Datenschutz-Akademie » Datenschutz-Wiki » Informationssicherheit
Informationssicherheit: Definition, Ziele, Schutzziele und Umsetzung
Mit zunehmendem Einsatz von IT-Systemen steigt das Risiko, von Cyberattacken oder dem Zugriff Unbefugter auf Informationen und Daten von Unternehmen. Die Informationssicherheit soll diese Daten schützen und deren Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten.
Der Themenbereich Informationssicherheit ist eng verknüpft mit der IT-Sicherheit, Datensicherheit und dem Datenschutz und wird in den meisten Unternehmen durch einen Informationssicherheitsbeauftragen operativ umgesetzt. Dieser orientiert sich bei der Umsetzung an Leitlinien wie dem IT Grundschutz und Normen wie der ISMS-Zertifizierung nach ISO 27001. Die Anforderungen der Leitlinien und Normen werden durch den Informationssicherheitsbeauftragten in ein Informationssicherheit-Managementsystem integriert und fortlaufend kontrolliert und optimiert. Für diese Aufgabe bestimmen Unternehmen einen internen ISB oder bestellen einen externen Informationssicherheitsbeauftragen.
Im folgenden Beitrag erfahren Sie, was genau Informationssicherheit ist, welche Schutzziele es gibt und wie diese im Unternehmen integriert werden können.
Wichtigste Informationen über Informationssicherheit
- Informationssicherheit bedeutet den Schutz von Informationen und Daten
- Dieser Schutz wird durch technische und organisatorische Maßnahmen im Rahmen der sogenannten Schutzziele gewährleistet.
- Die wichtigsten Schutzziele sind Verfügbarkeit, Integrität und Vertraulichkeit.
- Die wichtigsten Anforderungen an die Informationssicherheit sind im “IT-Grundschutz” vom Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert. Dabei handelt es sich nicht um gesetzliche Anforderungen. Dadurch haben Unternehmen eine gewisse Freiheit bei der Umsetzung von Informationssicherheitskonzepten.
- Der Informationssicherheitsbeauftragte (ISB) unterstützt Unternehmen bei der Umsetzung Informationssicherheit
- Maßnahmen zur Informationssicherheit werden über ein Informationssicherheit-Managementsystems (ISMS) gesteuert
Inhalt zum Thema Informationssicherheit:
Whitepaper Leitfaden für das Management des Compliance-Felds Informationssicherheit
Im Leitfaden für das Management des Compliance-Felds Informationssicherheit finden Sie:
- Erhalten Sie Informationen zum Compliance-Management sowie zur Informationssicherheit
- Lernen Sie wer für die Informationssicherheit Ihres Unternehmens verantwortlich ist.
- Erfahren Sie welche Normen und Standards für die Informationssicherheit relevant sind
- Inklusive schrittweise Erklärung der Umsetzung eines Informationssicherheits-Management-Systems
Informationssicherheit Definition
Informationssicherheit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung. Sie umfasst Maßnahmen, Richtlinien und Technologien, die dazu dienen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Das Hauptziel der Informationssicherheit ist es, sicherzustellen, dass Informationen vor Bedrohungen wie Hacking, Datenverlust, Diebstahl oder Missbrauch geschützt sind. Dies beinhaltet auch die Sicherstellung der rechtmäßigen Verwendung von Informationen und die Gewährleistung, dass sie in Übereinstimmung mit geltenden Gesetzen und Vorschriften behandelt werden. Informationssicherheit ist in der heutigen vernetzten Welt von großer Bedeutung, da die Abhängigkeit von digitalen Informationen und Systemen ständig zunimmt.
Was ist Informationssicherheit?
Informationssicherheit ist den Schutz von Informationen und Daten. Dabei erfolgt ein Schutz vor Gefahren wie der Entschlüsselung von Daten, dem Zugriff oder Änderungen von diesen durch unbefugte Dritte, sowie ein allgemeiner Schutz bei der Übertragung und Speicherung von Daten von einem Ort zum anderen. Um diese Ziele der Informationssicherheit zu gewährleisten, müssen Unternehmen die Schutzziele der Informationssicherheit umsetzen. Diese Umsetzung erfolgt über die Implementierung geeignete Maßnahmen, die durch einen Informationssicherheitsbeauftragten erfolgt und zum Beispiel in den ISO/IEC-27000-Normreihen integriert sind. Die Leitlinie für die Informationssicherheit, der sogenannte “IT-Grundschutz” wird vom Bundesamts für Sicherheit in der Informationstechnik (BSI) herausgegeben. Für die Informationssicherheit verantwortliche, wie der Informationssicherheitsbeauftragte etablieren und managen Maßnahmen zur Informationssicherheit über ein Informationssicherheit-Managementsystems (ISMS).
Was umfasst die Informationssicherheit?
Der Begriff „Informationssicherheit“ umfasst alle technischen und organisatorischen Maßnahmen, welche die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten.
Informationssicherheit Beispiele technische Maßnahmen
- Räumliche Sicherung von Daten und IT-Komponenten
- Verschlüsslungen
- Softwareaktualisierungen
- Virensoftware
- Firewalls
- Backups
- Authentifizierungsmethoden
Informationssicherheit Beispiele organisatorische Maßnahmen
- Mitarbeiterschulungen
- Richtlinien um Umgang mit Sensiblen Daten (z.B. Passwörter)
Hinzukommen Personal-Maßnahmen, welche sich mit der Sensibilisierung der Benutzer im Bezug auf die Informationssicherheit beschäftigt, sowie lokale Maßnahmen welche physische Maßnahmen beinhaltet. Das meint eine Kontrolle zum Zugang zu Bürostandorten und insbesondere zu Datenzentren.
Was ist der Unterschied zwischen IT-Sicherheit, Informationssicherheit und Datensicherheit?
Der Unterschied zwischen IT-Sicherheit und Informationssicherheit liegt darin, dass die IT-Sicherheit nur ein Teilaspekt der Informationssicherheit ist. Während sich die IT-Sicherheit damit befasst vor allem IT-Systeme in einem Unternehmen vor Schäden und Bedrohungen zu schützen, bezieht die Informationssicherheit alle technischen und nicht-technischen Informationen eines Unternehmens mit ein. Neben den Daten der IT-Systeme fallen dementsprechend auch Papierarchive oder das Betriebsgelände in den Schutz der Informationssicherheit.
Auch die Datensicherheit ist der Informationssicherheit untergeordnet, da die Informationssicherheit durchaus umfangreicher ist. Die Datensicherheit und Informationssicherheit haben allerdings beide zum Ziel Sicherheitsrisiken zu minimieren und Maßnahmen zum Schutz von Daten zu etablieren.
Unterschied Datenschutz und Informationssicherheit
Der wesentliche Unterschied zwischen Datenschutz und Informationssicherheit liegt darin, dass der Datenschutz das Recht auf informationelle Selbstbestimmung und den Schutz von personenbezogenen Daten fokussiert, wohingegen die Informationssicherheit auf die Sicherung von Daten in Systemen abzielt. Der Datenschutz schützt also Daten von Bürgern und die Informationssicherheit die Daten von Unternehmen. Da aber auch in Unternehmen personenbezogene Daten verarbeitet werden, kommt es oftmals zur Überschneidung zwischen Datenschutz und Informationssicherheit.
Ein weiterer wesentlicher Unterschied ist aber, dass die Umsetzung des Datenschutz gesetzlich über die Datenschutzgrundverordnung (DSGVO) geregelt ist. Für die Umsetzung der Informationssicherheit gibt es zwar die Leitlinie für die Informationssicherheit des BSI, es handelt sich dabei allerdings nicht um eine gesetzliche Grundlage. Dadurch können Unternehmen unterschiedliche Konzepte einführen.
Schutzziele Informationssicherheit
Die wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Daten gelten als vertraulich, wenn nur autorisierte, befugte Personen Zugriff auf diese Informationen haben. Dabei muss eine Identifikation aller Personen möglich sein, welche auf die Daten zugreifen. Zu erreichen ist dieses Schutzziel beispielsweise durch eine 2-fach Authentifizierung, durch Passwörter oder Verschlüsslungen. Die Integrität von Daten beschreibt, dass Daten in ihrem korrekten sowie vollständigen Zustand erhalten werden und diese vor beabsichtigter/ versehentlicher Veränderungen geschützt werden. Dies schließt ein, dass Unbefugte, wie Hacker keinen Zugriff und somit keine Möglichkeit zur Änderung haben. Verfügbarkeit von Information meint die Gewährleistung des Zugriffs auf die Informationen in zugesicherter Art und Weise für Nutzer mit entsprechender Berechtigung. Nachfolgend sind die Definition der Schutzziele der Informationssicherheit nach dem IT-Grundschutz des BSI aufgeführt.
Definition der Schutzziele der Informationssicherheit nach dem BSI:
Vertraulichkeit
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Integrität
Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z.B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
Verfügbarkeit
Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.
Authentizität
Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.
Nichtabstreitbarkeit
Bei der Nichtabstreitbarkeit liegt der Schwerpunkt auf der Nachweisbarkeit gegenüber Dritten. Ziel ist es zu gewährleisten, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden kann. Es wird unterschieden zwischen
- Nichtabstreitbarkeit der Herkunft: Es soll einem Absender einer Nachricht unmöglich sein, das Absenden einer bestimmten Nachricht nachträglich zu bestreiten.
- Nichtabstreitbarkeit des Erhalts: Es soll einem Empfänger einer Nachricht unmöglich sein, den Erhalt einer gesendeten Nachricht nachträglich zu bestreiten
Verbindlichkeit
Unter Verbindlichkeit werden die Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann
Zuverlässigkeit
Das Schutzziel der Zuverlässigkeit bezieht sich auf die technische Funktionsfähigkeit von IT-Systemen und Komponenten und kann daher in Szenarien hoher Abhängigkeit von IT-Systemen zusätzlich zum Schutzziel der Verfügbarkeit betrachtet werden.
Die Umsetzung eines Informationssicherheitskonzepts
Ein Informationssicherheitskonzept (kurz ISK) ist die systematische Umsetzung der Ziele der Informationssicherheit, durch technische als auch organisatorische Maßnahmen. Das Informationssicherheitskonzept stellt den langfristigen Schutz von Informationen, auch bei sich ändernden technischen, organisatorischen, personellen oder rechtlichen Anforderungen sicher. Wie auch das Datenschutz-Management-System, wird das Informationssicherheitskonzept kontinuierlich überprüft und optimiert. Dies geschieht anhand des Plan-Do-Check-Act-Zyklus / PDCA-Zyklus in den folgenden vier sich wiederholenden Schritten:
- Schwachstellen über eine Bestandsaufnahme identifizieren
- Bewertung der identifizierten Schwachstellen, durch die Beschreibung der Risiken und Erstellung von Lösungsvorschlägen
- Planung und Umsetzung der Maßnahmen
- Überprüfung der Wirksamkeit der Maßnahmen sowie Reaktion auf Veränderungen
Inhalt des Informationssicherheitskonzeptes
Diese Schritte des Informationssicherheitskonzeptes enthalten folgende Vorgehensweisen und Maßnahmen:
- Identifikation neuer und bestehender Risiken
- Planung von Maßnahmen zur Beseitigung oder Minimierung von Risiken
- Kontinuierliche Weiterentwicklung der Sicherheitskultur in der Organisation
- Etablierung von Verantwortlichen zum Betrieb und Umsetzung des Informationssicherheitskonzeptes (z. B. Informationssicherheitsbeauftragter)
- Entwicklung von Richtlinien zur Umsetzung des ISK und Einführung in die Organisation
- Organisation regelmäßiger Sensibilisierung der Mitarbeiter für Informationssicherheit
Informationssicherheitsrichtlinie: Inhalt und Aufbau
Die Informationssicherheitsrichtlinie ist Teil des Informationssicherheitskonzeptes und beschreibt alle technischen und nicht-technischen Systeme, die bei der Datenverarbeitung Verwendung finden sowie die damit einhergehenden Sicherheitsanforderungen. Diese Richtlinie wird von der Unternehmensleitung entworfen und enthält einzuhaltende Maßnahmen und Vorschriften, welche sowohl von allen Mitarbeitern des Unternehmens als auch von der Unternehmensleitung eingehalten werden muss.
Das Bundesamt für Informationstechnik empfiehlt als Leitlinie zur Informationssicherheit folgenden Aufbau der Informationssicherheitsrichtlinie:
- Kontext
- Einleitung
- Geltungs- und Anwendungsbereich
- Ansprechpartner
- Verantwortlichkeiten
- Stellenwert der Informationstechnologie und Informationssicherheit
- Unternehmensziele
- Organisation des Managementsystems für Informationssicherheit
- Geschäftsführung
- IT-Leitung
- Informationssicherheitsbeauftragter
- ICS-ISB
- IS-Managementsystem-Team
- Mitarbeiter
- Weitere Verantwortlichkeiten
- Folgen von Zuwiderhandlungen
- Weitere Maßnahmen
- Inkrafttreten
Beispielen für die Umsetzung am Arbeitsplatz
Die besten technischen Vorkehrungen zum Schutz von Daten nützen wenig, wenn Mitarbeiter nicht ausreichend geschult sind. Mitarbeiter sollten, vor allem dann, wenn sie Zugriff auf zu schützende Daten haben, ihren Arbeitsplatz bei jedem Verlassen sperren. Anderenfalls können Dritte einfach auf die Daten zugreifen.
Aber auch der die Passwortsicherheit spielt eine entscheidende Rolle zur Gewährleistung der Informationssicherheit am Arbeitsplatz. Passwörter sollten nie offen am Arbeitsplatz einsehbar sein, wie Beispielsweise auf einem Notizzettel. Auch typische Verstecke für Passwörter, wie unter der Tastatur, sollten vermieden werden. Zudem sollten sichere Passwörter verwendet werden. Diese zeichnen sich durch eine ausreichende Länge von mind. 8 Zeichen unter Verwendung alphanumerischer Zeichen (Groß- und Kleinschreibung, Zahlen, Sonderzeichen) aus. Dabei sollte für jede Anwendung ein eigenes Passwort verwendet werden, dieses sollte regelmäßig geändert werden. Hinzukommt, dass das Computerpasswort nicht im Internet verwendet werden sollte. Andernfalls ist das Ausspähen des Passwortes einfacher und der Schutz des Computers sowie der darauf befindlichen Daten kann schlechter gewährleistet werden. Alle Passwörter sollten regelmäßig geändert werden. Im Internet ist ohnehin Vorsicht geboten, unseriöse Seiten können einen Virenbefall verursachen und Hackern den Zugriff auf den Computer ermöglichen.
Mitarbeiter sollten auch im Umgang mit Spam sowie verdächtigen und gefährlichen E-Mails geschult werden. Häufig werden in Form von Links oder Anhängen Viren verschickt, welche dann auf den Computer geladen werden. Dementsprechend sollten Mitarbeiten auf suspekte E-Mails achten und keine Links oder Anhänge in diesen öffnen. Sollte es dennoch passieren, dass ein Virus heruntergeladen wird, sollten Mitarbeiter über das Vorgehen belehrt werden. Zum Beispiel: Computer aus Netzwerk nehmen und umgehend die IT informieren.
Werden vertrauliche Dokumente ausgedruckt, ist darauf zu achten diese nicht versehentlich im Drucker oder beim Kopieren im Scanner liegen zu lassen. Auch sollten Fehlkopien nie einfach im Papierkorb entsorgt werden, sondern immer mittels Aktenvernichter vernichtet werden.
Zu beachten sind aber auch mobile Geräte und Datenträger, welche am Speicherplatz verwendet werden und ebenfalls ein Risiko darstellen. Diese gehen häufiger verloren als Computer am Arbeitsplatz, enthalten aber oft die gleichen Daten.
Der Informationssicherheitsbeauftragte
Ein Informationssicherheitsbeauftragter (kurz ISB oder auch als “CISO” Chief Information Security Officer oder “ISM” Informationssicherheitsmanager bezeichnet) unterstützt Unternehmen bei der Umsetzung und Einhaltung der Informationssicherheit. Damit stellt er gleichzeitig eine Entlastung für das Unternehmen dar. Bei Fragen zu IT-Sicherheit und dem Schutz jeglicher Daten ist er der zentrale Ansprechpartner der Unternehmensleitung. Dennoch bleibt die Verantwortung für die Informationssicherheit bei der Unternehmensleitung.
Was macht ein Informationssicherheitsbeauftragter?
Informationssicherheitsbeauftragte gewährleisten den Erhalt des angestrebten Niveaus der Informationssicherheit. Dabei ist der Aufgabenbereich eines ISB sehr umfangreich. Darunter fallen:
- Mitarbeiterschulungen (vor Ort oder Online),
- Beratung der Geschäftsführung,
- Ansprechpartner bei Problemen und Fragen,
- Ausarbeitung von Sicherheitskonzepten,
- Überprüfung der Datensicherung und Firewalls,
- Interne Audits und Auditbegleitung,
- Dokumentation der Informationssicherheits-Maßnahmen,
- Entwicklung von Sicherheitszielen
Wer darf Informationssicherheitsbeauftragter sein?
Grundsätzlich besteht für Unternehmen keine Pflicht einen Informationssicherheitsbeauftragten zu beschäftigten (ausgenommen KRITIS-Unternehmen). Entscheiden Sie sich für die Arbeit mit einem Informationssicherheitsbeauftragten, bieten sich Ihnen zwei Möglichkeiten. So kann ein Spezialist mit entsprechender Fachkenntnis und Erfahrung als externer Informationssicherheitsbeauftragter Ihr Unternehmen betreuen. Aber auch eine interne Lösung ist möglich, indem Ihr Unternehmen einen bestehenden Mitarbeiter zum Informationssicherheitsbeauftragten ausbilden lässt.
Fällt Ihre Wahl auf einen internen Sicherheitsbeauftragten, ist darauf zu achten, dass kein Interessenskonflikt entstehen darf. Deswegen können weder Mitarbeiter der Geschäftsführung noch Mitarbeiter der Leitung der IT-Abteilung als Informationssicherheitsbeauftragte fungieren.
Wie wird man Informationssicherheitsbeauftragter?
Zum Informationssicherheitsbeauftragten qualifizieren sich jene Personen, welche über Fachwissen und Berufserfahrung im Bereich Informationssicherheit verfügen. Fachkenntnisse können durch Schulungen oder Weiterbildungen erlangt werden. Eine gesetzliche Regelung zur Ausbildung zum ISB existiert nicht. Wollen Sie einen Mitarbeiter zum ISB aus- oder weiterbilden lassen, können Sie dies mit Schulungen z.B. bei der DEKRA, TÜV oder Industrie- und Handelskammern tun. Die Inhalte der Schulungen richten sich nach der international anerkannten ISO 27001 sowie dem IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik. Die Kosten für eine Schulung zum ISB variieren abhängig von Anbieter sowie dem Abschluss/ Zertifikat und belaufen sich zwischen 2500 und 3500€ Netto pro Schulungsteilnehmer.
Bestellen Sie die Experten von Robin Data als externen ISB
Bestellen Sie unsere externen Informationssicherheitsbeauftragten: Schwachstellen-Audit, Festlegung und Umsetzung Maßnahmenplan, Ermittlung Schutzbedarf. Senken Sie Ihre Haftungsrisiken!
Was ist ein Informationssicherheit-Managementsystem (ISMS)?
Eine Informationssicherheit-Managementsystem bzw. “ISMS” (engl. „Information Security Management System“) definiert Regeln und Methoden zur Gewährleistung, Überprüfung und Verbesserung der Informationssicherheit. Informationssicherheitsbeauftragte steuern über das ISMS technische und organisatorische IT-Sicherheitsmaßnahmen und überwachen darüber regelmäßig die Umsetzung der geplanten Maßnahmen gemäß der Anforderungen der ISO 27001. Da das Datenschutz-Management-System keine Sonderform des Informationssicherheit-Managementsystems ist, lässt sich dieses auch nicht durch ein ISMS ersetzen, vielmehr ergänzen sich diese beiden Systeme und werden oftmals durch Software-as-a-Service (kurz “SaaS”) Lösungen technisch umgesetzt.
Robin Data ComplianceOS® Feld Informationssicherheit
Mit Robin Data ComplianceOS® setzen Sie die Anforderungen Ihres Unternehmens in puncto Informationssicherheit flexibel um. Importieren Sie Programme, wie die ISO 27001, BSI Grundschutz und weitere Programme, und setzen Sie deren Anforderungen schrittweise und angeleitet um. Von der Umsetzung bis zur Dokumentation gibt Ihnen Robin Data immer das passende Werkzeug an die Hand. So sparen Sie wertvolle Zeit und binden alle Beteiligten unkompliziert in die Umsetzung des Informationssicherheit-Management-Systems ein.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023