Informationssicherheit

Informationssicherheit für Unternehmen

 

  1. Informationssicherheit für Unternehmen
    1. IT-Sicherheit, Maßnahmen zum Schutz der Daten und Informationen
    2. Was ist Informationssicherheit? Maßnahmen und best practices
    3. Ziele der Informationssicherheit und Abschirmung der IT-Anlagen gegen Gefährdungen
    4. Die Informationssicherheit stellt Schutzziele sicher
      1. Ziele der Informationssicherheit: Compliance und Obhut der Daten im Unternehmen
      2. Korrektheit der Informationen mit Informationssicherheitsmaßnahmen
      3. Anforderungen an die Informationssicherheit: Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK
    5. Schutzmaßnahmen zum Thema Informationssicherheit
      1. Informationssicherheitsstandards: Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung
      2. Schutz, Informationssicherheit und Maßnahmen für Kritische Infrastrukturen (KRITIS)
      3. Themen der Informationssicherheit im Unternehmen sind Mitarbeitersensibilisierung und Awareness
    6. Sind Informations- und Kommunikationstechnik sowie Informationen mit IT-Security ausreichend geschützt?
      1. ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 
      2. Service zur Security im Unternehmen, Backup, IT-Grundschutz
      3. Informationssicherheitsgefährdungen und Informationssicherheitsmaßnahmen
      4. Spezielle Informationssicherheitslösungen
      5. Anregungen zur Informationssicherheit, Datenschutz und Sicherheit der Daten im Unternehmen
    7. Sicherheitskonzept: Aktive Security für Ihre Informationstechnik

 

IT-Sicherheit, Maßnahmen zum Schutz der Daten und Informationen

Ist Ihr Unternehmen ausreichend geschützt? Informationssicherheit zielt mit organisatorischen und technischen Sicherheitsmaßnahmen darauf ab, die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie Verbindlichkeit, Vertrauen und Authentizität von Informationen (Dokumente) zu schützen. Dies dient dem Datenschutz und sichert IT-Technik und Informationen gegen Gefährdungen wie unbefugtem Zugriff oder Manipulation und vermeidet Verluste im Unternehmensumfeld. Daten sind ein wertvolles Gut. Der kommerzielle Wert von Informationen war noch nie so hoch wie heutzutage. Der Verlust von Geschäftsgeheimnissen oder Rechten an geistigem Eigentum wirkt sich auf zukünftige Innovationen und die Rentabilität aus. Informationssicherheit sinnvoll gestalten: Sie ist genauso wie Datensicherheit die Praxis, digitale Informationen und deren Informationssysteme während ihres gesamten Lebenszyklus vor unerlaubtem Zugreifen, Beschädigung, Korruption oder Diebstahl abzusichern. Dieses Konzept deckt alle Aspekte des IT-Grundschutzes ab, von der physischen IT-Sicherheit von Hardware und Speichergeräten über die Verwaltung und Zugriffskontrolle bis hin zur logischen Informationssicherheit von Software (Anwendungen). Es enthält auch organisatorische Richtlinien und Verfahren. Unabhängig davon, ob es sich bei Ihren Datensammlungen um lokale Dateien, ein Rechenzentrum oder eine öffentliche Cloud handelt, haben Sie sicherzustellen, dass die Einrichtung gegen Eindringlinge geschützt ist und geeignete Schutzmaßnahmen zur Brandbekämpfung und Klimatisierung ergriffen hat (Physische Security). Erfahren Sie auf unserer Website mehr:

 

Was ist Informationssicherheit? Maßnahmen und best practices

Informationssicherheit dient insbesondere in Behörden und Unternehmen als Schutzschild gegen Gefahren, Bedrohungen, Risiken und der Vermeidung von wirtschaftlichen Verlusten. Informationsverarbeitende Systeme haben gemäß ISO 27001 die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Die unberechtigte Nutzung von Ressourcen ist zu erschweren und möglichst zu erkennen. Bei korrekter Implementierung schützt eine robuste Informationssicherheitsstrategie nicht nur die Informationsressourcen des Unternehmens vor Cyberkriminalität, sondern schließt auch Insider-Bedrohungen und menschliches Versagen aus. Die IT-Sicherheit umfasst die Bereitstellung von Tools und Techniken, mit denen Unternehmen besser verstehen, wo sich kritische Inhalte befinden und wie sie verwendet werden. Zur IT-Sicherheit gehören die personelle und physische Sicherheit. Sie umfasst den gesamten Bereich der Informationsverarbeitung, inklusive Speicherung und Übertragung von Informationen und Programmen. Informationen beschränken sich keinesfalls auf die elektronische Form und existieren auf Festplatten, USB-Sticks, DVD und auf Papier. Datenträger, Computersysteme und Netzwerke sind die wichtigsten Werkzeuge zum Speichern, Verarbeiten und Übertragen von Informationssammlungen. Sie stellen jedoch nur die Tools dar, sodass Begriffe wie IT-, Computer-, Netzwerk- und Cyber Security nur die verschiedenen Bereiche beschreiben. Informationssicherheit ist der umfassende und korrekte Begriff.

Informationssicherheit

Informationssicherheit für die Verfügbarkeit der Services

 

Informationen sind Risiken ausgesetzt. Die Gefahren gefährden die Existenz von Betrieben. Informationssammlungen sind wesentliche Werte für Unternehmen, unabhängig von Branche oder Größe. Die Security von IT-Systemen und -Daten ist eine Herausforderung für alle Organisationen. Investitionen in Informationssicherheit und IT-Grundschutz lohnen sich und mit dem nötigen Wissen ist ein angemessenes Sicherheitsniveau erreicht. Im Notfall ist dies ein entscheidender Wettbewerbsvorteil.

 

Ziele der Informationssicherheit und Abschirmung der IT-Anlagen gegen Gefährdungen

Informationssicherheit beschreibt die Attribute informationstechnischer Systeme (IT-Anlagen) oder elektronischer Datenverarbeitung (elektronische datenverarbeitende Systeme, EDV), um die Schutz-Ziele sicherzustellen. Informationssicherheit soll Bedrohungen verhindern, wirtschaftliche Verluste vermeiden und Gefahren minimieren. Die drei Grundprinzipien zur Erhöhung der Erreichbarkeit und Zuverlässigkeit sind Redundanz, Modularität und Skalierbarkeit. Geeignete Mittel zur IT-Sicherheit finden sich beispielsweise in den international gültigen Normen ISO/IEC-27000-Reihe. Der IT-Grundschutz vom Bundesamt für Sicherheit ist in der Informationstechnik (BSI) die Norm für Informationssicherheit. Eine wichtige Komponente ist die Einrichtung des Informationssicherheits-Managementsystems (ISMS), es ist ein wichtiger Bestandteil des umfassenden IT-Sicherheitskonzepts (SiKu). IT-Security ist die Obhut von IT-Systemen gegen Bedrohungen. Primär geht es um die Ausfallsicherheit. Die notwendige Obhut beginnt bei einer einzelnen Datei über die IT-Infrastruktur (Computer, Netzwerke, Cloud-Dienste) bis hin zu Rechenzentren (RZ).

 

Die Informationssicherheit stellt Schutzziele sicher

Stellen Sie Schutzziele von Informationen sicher, sie sind die wichtigsten Punkte. Jedes Schutzziel ist für jede Art von Information individuell wichtig. Beispielsweise spielt die Vertraulichkeit bei Informationen, die ohnehin öffentlich zu lesen sind (Website) keine große Rolle. Für Informationssysteme ist die Zuverlässigkeit von entscheidender Bedeutung, hier gilt: Jede Minute Ausfallzeit heißt einen empfindlichen Arbeitsausfall. Die Vollständigkeit, d.h. die Richtigkeit der Informationen, ist für alle Organisationen, Mitarbeiter und Abteilungen sehr wichtig. Die drei Schutz-Ziele der Informationssicherheit sind

  • Integrität: Ein System hat die Korrektheit der Daten sicherzustellen, Verhinderung vor unberechtigter Veränderung.
  • Verfügbarkeit: Eine Anlage hat zu funktionieren.
  • Vertraulichkeit: Nur berechtigten Personen dürfen Zugang auf bestimmte Informationen haben, unberechtigte Personen haben keinen Zugang.

Weitere (mögliche) Informationssicherheit-Schutz-Ziele sind Rechtsverbindlichkeit, Anonymität, Authentisierung, Nicht-Zurückweisung, Pseudonymität, Abrechenbarkeit, und Unbeobachtbarkeit. Informationssicherheit bewahrt Datensammlungen vor Gefährdungen wie unerlaubtem Zugriff oder Manipulation. Im Unternehmensumfeld werden mit ihr Verluste verhindert. Informationen gibt es in unterschiedlichen Formen und sind auf unterschiedlichen Systemen gespeichert. Informationen sind keineswegs auf digitale Datensammlungen beschränkt. Das Speicher- oder Aufzeichnungssystem ist keineswegs unbedingt eine IT-Komponente. Es ist ein technisches oder ein nichttechnisches System. Ziel ist es, Informationssicherheit-Bedrohungen sowie Verluste zu vermeiden. In der Praxis basiert die Informationssicherheit auf dem Informationssicherheitsmanagement und der international gültigen ISO / IEC 27000-Standardreihe. Der IT-Grundschutz des BSI regelt viele Aspekte sicherer Datenverarbeitung und Informationstechnologie (IT). Informationssicherheitsmanagement bezieht sich auf die Planungs- und Kontrollaufgaben, die zur Einrichtung der Informationssicherheit erforderlich sind, um einen gut durchdachten effektiven Prozess einzurichten und kontinuierlich umzusetzen. Das Sicherheitsmanagement ist in die vorhandene Managementstruktur einzubetten.

 

Ziele der Informationssicherheit: Compliance und Obhut der Daten im Unternehmen

Informationen existieren in unterschiedlicher Form auf verschiedenen Systemen, sie sind keinesfalls auf Daten und auf IT-Komponenten beschränkt. Informationen sind auf IT-Systemen gespeichert, liegen in Papierform vor oder werden mündlich weitergegeben. Informationen sind unterschiedlichen Bedrohungen ausgesetzt. Das Top-Ziel der Informationssicherheit ist die Abschirmung von Informationen und IT-Anlagen, das Beschützen gegen Bedrohungen und wirtschaftlichen Verlusten. Sie orientiert sich am Informationssicherheitsmanagement, an den international gültigen ISO/IEC-27000-Normreihen und am IT-Grundschutz des BSI. Im Mittelpunkt der Informationssicherheitsmaßnahmen stehen Daten, Computersysteme, Netzwerke und Datenträger. Zur Sicherheit von Informationen gehören im IT-Umfeld die Informations- und Datensicherheit, die Netzwerk-, Cyber- oder die Computersecurity. Zur Sicherung der Informationstechnologie (IT) werden Gefährdungen und Informationssicherheits-Schutzmaßnahmen für den sicheren Betrieb (Betriebssicherheit) und zur Schadenverhütung erarbeitet. Sach- und Betriebsunterbrechungsschäden sind zu vermeiden oder ihre Auswirkungen zu begrenzen. Im juristischen Bereich gehört Compliance zu den Top-Themen und bezeichnet die Einhaltung aller gesetzlichen Vorschriften und interner Richtlinien des Unternehmens und seine Mitarbeiter. Die Informationssicherheit hat die Informationen des Unternehmens gemäß den geltenden Vorschriften abzusichern. Daher ist Compliance auch ein wichtiger Bestandteil der IT-Governance, denn die Einhaltung von Normen ist dort das steuernde Element. In diesem Bereich wird der Zustand von Informationen und Systemen zur Erreichung verschiedener Schutzziele beschrieben. Die Verletzung eines Schutzziels weist auf die Art und Weise hin, wie Daten abgefangen, manipuliert oder gesperrt werden. Um Angriffsarten besser beschreiben zu können, werden sie in Kategorien eingeteilt. Schutz-Ziele der Informations- und Datensicherheit, auch CIA-Schutzziele genannt, sind ein wichtiges Thema: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Schutzziele legen das Mindestsicherheitsniveau fest, das unterschiedliche Mittel für eine bestimmte Gefahrenkategorie zu erreichen haben. Sie sind so zu formulieren, dass sie den gewünschten Endzustand der Informationssicherheitsleitlinie und IT-Sicherheit darstellen.

 

Korrektheit der Informationen mit Informationssicherheitsmaßnahmen

Integrität ist eines der Schutzziele der Informationssicherheitsbemühungen und bedeutet, dass Informationen keinesfalls unerkannt oder unbemerkt geändert werden. Datenänderungen müssen nachvollziehbar sein. Das BSI beschreibt Integrität als die Richtigkeit der Daten (Korrektheit, Unversehrtheit) und die korrekte Funktionsweise des Systems. Es geht es um die Berechtigung. „Shared User Accounts“ sind ein Beispiel für eine nicht existierende Integrität von Datenbeständen. Wenn mehrere Personen dieselben Benutzerkonten (Identität) nutzen, um auf Datenbanken zuzugreifen, lässt sich nicht nachvollziehen, welche Person die Änderungen durchgeführt hat. Möglicherweise ist so sämtlichen Informationen nicht mehr zu trauen und IT-Grundschutz nicht mehr gegeben.

  • Korrektheit: Die Integritätsart ist vorhanden, wenn Fakten aus der realen Welt korrekt abgebildet werden. Dies soll beispielsweise mittels Integritätsbedingungen sichergestellt werden.
  • Unmodifizierter Zustand: Die Integritätsart der besteht, wenn die Nachricht unverändert zugestellt ist und das Programm wie erwartet ausgeführt wird.
  • Modifikationserkennung: Die Integritätsart der ist vorhanden, wenn unerwünschte Änderungen festgestellt werden, die unvermeidbar sind.
  • Temporale Korrektheit: Die Integritätsart gilt, wenn Nachrichten ausgetauscht werden und relevante Zeitbedingungen (wie Sequenz oder maximale Verzögerungszeit) eingehalten werden.

Daten dürfen gemäß Informationssicherheitsgesetz nur von Personen verändert oder eingesehen werden, die dazu berechtigt sind. Es ist zum Thema Informationssicherheit festzulegen, wer, wann, wo, in welcher Weise Zugriff auf Informationen hat. Bei der Übertragung von Datensammlungen dürfen diese keinesfalls von unautorisierten Personen verändert oder gelesen werden. Sensible Informationen sind bei der Übertragung zu verschlüsseln. Im E-Mail-Verkehr des Betriebes befinden sich überwiegend Informationen, die vertraulich zu behandeln sind. Der E-Mail-Verkehr hat gemäß IT-Grundschutz verschlüsselt zu erfolgen, zumindest die Anhänge. Die Vertraulichkeit ist ansonsten ungesichert. Räumlichkeiten, in denen vertrauliche Daten verarbeitet, einsehbar oder gelagert werden, sind gemäß Datensicherheit entsprechend zu sichern. Dazu zählen zumindest der Serverraum, Geschäftsführung und die Buchhaltung. In frei zugänglichen Räumen ist die Vertraulichkeit der Informationen gleich Null. Das Bewusstsein der Verbraucher der Rolle des Datenschutzes nimmt zu. Als Reaktion auf die wachsende öffentliche Nachfrage nach Datenschutzmaßnahmen wurden einige neue Datenschutzbestimmungen erlassen, darunter die Europäische Datenschutzverordnung (DSGVO).

 

Anforderungen an die Informationssicherheit: Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK

Zuverlässigkeit gemäß BSI IT-Grundschutz bedeutet, dass ein EDV-System funktioniert. Das Risiko von Systemausfällen ist zu minimieren. Die Zuverlässigkeit technischer Anlagen der Informationstechnologie wie Server, Storages und Switches ist ein wichtiges Bewertungskriterium. IT-Anlagen haben die Anforderungen der Informationssicherheit verlässlich zu erfüllen. Vorbeugende Wartung ist eine Informationssicherheitsmaßnahme und vermindert das Ausfallrisiko und sichert die langfristige Erreichbarkeit und Stabilität der Server, Datenspeicher, Datenverteiler, Anlagen und Komponenten. IT-Sicherheit-, Zuverlässigkeit- und Informationssicherheits-Kennzahlen sind die maximale Dauer eines einzelnen Ausfalls, (jährliche durchschnittliche Ausfallzeit), Zuverlässigkeit (die Fähigkeit, unter bestimmten Bedingungen innerhalb einer bestimmten Zeit korrekt zu arbeiten), Ausfallsicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit, Reaktionszeit (wie lange das System benötigt, um eine bestimmte Operation auszuführen), Mittlere Reparaturzeit (MTTR, mittlere Wiederherstellungszeit nach einem Ausfall), Mittlere Betriebszeit zwischen zwei Ausfällen (MTBF, die durchschnittliche Arbeitszeit zwischen zwei Fehlern ohne Reparaturzeit), Mittlere Ausfallzeit (MTTF, siehe MTBF, wird jedoch für ersetzte Anlagen / Komponenten verwendet). Die Zuverlässigkeit und der BSI IT-Grundschutz der zentralen IT-Infrastruktur ist möglichst hochzuhalten. Ein vollständiger Überblick der im Unternehmen vorhandenen Anlagen und Informationen hilft bei der Analyse, welche Anlagen und Dateien für reibungslose Arbeitsabläufe im Betrieb unbedingt notwendig sind und somit stets verfügbar sein müssen. Sie sind gegen Ausfälle zu bewahren. Empfehlenswert ist eine Risikoanalyse, die jeweils die Ausfallwahrscheinlichkeit, tolerierbare Ausfallzeit und das Schadenspotenzial des Systems, der Hardware, Software, Dienste, Anwendungen und Datenbanken beschreibt. Daraus ergibt sich eine Prioritätenliste für das angestrebte Informationssicherheitsniveau.

 

Schutzmaßnahmen zum Thema Informationssicherheit

Alle Informationssicherheits-Aufgaben der physischen Schutzmaßnahmen dienen dazu, das EDV-System von der Gefahrenquelle zu isolieren (abzuschotten):

  • mechanische Einwirkung
  • technische Defekte / Mängel (Wassereintritt, Feuer)
  • Schadstoffe (Staub, Aerosol)
  • elektromagnetische Effekte (Blitzeinschläge)
  • gasförmige, korrosive oder ätzende Luftbelastung

In Rechenzentren ist die Isolierung (Abschottung) von Gefährdungen in Bezug auf Informationssicherheit normalerweise mit Informationssicherheitsräumen (Serverräume) erreicht, in den meisten Fällen für Feintechnik (aktive Komponenten, Server), aber auch für Grobtechnik / Infrastruktur (Klimaanlage, Stromverteilung). Es gibt bezüglich IT-Grundschutz des BSI mehrere Gründe der Trennung zwischen Feintechnik und Grobtechnik: Grobtechnische Maschinen oder Anlagen emittieren normalerweise Interferenzstrahlung, was sich auf die Feintechnik auswirkt. Der USV-Akku erzeugt im Brandfall extrem hohe Temperaturen und ätzendes Gas (Kurzschluss des Akkus). Die routinemäßige Wartung grobtechnischer Anlagen erfordert kein Betreten des Serverraums. Neben der Verhinderung des Eindringens von Wasser und Staub ist der Qualität der zirkulierenden Luft große Aufmerksamkeit zu widmen. Hier gilt für Rechenzentren unter anderem die DIN EN ISO 14644-1 Reinraumklasse 8.

 

Informationssicherheitsstandards: Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung

ISO 27701 wurde im August 2019 als „Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” veröffentlicht. ISO 27701 ist eine Erweiterung der Standards ISO 27001 und ISO 27002 und beinhaltet Datenschutzaspekte. Das Informationssicherheits-Managementsystem (ISMS) bleibt das Herzstück der Zertifizierung. DSGVO und ISO 27001 sind wichtige Compliance-Standards. Beide wurden entwickelt, um die Informationssicherheit der IT-Technik und Infrastrukturen zu verbessern und das Risiko von Schwachstellen und Datenlecks zu verringern.

 

Schutz, Informationssicherheit und Maßnahmen für Kritische Infrastrukturen (KRITIS)

Die Kritische Infrastruktur ist laut Definition eine Organisation und Einrichtung, die für die staatliche Gemeinschaft sehr wichtig ist. Das Versagen, der Ausfall oder die Verschlechterung von KRITIS führt zu dauerhaften Lieferengpässen, erheblichen Schäden für die öffentliche Sicherheit oder anderen schwerwiegenden Auswirkungen. Hier ist der Anspruch Informationssicherheitsmaßnahmen besonders hoch und wichtig. Mithilfe einer Risikoanalyse identifizieren und bewerten Sie systematisch Informationssicherheitsgefährdungen und Risiken für Ihre IT-Anlagen, -Anwendungen und -Daten. Sie entdecken Schwachstellen in Prozessen, Methoden, Technologien oder der menschlichen Natur. Untersuchen Sie die Bereiche Ihres Betriebes, die mit ITK zu tun haben und von ihr abhängig sind. Das betrifft u.a. Ihre Geschäftsmodell und -ziele, Werte, IT-Systeme und Wissen.

 

Themen der Informationssicherheit im Unternehmen sind Mitarbeitersensibilisierung und Awareness

Mit Maßnahmen wie Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Bewusstsein (Awareness) für die Wichtigkeit zum Thema guter Sicherheitspraktiken und dem Umgang mit Passwörtern sowie das Erkennen von Social-Engineering-Angriffen werden Mitarbeiter zu "Mitarbeiter-Firewalls", die eine wichtige Rolle beim Absichern der Informationen spielen. Link: Definition, Zertifizierung und Anerkennung mit der BSI Zertifizierung und Anerkennung durch das BSI

 

Sind Informations- und Kommunikationstechnik sowie Informationen mit IT-Security ausreichend geschützt?

Ist Ihr Unternehmen mit Informationssicherheit ausreichend geschützt? Die digitale Transformation verändert alle Bereiche der heutigen Geschäftstätigkeit, des Wettbewerbs und der Informationssicherheit grundlegend. Die enorme Menge an Dateien, die erstellt, verarbeitet und gespeichert werden, wächst weiter und die Nachfrage nach Datenmanagement nimmt zu. Darüber hinaus sind Computerumgebungen komplexer als zuvor und umfassen häufig öffentliche Clouds, Rechenzentren und zahlreiche Edge-Geräte, die von IoT-Sensoren (Internet of Things) bis hin zu Robotern und Remote-Servern reichen.

Informationssicherheitsoptimierung

Die Komplexität der Informationstechnik schafft eine erweiterte Angriffsfläche, die Überwachung und Beschützung erschwert. Um dies festzustellen, bestimmen Sie den Grad des Sicherheitsniveaus in Ihrem Unternehmen. Eine gute Basis ist eine Risikoanalyse. Experten helfen Ihnen dabei. Online-Checks wie die der Initiative „Deutschland sicher im Netz“ sind für einen ersten Überblick hilfreich. Dies gibt Ihnen auch erste Empfehlungen, wie Sie die Informationssicherheit optimieren und sinnvoll gestalten. Weitere Informationen sind dem DsiN-Sicherheitscheck von Deutschland sicher im Netz e.V. zu entnehmen.

 

ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 

Bisher wurden Datensicherheit und Datenschutz mit geringen Überschneidungen getrennt betrachtet. Aufgrund des technologischen Fortschritts und der Digitalisierung von Unternehmensdaten sowie der höheren Anforderungen an Betriebssicherheit sind die beiden Bereiche gemeinsam zu behandeln. Die von der EU festgelegten gesetzlichen Anforderungen (Datenschutz-Grundverordnung, DSGVO) sind ab dem 25. Mai 2018 umzusetzen. Ein Managementsystem für Security hat insbesondere Datenschutzaspekte zu gewährleisten. ISMS ist nun ISDSM. Informationssicherheitsleitlinien, Datensicherheitstools und -technologien sollten die zunehmend schwerwiegenden Herausforderungen bewältigen, die mit der Beschützung der heutigen komplexen, verteilten, hybriden und / oder Multi-Cloud-Computing-Umgebungen verbunden sind. Dazu gehört das Verstehen, wo sich die Daten befinden, das Verfolgen, wer Zugang auf die Daten hat, und die Verhinderung von Aktivitäten mit hohem Risiko und potenziell gefährlichen Dateibewegungen. Umfassende Informationssicherheitsmaßnahmen und Datenschutzlösungen ermöglichen es Unternehmen, einen zentralisierten Ansatz der Überwachung und Durchsetzung von Richtlinien zu verfolgen. Vertrauliche Informationen befinden sich in strukturierten und unstrukturierten Datenspeichern, einschließlich Datenbanken, Data Warehouses, Big Data-Plattformen und Cloud-Umgebungen. Datenidentifizierungs- und Klassifizierungslösungen automatisieren den Prozess der Identifizierung vertraulicher Informationen und am stärksten gefährdeten Datenquellen sowie der Bewertung und Korrektur von Schwachstellen (z. B. veraltete Software, falsche Konfigurationen oder schwache Kennwörter).

Ein Information Security Management System (Informationssicherheitsmanagementsystem (ISMS)) sind Verfahren und Regeln, die innerhalb einer Organisation zur dauerhaften Definition, Kontrolle, Überwachung, Wartung und kontinuierlichen Verbesserung der Security festgelegt wurden. Dieser Begriff ist in der Norm ISO / IEC 27002 definiert und enthält Empfehlungen für verschiedene Kontrollmechanismen. Hier geht es um Informationssicherheitsresilienz gegen Angriffe. ISO / IEC 27001 definiert ISMS. Der deutsche Teil der Normungsarbeiten wird von den IT-Sicherheitsverfahren nach DIN NIA-01-27 überwacht. Datenschutz ist ein Begriff, dessen Definition und Interpretation manchmal unterschiedlich sind. Unter verschiedenen Gesichtspunkten ist unter Datenschutz die Verhinderung einer unsachgemäßen Datenverarbeitung, der Schutz des Rechts auf Selbstbestimmung von Informationen, der Persönlichkeitsrechte bei der Datenverarbeitung und der Privatsphäre verstanden. Aktuelle Informationssicherheitsziele und Datensicherheit stehen oft mit Datenschutz in Verbindung. Das technische Hauptziel der Data Security ist es, alle Arten von Informationen vollständig gegen Verlust, Manipulieren und anderen Gefährdungen abzusichern. Ein angemessenes Informationssicherheitsniveau (Data Security) ist eine Voraussetzung für einen wirksamen Datenschutz.

 

Service zur Security im Unternehmen, Backup, IT-Grundschutz

Backup (Datensicherung) dient als Informationssicherheitsmaßnahme dem Datenschutz und bezeichnet das Kopieren von Dateien mit dem Ziel, sie bei Datenverlust wieder zurückzukopieren. Daher ist die Datensicherung eine grundlegende Maßnahme der Datensicherheit. Informationen, die redundant auf Speichermedien gespeichert sind, werden als Sicherungskopie verwendet. Das Wiederherstellen der Originaldaten aus einer Sicherungskopie ist die Datenwiederherstellung. Die Informationssicherheit spielt eine Schlüsselrolle bei der Sicherheit von ITK-Systemen. Die Aufgabe beinhaltet das Absichern der IKT-Systeme einer Organisation oder des Unternehmens gegen Gefährdungen. Dieser Informationssicherheitsservice dient unter anderem der Vermeidung von wirtschaftlichen Verlusten. Kommunikationssicherheit umfasst den Schutz der Kommunikationsverbindung zwischen zwei oder mehr Partnern. Wenn viele Teilnehmer im Rechnernetz zusammengefasst sind, ist jede Kommunikationsverbindung gegen externe Angriffe und Angriffe anderer Netzwerkteilnehmer zu schützen. Informationsschutz ist der Sammelbegriff für alle Mittel als Schutzschild für Informationen vor Verlust, unerlaubtem Zugang, Manipulation und ungewolltem Abfluss. Die Informationssicherheitsmittel umfassen den gesamten Informationsfluss, nämlich die Erstellung, Verarbeitung, Übermittlung, Archivierung und Vernichtung.

 

Informationssicherheitsgefährdungen und Informationssicherheitsmaßnahmen

Das Internet ist eine globale Kombination von Computernetzwerken und autonomen Systemen. Es ermöglicht die Nutzung von Internetdiensten wie WWW, E-Mail und vieles mehr. Jedes Computersystem ist mit jedem anderen Computersystem zu verbinden und muss in der Informationssicherheit berücksichtigt werden. Der Datenaustausch zwischen über das Internet verbundenen Computern erfolgt über das technisch standardisierte Internetprotokoll. Das Intranet (internes oder lokales Netz) ist ebenfalls ein Computernetzwerk. Im Vergleich zum Internet wird es unabhängig vom öffentlichen Netz verwendet und ist nicht öffentlich zugänglich. Denken Sie auch an Computerkriminalität. Cyberkriminalität bezieht sich auf jede Straftat, bei der ein Computer als Werkzeug oder kriminelles Ziel verwendet wird. Die Verwendung eines Computers ist Voraussetzung. Im Strafgesetzbuch gibt es relevante Paragrafen zur rechtlichen Bewertung individueller Tatmuster, beispielsweise hacken sich Unbefugte in Einrichtungen oder spähen per Phishing oder Trojaner Geheimnisse aus. Der Begriff Ransomware steht für Schadsoftware, die das Zugreifen auf Daten und ITK-Systeme einschränkt oder verhindert. Die Benutzung des Internets, Netzwerken, Arbeitsplätzen und Client / Server-Architekturen erhöht die Gefährdungen, denen die Informationstechnologie ausgesetzt ist. Unterschiedliche internationale Standards der Informationssicherheit ermöglichen es den Verantwortlichen, die mit dem Betrieb der Informationstechnologie verbundenen Risiken zu minimieren. Auf nationaler Ebene hat sich der von BSI entwickelte IT-Grundschutz in öffentlichen Einrichtungen und Unternehmen etabliert.

Die Informationstechnologie ist eine Technologie zum Sammeln, Übertragen, Verarbeiten und Speichern von Informationen mittels Computer und Telekommunikationsgeräte. Informationstechnologie ist der Oberbegriff der elektronischen Datenverarbeitung und die dafür eingesetzte Hard- und Software-Infrastruktur. Es gibt sehr unterschiedliche Maßnahmen zur Gewährleistung der Informationssicherheit. Als Beispiel dienen technische und organisatorische Maßnahmen (TOM). Als Maßnahmen stellen sie verschiedene Arten von Kontrollen dar, die zu implementieren sind. Maßnahmen zur Verbesserung der Security sind daher unterschiedliche Kontrollmechanismen, die dazu dienen sollen, unbefugten Zugang zu verhindern und so die Kenntnisnahme, das Manipulieren oder Vernichten von Informationen auszuschließen. Maßnahmen zur Verbesserung der Informationssicherheit sind: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsverbot.

 

Spezielle Informationssicherheitslösungen

Spezielle Lösungen sind Backup, VPN, Firewall, UTM, Virenschutz, RAID-System, Visualisierung, Serverschrank, Serverraum, Klimaanlage, Wasser, Brand, Staub, Einbruch, Diebstahl, Vandalismus, Verschlüsselung, AD, Benutzerverwaltung, Zugriffsverwaltung, Gruppenrichtlinien, Mitarbeitersensibilisierung, Updates, Patches und tausend andere Dinge. Daten sind ein wertvolles Gut. Die Verschlüsselung verwendet einen Algorithmus, um normale Textzeichen in ein unlesbares Format zu konvertieren, wodurch die Dateien verschlüsselt werden, sodass nur autorisierte Benutzer sie lesen. Datei- und Datenbankverschlüsselungslösungen maskieren ihre Dateninhalte mittels Verschlüsselung oder Tokenisierung und werden so zur letzten Verteidigungslinie für sensible und kritische Informationssysteme und Datenverarbeitung. Die meisten Lösungen enthalten auch Funktionen zum Verwalten von Sicherheitsschlüsseln. Um die Verfügbarkeit aller kritischen Dateien zu gewährleisten, ist eine vollständig getestete Sicherungskopie eine Kernkomponente jeder zuverlässigen Informationssicherheitsstrategie. Darüber hinaus sollten alle Sicherungen denselben physischen und logischen Informationssicherheitskontrollen unterliegen, die zur Steuerung des Zugriffs auf die Hauptdatenbank und das IT-System verwendet werden.

Nach der Veröffentlichung eines Sicherheitsupdates (Patch) oder einer neuen Version sollte die Software zum Thema so schnell wie möglich auf die neueste Version aktualisiert werden. Bei digitalen Speichermedien sind gelöschte Dateien zu überschreiben, sodass der ursprüngliche Informationsinhalt der gelöschten Datei technisch keinesfalls zu rekonstruieren ist. In der Informationstechnologie ist dies auch als sicheres oder physisches Löschen bezeichnet. Die physische Löschung von Dateien ist sicherer als das Standardlöschen und verwendet Software, um die Dateien auf jedem Speichergerät vollständig zu überschreiben. Überprüfen Sie, ob gelöschte Dateien wiederherzustellen sind. In der IT-Umgebung heißt Informationssicherheit, Ausfallsicherheit oder Resilience, dass das IT-System über leistungsstarke Funktionen verfügt und Ausfällen, Teilausfällen und anderen Problemen widersteht. Die Ausfallsicherheit hängt von der Fähigkeit des Rechenzentrums ab, Fehlern jeglicher Art standzuhalten oder diese schnellstmöglich zu reparieren, von Hardwareproblemen bis hin zu Stromausfällen und anderen zerstörerischen Ereignissen, die in Bezug auf Informationssicherheit zu beheben sind.

Resilience im IT-Umfeld beschreibt die Fähigkeit des IT-Systems, robust auf Ausfälle und Probleme (z. B. den Ausfall einer einzelnen Komponente) zu reagieren und den Nutzern weiterhin die erforderlichen Dienste bereitzustellen. Typische Maßnahmen zur Sicherstellung der Ausfallsicherheit sind Redundanz, verteilte Systeme und Datensicherung. Cyber Resilience beschreibt insbesondere die Robustheit gegenüber Cyber-Angriffen. Cyber ​​Resilience ist ein umfassendes Konzept, es umfasst ebenfalls die Geschäftskontinuität und organisatorische Flexibilität. Mit dem Maskieren von Informationen versetzen Organisationen ihre Teams in die Lage, tatsächliche Infos zur Entwicklung von Anwendungen oder zur Schulung von Personal zu verwenden, ohne die Informationssicherheit zu verletzen oder zu gefährden. Bei Bedarf werden personenbezogene Daten maskiert, damit die Entwicklung in einer kompatiblen Umgebung durchzuführen ist. Denken Sie an regelmäßige Weiterbildungen zum Informationssicherheitsgesetz für den Informationssicherheitsbeauftragten.

 

Anregungen zur Informationssicherheit, Datenschutz und Sicherheit der Daten im Unternehmen

DIHK, IHKs und Deutschland sicher im Netz (DsiN) organisierten eine Reihe von Seminaren unter der Überschrift "IT-Sicherheit @ Mittelstand", um vorzustellen, wie sich Unternehmen gegen Cyberangriffe beschützen. Alle Termine finden Sie hier. Die Allianz für Cyber-Sicherheit ist vom BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien gemeinsam gegründet wurden. Einen praktischen Leitfaden zum Thema Security lässt sich im DIHK-Verlag bestellen. Die Veröffentlichung "Datensicherheit - kurz und knapp" bietet spezifische Anregungen, Ratschläge und Techniken, um die schwerwiegendsten Fallstricke zu vermeiden, sowie nützliche Links und Vorlagen für Notfallpläne. Erfahren Sie mehr über Rollen, Weiterbildungen, Audits, Newsletter und Whitepaper beim TÜV Nord: TÜV Nord: Weiterbildungen, Rollen und Aufgaben.

 

Sicherheitskonzept: Aktive Security für Ihre Informationstechnik

Das Informationssicherheitskonzept schützt Ihr EDV & IT-System vor Gefährdungen. Wenn die Dateien verloren gehen, hat dies schwerwiegende Folgen. Der Geschäftsführer der Gesellschaft haftet für Verluste, die aufgrund von Fahrlässigkeit des Informationssicherheitsplans entstehen. Daher ist Informationssicherheit einer unserer wichtigsten IT-Services. Die Beratung umfasst Diskussionen zu Sicherheitsinformationstechnologie und Notfallplänen. Wir sind Ihr vertrauenswürdiger Partner bei der Entwicklung von IT-Lösungen, die Ihre Anlage weitgehend gegen Gefahren beschützen. Nur wenn alle Bereiche im Informationssicherheitskonzept berücksichtigt und in das Steuerungssystem integriert sind, wird das erforderliche Informationssicherheitsniveau (z. B. Basisschutz, IT-Grundschutz) erreicht. Datensicherheit sollte keinesfalls als ein Zustand verstanden werden, der mit Software oder Mittel erreicht ist, sondern als ein kontinuierlicher Prozess. Sie beinhaltet ebenfalls den Prozess des Schutzes der Betriebsgeheimnisse und wertvolle Dateien gegen unbefugten Zugriff und Datenkorruption während ihres gesamten Lebenszyklus. Die Security beinhaltet Datenverschlüsselungs-, Hashing-, Tokenisierungs- und Schlüsselverwaltungsverfahren zum Abschirmen aller Anwendungen und Dateien auf der Plattform. Unternehmen investieren stark in Informationssicherheitstechniken und Cybersicherheitsfunktionen, um ihre kritischen Vermögenswerte zu beschützen. Unabhängig davon, ob ein Unternehmen seine Marke, das intellektuelle Kapital und seine Kundeninformationen zu schützen oder eine kritische Infrastruktur zu kontrollieren hat, haben die Methoden zur Erkennung von Vorfällen und zur Reaktion auf den Schutz der Interessen des Unternehmens drei gemeinsame Elemente: Personen, Prozesse und Technologie.

Kontaktieren Sie uns.