Data Protection Academy » Data Protection Wiki » Information Security

Ein Maus-Cursor bewegt sich über das Wort "Security". Was ist Informationssicherheit?

Information security: definition, objectives, protection goals and implementation

Mit zunehmendem Einsatz von IT-Systemen steigt das Risiko, von Cyberattacken oder dem Zugriff Unbefugter auf Informationen und Daten von Unternehmen. Die Informationssicherheit soll diese Daten schützen und deren Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten.

Der Themenbereich Informationssicherheit ist eng verknüpft mit der IT-Sicherheit, Datensicherheit und dem Datenschutz und wird in den meisten Unternehmen durch einen Informationssicherheitsbeauftragen operativ umgesetzt. Dieser orientiert sich bei der Umsetzung an Leitlinien wie dem IT Grundschutz und Normen wie der ISMS-Zertifizierung nach ISO 27001. Die Anforderungen der Leitlinien und Normen werden durch den Informationssicherheitsbeauftragten in ein Informationssicherheit-Managementsystem integriert und fortlaufend kontrolliert und optimiert. Für diese Aufgabe bestimmen Unternehmen einen internen ISB oder bestellen einen externen Informationssicherheitsbeauftragen.

Im folgenden Beitrag erfahren Sie, was genau Informationssicherheit ist, welche Schutzziele es gibt und wie diese im Unternehmen integriert werden können.

Wichtigste Informationen über Informationssicherheit

  • Information security means the protection of information and data
  • Dieser Schutz wird durch technische und organisatorische Maßnahmen im Rahmen der sogenannten Schutzziele gewährleistet.
  • Die wichtigsten Schutzziele sind Verfügbarkeit, Integrität und Vertraulichkeit.
  • Die wichtigsten Anforderungen an die Informationssicherheit sind im „IT-Grundschutz“ vom Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert. Dabei handelt es sich nicht um gesetzliche Anforderungen. Dadurch haben Unternehmen eine gewisse Freiheit bei der Umsetzung von Informationssicherheitskonzepten.
  • Der Informationssicherheitsbeauftragte (ISB) unterstützt Unternehmen bei der Umsetzung Informationssicherheit
  • Maßnahmen zur Informationssicherheit werden über ein Informationssicherheit-Managementsystems (ISMS) gesteuert

Content on the topic of information security:

Whitepaper Leitfaden für das Management des Compliance-Felds Informationssicherheit

Whitepaper Information Security Management System

Im Leitfaden für das Management des Compliance-Felds Informationssicherheit finden Sie:

  • Get information on the Compliance management and to the Information Security
  • Lernen Sie wer für the information security of your company is responsible.
  • Learn which Norms and standards  für die Informationssicherheit relevant sind
  • Including schrittweise Erklärung the implementation of an information security management system

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Information security definition

Informationssicherheit bezieht sich auf den Schutz von Informationen vor unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung. Sie umfasst Maßnahmen, Richtlinien und Technologien, die dazu dienen, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Das Hauptziel der Informationssicherheit ist es, sicherzustellen, dass Informationen vor Bedrohungen wie Hacking, Datenverlust, Diebstahl oder Missbrauch geschützt sind. Dies beinhaltet auch die Sicherstellung der rechtmäßigen Verwendung von Informationen und die Gewährleistung, dass sie in Übereinstimmung mit geltenden Gesetzen und Vorschriften behandelt werden. Informationssicherheit ist in der heutigen vernetzten Welt von großer Bedeutung, da die Abhängigkeit von digitalen Informationen und Systemen ständig zunimmt.

What is information security?

Information security is den Schutz von Informationen und Daten. Dabei erfolgt ein Schutz vor Gefahren wie der Entschlüsselung von Daten, dem Zugriff oder Änderungen von diesen durch unbefugte Dritte, sowie ein allgemeiner Schutz bei der Übertragung und Speicherung von Daten von einem Ort zum anderen. Um diese information security objectives zu gewährleisten, müssen Unternehmen die Schutzziele der Informationssicherheit umsetzen. Diese Umsetzung erfolgt über die Implementierung geeignete Maßnahmen, die durch einen Informationssicherheitsbeauftragten erfolgt und zum Beispiel in den ISO/IEC-27000-Normreihen integriert sind. Die Leitlinie für die Informationssicherheit, der sogenannte „IT-Grundschutz“ wird vom Bundesamts für Sicherheit in der Informationstechnik (BSI) herausgegeben. Für die Informationssicherheit verantwortliche, wie der Informationssicherheitsbeauftragte etablieren und managen Maßnahmen zur Informationssicherheit über ein Information Security Management System (ISMS).

What does information security cover?

Der Begriff „Information Security“ umfasst alle technischen und organisatorischen Maßnahmen, welche die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten.

Informationssicherheit Beispiele technische Maßnahmen

  • Räumliche Sicherung von Daten und IT-Komponenten
  • Verschlüsslungen
  • Software updates
  • Virus software
  • Firewalls
  • Backups
  • Authentication methods

Informationssicherheit Beispiele organisatorische Maßnahmen

  • Staff training
  • Richtlinien um Umgang mit Sensiblen Daten (z.B. Passwörter)

Hinzukommen Personal-Maßnahmen, welche sich mit der Sensibilisierung der Benutzer im Bezug auf die Informationssicherheit beschäftigt, sowie lokale Maßnahmen welche physische Maßnahmen beinhaltet. Das meint eine Kontrolle zum Zugang zu Bürostandorten und insbesondere zu Datenzentren.

What is the difference between IT security, information security and data security?

The difference between IT security and information security darin, dass die IT-Sicherheit nur ein Teilaspekt der Informationssicherheit ist. Während sich die IT-Sicherheit damit befasst vor allem IT-Systeme in einem Unternehmen vor Schäden und Bedrohungen zu schützen, bezieht die Informationssicherheit alle technischen und nicht-technischen Informationen eines Unternehmens mit ein. Neben den Daten der IT-Systeme fallen dementsprechend auch Papierarchive oder das Betriebsgelände in den Schutz der Informationssicherheit.

Auch die Datensicherheit ist der Informationssicherheit untergeordnet, da die Informationssicherheit durchaus umfangreicher ist. Die Datensicherheit und Informationssicherheit haben allerdings beide zum Ziel Sicherheitsrisiken zu minimieren und Maßnahmen zum Schutz von Daten zu etablieren.

Difference between data protection and information security

The essential difference between Data protection and information security liegt darin, dass der Datenschutz das Recht auf informationelle Selbstbestimmung und den Schutz von personenbezogenen Daten fokussiert, wohingegen die Informationssicherheit auf die Sicherung von Daten in Systemen abzielt. Der Datenschutz schützt also Daten von Bürgern und die Informationssicherheit die Daten von Unternehmen. Da aber auch in Unternehmen personenbezogene Daten verarbeitet werden, kommt es oftmals zur Überschneidung zwischen Datenschutz und Informationssicherheit.

Ein weiterer wesentlicher Unterschied ist aber, dass die Umsetzung des Datenschutz gesetzlich über die Datenschutzgrundverordnung (DSGVO) geregelt ist. Für die Umsetzung der Informationssicherheit gibt es zwar die Leitlinie für die Informationssicherheit des BSI, es handelt sich dabei allerdings nicht um eine gesetzliche Grundlage. Dadurch können Unternehmen unterschiedliche Konzepte einführen.

Protection goals Information security

Die wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Daten gelten als vertraulich, wenn nur autorisierte, befugte Personen Zugriff auf diese Informationen haben. Dabei muss eine Identifikation aller Personen möglich sein, welche auf die Daten zugreifen. Zu erreichen ist dieses Schutzziel beispielsweise durch eine 2-fach Authentifizierung, durch Passwörter oder Verschlüsslungen. Die Integrität von Daten beschreibt, dass Daten in ihrem korrekten sowie vollständigen Zustand erhalten werden und diese vor beabsichtigter/ versehentlicher Veränderungen geschützt werden. Dies schließt ein, dass Unbefugte, wie Hacker keinen Zugriff und somit keine Möglichkeit zur Änderung haben. Verfügbarkeit von Information meint die Gewährleistung des Zugriffs auf die Informationen in zugesicherter Art und Weise für Nutzer mit entsprechender Berechtigung. Nachfolgend sind die definition of the protection goals of information security according to the IT basic protection of the BSI aufgeführt.

Definition of the protection goals of information security according to the BSI:

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z.B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. Bei authentischen Informationen ist sichergestellt, dass sie von der angegebenen Quelle erstellt wurden. Der Begriff wird nicht nur verwendet, wenn die Identität von Personen geprüft wird, sondern auch bei IT-Komponenten oder Anwendungen.

Bei der Nichtabstreitbarkeit liegt der Schwerpunkt auf der Nachweisbarkeit gegenüber Dritten. Ziel ist es zu gewährleisten, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden kann. Es wird unterschieden zwischen

  • Nichtabstreitbarkeit der Herkunft: Es soll einem Absender einer Nachricht unmöglich sein, das Absenden einer bestimmten Nachricht nachträglich zu bestreiten.
  • Nichtabstreitbarkeit des Erhalts: Es soll einem Empfänger einer Nachricht unmöglich sein, den Erhalt einer gesendeten Nachricht nachträglich zu bestreiten

Unter Verbindlichkeit werden die Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann

Das Schutzziel der Zuverlässigkeit bezieht sich auf die technische Funktionsfähigkeit von IT-Systemen und Komponenten und kann daher in Szenarien hoher Abhängigkeit von IT-Systemen zusätzlich zum Schutzziel der Verfügbarkeit betrachtet werden.

The implementation of an information security concept

Ein Informationssicherheitskonzept (kurz ISK) ist die systematische Umsetzung der Ziele der Informationssicherheit, durch technische als auch organisatorische Maßnahmen. Das Informationssicherheitskonzept stellt den langfristigen Schutz von Informationen, auch bei sich ändernden technischen, organisatorischen, personellen oder rechtlichen Anforderungen sicher. Wie auch das Datenschutz-Management-System, wird das Informationssicherheitskonzept kontinuierlich überprüft und optimiert. Dies geschieht anhand des Plan-Do-Check-Act-Zyklus / PDCA-Zyklus in den folgenden vier sich wiederholenden Schritten:

  • Schwachstellen über eine stocktaking identify
  • Rating der identifizierten Schwachstellen, durch die Beschreibung der Risiken und Erstellung von Lösungsvorschlägen
  • Planning and implementation der Maßnahmen
  • Überprüfung der Wirksamkeit der Maßnahmen sowie Reaktion auf Veränderungen

Content of the information security concept

Diese Schritte des Informationssicherheitskonzeptes enthalten folgende Vorgehensweisen und Maßnahmen:

  • Identification of new and existing risks
  • Planung von Maßnahmen zur Beseitigung oder Minimierung von Risiken
  • Continuous development of the safety culture in the organisation
  • Etablierung von Verantwortlichen zum Betrieb und Umsetzung des Informationssicherheitskonzeptes (z. B. Informationssicherheitsbeauftragter)
  • Entwicklung von Richtlinien zur Umsetzung des ISK und Einführung in die Organisation
  • Organisation regelmäßiger Sensibilisierung der Mitarbeiter für Informationssicherheit

Information Security Policy: Content and Structure

The Information Security Policy ist Teil des Informationssicherheitskonzeptes und beschreibt alle technischen und nicht-technischen Systeme, die bei der Datenverarbeitung Verwendung finden sowie die damit einhergehenden Sicherheitsanforderungen.  Diese Richtlinie wird von der Unternehmensleitung entworfen und enthält einzuhaltende Maßnahmen und Vorschriften, welche sowohl von allen Mitarbeitern des Unternehmens als auch von der Unternehmensleitung eingehalten werden muss.

Das Bundesamt für Informationstechnik empfiehlt als Leitlinie zur Informationssicherheit folgenden Structure of the Information Security Policy:

  1. Context
    • Introduction
    • Scope and application
    • Contact
    • Responsibilities
  2. Importance of information technology and information security
  3. Company goals
  4. Organisation des Managementsystems für Informationssicherheit
    • Geschäftsführung
    • IT management
    • Information security officer
    • Data protection officer
    • ISMS-Team
    • Employees
    • Other responsibilities
  5. Consequences of infringements
  6. Weitere Maßnahmen
  7. Entry into force

Beispielen für die Umsetzung am Arbeitsplatz

Die besten technischen Vorkehrungen zum Schutz von Daten nützen wenig, wenn Mitarbeiter nicht ausreichend geschult sind. Mitarbeiter sollten, vor allem dann, wenn sie Zugriff auf zu schützende Daten haben, ihren Arbeitsplatz bei jedem Verlassen sperren. Anderenfalls können Dritte einfach auf die Daten zugreifen.

But also the password security spielt eine entscheidende Rolle zur Gewährleistung der Informationssicherheit am Arbeitsplatz. Passwörter sollten nie offen am Arbeitsplatz einsehbar sein, wie Beispielsweise auf einem Notizzettel. Auch typische Verstecke für Passwörter, wie unter der Tastatur, sollten vermieden werden.  Zudem sollten sichere Passwörter verwendet werden. Diese zeichnen sich durch eine ausreichende Länge von mind. 8 Zeichen unter Verwendung alphanumerischer Zeichen (Groß- und Kleinschreibung, Zahlen, Sonderzeichen) aus. Dabei sollte für jede Anwendung ein eigenes Passwort verwendet werden, dieses sollte regelmäßig geändert werden. Hinzukommt, dass das Computerpasswort nicht im Internet verwendet werden sollte. Andernfalls ist das Ausspähen des Passwortes einfacher und der Schutz des Computers sowie der darauf befindlichen Daten kann schlechter gewährleistet werden. Alle Passwörter sollten regelmäßig geändert werden. Im Internet ist ohnehin Vorsicht geboten, unseriöse Seiten können einen Virenbefall verursachen und Hackern den Zugriff auf den Computer ermöglichen.

Employees should also be trained in dealing with spam sowie verdächtigen und gefährlichen E-Mails geschult werden. Häufig werden in Form von Links oder Anhängen Viren verschickt, welche dann auf den Computer geladen werden. Dementsprechend sollten Mitarbeiten auf suspekte E-Mails achten und keine Links oder Anhänge in diesen öffnen. Sollte es dennoch passieren, dass ein Virus heruntergeladen wird, sollten Mitarbeiter über das Vorgehen belehrt werden. Zum Beispiel: Computer aus Netzwerk nehmen und umgehend die IT informieren.

If confidential documents are printed out, care must be taken not to print them out inadvertently in the printer or copying in the scanner. Missing copies should also never simply be disposed of in the wastepaper basket, but should always be destroyed using a document shredder.

However, the following must also be taken into account mobile Geräte und Datenträger, welche am Speicherplatz verwendet werden und ebenfalls ein Risiko darstellen. Diese gehen häufiger verloren als Computer am Arbeitsplatz, enthalten aber oft die gleichen Daten.

The Information Security Officer

Ein Informationssicherheitsbeauftragter (kurz ISB oder auch als „CISO“ Chief Information Security Officer oder „ISM“ Informationssicherheitsmanager bezeichnet) unterstützt Unternehmen bei der Umsetzung und Einhaltung der Informationssicherheit. Damit stellt er gleichzeitig eine Entlastung für das Unternehmen dar. Bei Fragen zu IT-Sicherheit und dem Schutz jeglicher Daten ist er der zentrale Ansprechpartner der Unternehmensleitung. Dennoch bleibt die Verantwortung  für die Informationssicherheit bei der Unternehmensleitung.

What does an information security officer do?

Informationssicherheitsbeauftragte gewährleisten den Erhalt des angestrebten Niveaus der Informationssicherheit. Dabei ist der Aufgabenbereich eines ISB sehr umfangreich. Darunter fallen:

  • Employee training (on-site or online),
  • Beratung der Geschäftsführung,
  • Contact person for problems and questions,
  • Elaboration of safety concepts,
  • Überprüfung der Datensicherung und Firewalls,
  • Internal audits and audit support,
  • Dokumentation der Informationssicherheits-Maßnahmen,
  • Development of safety targets

Who may be an information security officer?

Grundsätzlich besteht für Unternehmen keine Pflicht einen Informationssicherheitsbeauftragten zu beschäftigten (ausgenommen KRITIS-Unternehmen). Entscheiden Sie sich für die Arbeit mit einem Informationssicherheitsbeauftragten, bieten sich Ihnen zwei Möglichkeiten. So kann ein Spezialist mit entsprechender Fachkenntnis und Erfahrung als external information security officer Ihr Unternehmen betreuen. Aber auch eine interne Lösung ist möglich, indem Ihr Unternehmen einen bestehenden Mitarbeiter zum Informationssicherheitsbeauftragten ausbilden lässt.

Fällt Ihre Wahl auf einen internen Sicherheitsbeauftragten, ist darauf zu achten, dass kein Interessenskonflikt entstehen darf. Deswegen können weder Mitarbeiter der Geschäftsführung noch Mitarbeiter der Leitung der IT-Abteilung als Informationssicherheitsbeauftragte fungieren.

How to become an information security officer?

Zum Informationssicherheitsbeauftragten qualifizieren sich jene Personen, welche über Fachwissen und Berufserfahrung im Bereich Informationssicherheit verfügen. Fachkenntnisse können durch Schulungen oder Weiterbildungen erlangt werden. Eine gesetzliche Regelung zur Ausbildung zum ISB existiert nicht. Wollen Sie einen Mitarbeiter zum ISB aus- oder weiterbilden lassen, können Sie dies mit Schulungen z.B. bei der DEKRA, TÜV oder Industrie- und Handelskammern tun. Die Inhalte der Schulungen richten sich nach der international anerkannten ISO 27001 sowie dem IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik. Die Kosten für eine Schulung zum ISB variieren abhängig von Anbieter sowie dem Abschluss/ Zertifikat und belaufen sich zwischen 2500 und 3500€ Netto pro Schulungsteilnehmer.

Appoint the experts from Robin Data as your external ISB

Bestellen Sie unsere externen Informationssicherheitsbeauftragten: Schwachstellen-Audit, Festlegung und Umsetzung Maßnahmenplan, Ermittlung Schutzbedarf. Senken Sie Ihre Haftungsrisiken!

Learn more

What is an Information Security Management System (ISMS)?

Eine Informationssicherheit-Managementsystem bzw. „ISMS“ (engl. „Information Security Management System“) definiert Regeln und Methoden zur Gewährleistung, Überprüfung und Verbesserung der Informationssicherheit. Informationssicherheitsbeauftragte steuern über das ISMS technische und organisatorische IT-Sicherheitsmaßnahmen und überwachen darüber regelmäßig die Umsetzung der geplanten Maßnahmen gemäß der  Anforderungen der ISO 27001. Da das Datenschutz-Management-System keine Sonderform des Informationssicherheit-Managementsystems ist, lässt sich dieses auch nicht durch ein ISMS ersetzen, vielmehr ergänzen sich diese beiden Systeme und werden oftmals durch Software-as-a-Service (kurz „SaaS“) Lösungen technisch umgesetzt.

Robin Data ComplianceOS® Feld Informationssicherheit

Mit Robin Data ComplianceOS® setzen Sie die Anforderungen Ihres Unternehmens in puncto Informationssicherheit flexibel um. Importieren Sie Programme, wie die ISO 27001, BSI Grundschutz und weitere Programme, und setzen Sie deren Anforderungen schrittweise und angeleitet um. Von der Umsetzung bis zur Dokumentation gibt Ihnen Robin Data immer das passende Werkzeug an die Hand. So sparen Sie wertvolle Zeit und binden alle Beteiligten unkompliziert in die Umsetzung des Informationssicherheit-Management-Systems ein.

Learn more
Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

IT security incident

TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten

TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.
Read more
IT security incident

What to do in the event of an IT security incident?

Das Wichtigste zum IT-Sicherheitsvorfall. Erfahren Sie im Beitrag praktische Tipps zur Erkennung und Behandlung von IT-Notfällen.
Read more

ISMS: definition, implementation, standards

All information on the information security management system: delimitation of DPMS, notes on implementation, norms and standards
Read more