Was bedeutet Informationssicherheit?
Informationssicherheit bezeichnet allgemein gesagt den Schutz von Informationen vor Gefahren oder Manipulation und daraus resultierenden schweren wirtschaftlichen Schäden. In erster Linie soll also der unbefugte Zugriff auf Daten oder deren unbefugte Entschlüsselung durch Dritte verhindert werden.
Zu den Zielen der Informationssicherheit gehört also die Sicherstellung der
Vertraulichkeit von Informationen
(nur autorisierte User dürfen Zugriff auf die für sie bestimmten Informationen haben, um sie zu lesen, zu verarbeiten oder zu bearbeiten)Integrität von Informationen
(unbemerkte Veränderungen durch Unbefugte sind nicht möglich/werden verhindert)Verfügbarkeit von Informationen
(Zugriff auf Informationen in zugesicherter Art und Weise, Ausfälle von Systemen werden verhindert)
Unterschied zwischen IT-Sicherheit und Informationssicherheit
Im Mittelpunkt der Informationssicherheit stehen vor allem die digitalen Daten auf Computern, Servern oder mobilen Endgeräten. Daher werden Informationssicherheit und IT-Sicherheit oft gleichgesetzt. Allerdings können Informationen in unterschiedlichen Formen auf verschiedenen Systemen gespeichert sein und sind demnach nicht auf digitale Daten beschränkt:
IT-Sicherheit bezieht sich auf einen Teilbereich der Informationssicherheit und soll den „Schutz eines soziotechnischen Systems“ (externer Link) sichern, in welches der Mensch und bestimmte Technologien eingebunden sind.
Informationssicherheit ist allerdings weitreichender als die IT-Sicherheit, da sie sich nicht nur auf die digitale Form von Informationen konzentriert. Stattdessen werden auch nicht-technische Systeme erfasst. Dazu gehören beispielsweise das Papierarchiv, Betriebsgelände oder die sensiblen Unternehmensdaten, die geschützt werden müssen.
Wie sieht die Wechselwirkung von Informationssicherheit und Datenschutz aus?
Um die Informationssicherheit im Unternehmen zu gewährleisten, müssen entsprechende Maßnahmen im Bereich der IT-Sicherheit sowie der Sicherheit von nicht elektronisch verarbeiteten Informationen ergriffen werden. Hier gibt es naturgemäß oftmals Überschneidungen mit denjenigen Maßnahmen, die dem Datenschutz dienen.
Allerdings gibt es auch Bereiche, in denen die Informationssicherheit und der Datenschutz eher in einem Spannungsfeld stehen, beispielsweise wenn es darum geht, dass im Sinne der Informationssicherheit die Verfügbarkeit von Informationen gewährleistet werden muss. Hierfür greifen viele Unternehmen auf Cloud-Lösungen zurück – diese jedoch können, je nach Anbieter, den Prinzipien des Datenschutzes widersprechen bzw. weitere Maßnahmen erfordern, um beide Ziele miteinander zu vereinen.
Maßnahmen für die Gewährleistung von Informationssicherheit
Um Informationssicherheit gewährleisten zu können, ist ein Sicherheitskonzept vonnöten. Auch die Datenschutzgrundverordnung (DSGVO) sieht in Art. 32technische und organisatorische Maßnahmen (TOM) vor, um sensible Daten und Informationen zu schützen. Dieses Konzept lässt sich auf das Prinzip der Informationssicherheit übertragen. Zu den technischen Maßnahmen gehören:
die räumliche Sicherung von Daten und IT-Komponenten
Verschlüsselungen wie die Public-Key-Verschlüsselung
Softwareaktualisierungen
Virensoftware
Firewalls
Backups
Authentifizierungsmethoden
Zu den organisatorischen Maßnahmen gehören Mitarbeiterschulungen und Richtlinien für den Umgang mit sensiblen Daten (zum Beispiel für Passwörter). Um die Informationssicherheit sicherstellen zu können, ist es wichtig, sowohl Mitarbeiter als auch private Nutzer im Hinblick auf den Umgang mit vertraulichen Informationen zu sensibilisieren. Nur so kann schließlich auch im Unternehmen gewährleistet werden, dass Geschäftsgeheimnisse nicht nach außen gelangen.
Artikel veröffentlicht am: 18. März 2019