werden, welche über ein unsicheres Netzwerk übertragen oder von einer undichten Anwendung manipuliert werden. Darüber hinaus werden zahlreiche Informationen nicht elektronisch gespeichert, müssen aber dennoch geschützt werden. Die Aufgaben, welche unter den Bereich der Informationssicherheit fallen, sind also vielfältig und breit gefächert.

 

Grundsätze der Informationssicherheit

Die grundlegenden Komponenten der Informationssicherheit lassen sich in drei Elemente zusammenfassen: Vertraulichkeit, Integrität und Verfügbarkeit.

Vertraulichkeit von Informationen

Vertraulichkeit ist wahrscheinlich das erste Element, welches man mit dem Begriff der Informationssicherheit assoziiert. Daten gelten dann als vertraulich, wenn nur Personen welche dazu berechtigt sind, auf die Daten zugreifen können. Um Vertraulichkeit zu gewährleisten zu können, müssen Sie in der Lage sein zu identifizieren, wer versucht auf Daten zuzugreifen, sowie Versuche von Personen ohne entsprechende Berechtigung zu blockieren. Vertraulichkeit kann durch eine Reihe von Praktiken gewährleistet oder unterstützt werden. So sind die Nutzung von 2-Factor Authentifizierungen, Verschlüsselungen und Passwörter gängige Techniken in Unternehmen und im privaten Umgang mit sensiblen Daten.

Integrität von Informationen

Der Grundsatz der Integrität bedeutet, dass die Daten in ihrem korrekten, vollständigen Zustand zu erhalten und zu verhindern, dass sie versehentlich oder absichtlich verändert werden. Dabei kommen viele der Techniken zum Einsatz, welche auch zur Erfüllung des Grundsatzes der Vertraulichkeit genutzt werden – denn auch diese schützen die Datenintegrität. So kann beispielsweise ein Hacker oder unbefugter Dritter keine Daten ändern, auf die er keinen Zugriff hat.

Es gibt zudem weitere Techniken, welche eine tiefgreifende Verteidigung der Integrität von Daten ermöglichen.
So können beispielsweise Prüfsummen dabei helfen, die Datenintegrität zu überprüfen. Softwares zur Versonskontrolle und häufige Backups sind ein Mittel, Daten im Ernstfall wieder in einen korrekten – ursprünglichen – Zustand zu versetzen.

Der Grundsatz der Datenintegrität umfasst auch das insbesondere in rechtlichen Kontexten geltende Konzept der Unleugbarkeit. Das bedeutet, ein Datenverantwortlicher muss nachweisen können, dass die Integrität der Daten gewahrt wurde.

Verfügbarkeit von Informationen

Die Verfügbarkeit von Daten ist das Pendant der Vertraulichkeit. Während einerseits gewährleistet sein muss, dass Daten nicht von unbefugten Nutzern eingesehen werden können, muss gleichermaßen die Verfügbarkeit für Nutzer mit entsprechender Berechtigung gegeben sein. Datenverfügbarkeit gewährleisten bedeutet in der Anwendung, dass die Netzwerk- und Computerressourcen auf das erwartete Datenzugriffsvolumen abgestimmt sind und Backup Richtlinien für Desaster-Recovery-Zwecke implementiert sind.

In einer idealen Welt sollten Ihre Daten immer vertraulich, in ihrem korrekten Zustand und verfügbar sein. In der Praxis müssen Sie natürlich oft entscheiden, welche Informationssicherheitsprinzipien in den Vordergrund gestellt werden sollen, und das erfordert eine Bewertung Ihrer Daten. Wenn Sie zum Beispiel sensible medizinische Informationen speichern, werden Sie sich auf die Vertraulichkeit konzentrieren, während ein Finanzinstitut die Datenintegrität betonen könnte, um sicherzustellen, dass niemandem auf seinem Bankkonto fälschlicherweise etwas gutgeschrieben oder abgebucht wird.

 

Informationssicherheitspolitik

Die Mittel, mit denen diese Prinzipien auf eine Organisation angewandt werden, haben die Form einer Sicherheitspolitik. Dabei handelt es sich nicht um ein Stück Sicherheitshardware oder -software, sondern um ein Dokument, das ein Unternehmen auf der Grundlage seiner eigenen spezifischen Bedürfnisse und Besonderheiten erstellt, um festzulegen, welche Daten auf welche Art und Weise geschützt werden müssen. Diese Richtlinien leiten maßgeblich die Entscheidungen des Unternehmens bei der Beschaffung von Cybersicherheits-Tools und schreiben auch das Verhalten und die Verantwortlichkeiten der Mitarbeiter vor.

Die Informationssicherheitspolitik Ihres Unternehmens sollte unter anderem Folgendes beinhalten:

  • Eine Erklärung, welche den Zweck des Informationssicherheit-Programms definiert und Ihre allgemeinen Ziele beschreibt
  • Definitionen der Schlüsselbegriffe, die in dem Dokument verwendet werden, um ein gemeinsames Verständnis zu gewährleisten
  • Eine Zugangskontrollpolitik, die festlegt, wer Zugang zu welchen Daten hat und wie Rechte festgelegt werden können
  • Einen Datenunterstützungs- und Operationsplan, um sicherzustellen, dass die Daten immer für diejenigen verfügbar sind, die sie benötigen
  • Rollen und Verantwortlichkeiten der Mitarbeiter beim Schutz von Daten, einschließlich der Frage, wer letztendlich für die Informationssicherheit verantwortlich ist
  • Eine einheitliche Passwort-Richtlinie

In der heutigen Zeit nutzen viele Unternehmen den Service von Anbietern, um Computerdienste auszulagern oder Daten in der Cloud zu speichern. Die Sicherheitspolitik solcher Unternehmen muss daher mehr abdecken, als nur die eigenen Vermögenswerte, welche sich im Besitz des Unternehmens befinden. Es muss Klarheit darüber herrschen, wie mit verschiedenen Informationen umgegangen wird – von persönlich zu identifizierenden Informationen, welche auf Cloud Computing Plattformen gespeichert sind, bis hin zu Dritten, für welche eine Authentifizierung notwendig ist, sodass sie auf sensible Unternehmensinformationen zugreifen können.

 

Maßnahmen zur Informationssicherheit

Es gibt verschiedene Maßnahmen, welche im Zusammenhang mit der Cybersicherheit die Informationssicherheit bis zu einem gewissen Grad berühren.

1. Technische Maßnahmen

Zu den technischen Massnahmen gehören die Hard- und Software, die die Daten schützt – alles von der Verschlüsselung bis zu Firewalls.

2. Organisatorische Maßnahmen

Zu den organisatorischen Maßnahmen gehören die Schaffung einer internen Einheit, die sich der Informationssicherheit widmet, sowie die Einbeziehung von infosec in die Aufgaben einiger Mitarbeiter in jeder Abteilung.

3. Personal-Maßnahmen

Zu den menschlichen Maßnahmen gehört die Sensibilisierung der Benutzer für die richtigen Praktiken hinsichtlich der Informationssicherheit.

4. Lokale Maßnahmen

Zu den physischen Maßnahmen gehört die Kontrolle des Zugangs zu den Bürostandorten und insbesondere zu den Datenzentren.

 

 

Sie haben Fragen oder wünschen ein Beratungsgespräch?

Dann vereinbaren Sie einfach einen Termin mit unseren Spezialisten:

Termin vereinbaren