Informationssicherheit

Informationssicherheit:
Schutz vor Gefahren, Bedrohungen, Risiken und Vermeidung wirtschaftlicher Schäden

Informationssicherheit zielt darauf ab, die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Dies sichert Informationstechnik und Informationen gegen Gefahren wie unbefugtem Zugriff oder Manipulation und vermeidet wirtschaftliche Verluste im Unternehmensumfeld. Daten sind ein wertvolles Gut. Der kommerzielle Wert von Informationen war noch nie so hoch wie heutzutage. Der Verlust von Geschäftsgeheimnissen oder Rechten an geistigem Eigentum wirkt sich auf zukünftige Innovationen und die Rentabilität aus. Informationssicherheit ist genauso wie Datensicherheit die Praxis, digitale Informationen und deren IT-Systeme während ihres gesamten Lebenszyklus vor unbefugtem Zugriff, Beschädigung, Korruption oder Diebstahl zu schützen. Dieses Konzept deckt alle Aspekte der ITK-Sicherheit ab, von der physischen Sicherheit von Hardware und Speichergeräten über die Verwaltung und Zugriffskontrolle bis hin zur logischen Sicherheit von Software (Anwendungen). Es enthält auch organisatorische Richtlinien und Verfahren. Unabhängig davon, ob es sich bei Ihren Daten um lokale Dateien, ein Rechenzentrum oder eine öffentliche Cloud handelt, haben Sie sicherzustellen, dass die Einrichtung gegen Eindringlingen geschützt ist und geeignete Schutzmaßnahmen zur Brandbekämpfung und Klimatisierung ergriffen hat (Physische Sicherheit).

 

  1. Informationssicherheit:
    Schutz vor Gefahren, Bedrohungen, Risiken und Vermeidung wirtschaftlicher Schäden
    1. Was ist Informationssicherheit? Definition, Maßnahmen, best practices
    2. Informationssicherheit ist der Abschirmung der IT-Systeme gegen Gefährdungen
    3. Informationssicherheit stellt die Schutzziele von Informationen sicher
    4. Ziele der Informationssicherheit - Compliance und Obhut der Daten
      1. Compliance und ihre Mission für das Unternehmen
      2. Schutzziele der Informationssicherheit
      3. Korrektheit der Informationen
      4. Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK
    5. Schutzmaßnahmen. Aufgaben und Service der Sicherheit der Informationen
    6. Ist Ihr Unternehmen mit Security ausreichend geschützt?
      1. Führen Sie eine Risikoanalyse aus
    7. ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 
      1. Information Security Management System
      2. Datenschutz-Management
      3. Datensicherheit
      4. Backup / Datensicherung
      5. Service zur IT-Sicherheit
      6. Kommunikationssicherheit
      7. Informationsschutz
      8. Internet und Intranet
      9. Computerkriminalität
      10. IT-Grundschutz
      11. Informationstechnologie (IT)
      12. Verschlüsselung
      13. Backup / Datensicherung / Sicherungskopie
      14. Anwendungssicherheit, Updates und Patches
      15. Datenlöschung / Datenvernichtung
      16. Resilience / Resilienz / Ausfallsicherheit und robuste Systeme
      17. Datenmaskierung
      18. Top-Themen Mitarbeitersensibilisierung
      19. Anregungen für mehr Informations-Sicherheit
    8. Sicherheitskonzept: Aktive Sicherheit für Ihre Informationstechnik
      1. Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung
      2. Definition Kritische Infrastrukturen (KRITIS)
      3. Definition, Themen, Zertifizierung

 

Was ist Informationssicherheit? Definition, Maßnahmen, best practices

Informationssicherheit dient als Schutzschild gegen Gefahren, Bedrohungen, Risiken und der Vermeidung von wirtschaftlichen Verlusten. Informationsverarbeitende Systeme haben gemäß ISO 27001 die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Die unberechtigte Nutzung von Ressourcen ist zu erschweren und möglichst zu erkennen. Bei korrekter Implementierung schützt eine robuste Informationssicherheitsstrategie nicht nur die Informationsressourcen des Unternehmens vor Cyberkriminalität, sondern schließt auch Insider-Bedrohungen und menschliches Versagen aus. Die ITK-Sicherheit umfasst die Bereitstellung von Tools und Techniken, mit denen Unternehmen besser verstehen, wo sich kritische Inhalte befinden und wie sie verwendet werden. Zur Informationssicherheit gehören die personelle und physische Sicherheit. Informationssicherheit umfasst den gesamten Bereich der Informationsverarbeitung, inklusive Speicherung und Übertragung von Informationen und Programmen. Informationen beschränken sich keinsfalls auf die digitale oder elektronische Form und existieren auf Festplatten, USB-Sticks, DVD und auf Papier. Datenträger, Computer und Netzwerke sind die wichtigsten Werkzeuge zum Speichern, Verarbeiten und Übertragen von Informationen. Sie stellen jedoch nur die Tools dar, sodass Begriffe wie IT-Sicherheit, Computersicherheit, Cyber Security, Netzwerksicherheit nur die verschiedenen Bereiche beschreiben. Informationssicherheit ist der umfassende und korrekte Begriff.

Informationssicherheit Datensicherheit

Informationen sind Sicherheitsrisiken ausgesetzt. Die Gefahren gefährden die Existenz von Betrieben. Informationen sind wesentliche Werte für Unternehmen, unabhängig von Branche oder Größe. Die Security von IT-Systemen und -Daten ist eine Herausforderung für alle Organisationen. Investitionen in Informationssicherheit lohnen sich und mit dem nötigen Wissen ist ein angemessenes Sicherheitsniveau erreicht. Im Notfall ist dies ein entscheidender Wettbewerbsvorteil.

 

Informationssicherheit ist der Abschirmung der IT-Systeme gegen Gefährdungen

Informationssicherheit beschreibt die Attribute informationstechnischer Systeme (IT-Systeme) oder elektronischer Datenverarbeitung (elektronische datenverarbeitende Systeme, EDV), um die Schutzziele sicherzustellen. Informationssicherheit soll Gefahren oder Bedrohungen verhindern, wirtschaftliche Verluste vermeiden und Gefahren minimieren. Die drei Grundprinzipien zur Erhöhung der Erreichbarkeit und Zuverlässigkeit technischer Systeme sind Redundanz, Modularität und Skalierbarkeit. Geeignete Mittel finden sich beispielsweise in den international gültigen Normen ISO/IEC-27000-Reihe. In Deutschland ist der IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Norm für Informationssicherheit. Eine wichtige Komponente ist die Einrichtung des Informationssicherheits-Managementsystems (ISMS). ISMS ist ein wichtiger Bestandteil des umfassenden IT-Sicherheitskonzepts (SiKu). Informationssicherheit, IT-Sicherheit oder IT-Security ist die Obhut von IT-Systemen gegen Bedrohungen. Primär geht es um die Ausfallsicherheit. Die notwendige Obhut beginnt bei einer einzelnen Datei über die IT-Infrastruktur (Computer, Netzwerke, Cloud-Dienste) bis hin zu Rechenzentren (RZ).

 

Informationssicherheit stellt die Schutzziele von Informationen sicher

Stellen Sie Schutzzile von Informationen sicher, sie sind die wichtigsten Punkte der Informationssicherheit. Jedes Schutzziel ist für jede Art von Information individuell wichtig. Beispielsweise spielt die Vertraulichkeit bei Informationen, die ohnehin öffentlich zu lesen sind (Website) keine große Rolle. Für Informationssysteme ist die Zuverlässigkeit von entscheidender Bedeutung, hier gilt: Jede Minute Ausfallzeit heißt einen empfindlichen Arbeitsausfall. Die Vollständigkeit, d.h. die Richtigkeit der Informationen, ist für alle Organisationen, Mitarbeiter und Abteilungen sehr wichtig.

Die drei Ziele der Informationssicherheit sind

  • Integrität: Ein System hat die Korrektheit der Daten sicherzustellen, Verhinderung vor unberechtigter Veränderung.
  • Verfügbarkeit: Eine Anlage hat zu funktionieren.
  • Vertraulichkeit: Nur berechtigten Personen dürfen Zugang auf bestimmte Informationen haben, unberechtigte Personen haben keinen Zugang.

Weitere (mögliche) Ziele sind Rechtsverbindlichkeit, Anonymität, Authentisierung, Nicht-Zurückweisung, Pseudonymität, Abrechenbarkeit, und Unbeobachtbarkeit. Informationssicherheit bewahrt Daten vor Gefahren wie unbefugtem Zugriff oder Manipulation. Im Unternehmensumfeld werden mit der Informationssicherheit wirtschaftliche Verluste verhindert. Informationen gibt es in unterschiedlichen Formen und sind auf unterschiedlichen Systemen gespeichert. Informationen sind keineswegs auf digitale Daten beschränkt. Das Speicher- oder Aufzeichnungssystem ist keineswegs unbedingt eine IT-Komponente. Es ist ein technisches oder ein nichttechnisches System. Ziel ist es, Gefahren und Bedrohungen sowie wirtschaftliche Verluste zu vermeiden. In der Praxis basiert die Informationssicherheit auf dem IT-Sicherheitsmanagement und der international gültigen ISO / IEC 27000-Standardreihe. In Deutschland regelt IT-Grundschutz des BSI viele Aspekte sicherer Datenverarbeitung und Informationstechnologie (IT). (Informations-) Sicherheitsmanagement bezieht sich auf die Planungs- und Kontrollaufgaben, die zur Einrichtung der Informationssicherheit erforderlich sind, um einen gut durchdachten effektiven Prozess einzurichten und kontinuierlich umzusetzen. Das Sicherheitsmanagement ist in die vorhandene Managementstruktur aller Organisationen einzubetten.

 

Ziele der Informationssicherheit - Compliance und Obhut der Daten

Informationen existieren in unterschiedlicher Form auf verschiedenen Systemen, sie sind keinesfalls wie bei der IT-Sicherheit auf digitale Daten und auf IT-Komponenten beschränkt. Informationen sind auf IT-Systemen gespeichert, liegen in Papierform vor oder werden mündlich weitergegeben. Informationen sind unterschiedlichen Bedrohungen ausgesetzt. Das Top-Ziel der Informations-Sicherheit ist die Sicherheit von Informationen, Informationen und IT-Systemen, das Besschützen gegen Gefahren, Bedrohungen und wirtschaftlichen Verlusten. Sie orientiert sich am IT-Sicherheitsmanagement, an den international gültigen ISO/IEC-27000-Normreihen und in Deutschland am IT-Grundschutz des BSI. Im Mittelpunkt der Informations-Sicherheit stehen Daten, Computer, Netzwerke und Datenträger. Zur Sicherheit von Informationen gehören im IT-Umfeld die ITK-Sicherheit, die Netzwerksicherheit oder die Computersicherheit. Zur Sicherung der Informationstechnologie (IT) werden Gefahren und Schutzmaßnahmen für den sicheren Betrieb (Betriebssicherheit) und zur Schadenverhütung erarbeitet. Sach- und Betriebsunterbrechungsschäden sind zu vermeiden oder ihre Auswirkungen zu begrenzen.

 

Compliance und ihre Mission für das Unternehmen

Im juristischen Bereich gehört Compliance zu den Top-Themen und bezeichnet laut Definition die Einhaltung aller gesetzlichen Vorschriften und interner Richtlinien des Unternehmens und seine Mitarbeiter. Die Informationssicherheit hat die Informationen des Unternehmens gemäß den geltenden Vorschriften abzusichern. Daher ist Compliance auch ein wichtiger Bestandteil der IT-Governance, denn die Einhaltung von Normen ist dort das steuernde Element.

 

Schutzziele der Informationssicherheit

Schutzziele, auch CIA-Schutzziele genann, sind ein wichtiges Themat: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Schutzziele legen das Mindestsicherheitsniveau fest, das unterschiedliche Mittel für eine bestimmte Gefahrenkategorie zu erreichen haben. Sie sind so zu formulieren, dass sie den gewünschten Endzustand darstellen.

 

Korrektheit der Informationen

Integrität ist eines der Schutzziele und Themen der Informationssicherheit und bedeutet, dass Informationen keinesfalls unerkannt oder unbemerkt geändert werden. Datenänderungen müssen nachvollziehbar sein. Das BSI beschreibt Integrität als die Richtigkeit der Daten (Korrektheit, Unversehrtheit) und die korrekte Funktionsweise des Systems. Es geht es um die Berechtigung. „Shared User Accounts“ sind ein Beispiel für eine nicht existierende Integrität von Datenbeständen. Wenn mehrere Personen dieselben Benutzerkonten (Identität) nutzen, um auf Datenbanken zuzugreifen, lässt sich nicht nachvollziehen, welche Person die Änderungen durchgeführt hat. Möglicherweise ist so sämtlichen Informationen nicht mehr zu trauen.

  • Korrekter Inhalt: Die Integritätsart ist vorhanden, wenn Fakten aus der realen Welt korrekt abgebildet werden. Dies soll beispielsweise mittels Integritätsbedingungen sichergestellt werden.
  • Unmodifizierter Zustand: Die Integritätsart besteht, wenn die Nachricht unverändert zugestellt ist und das Programm und der Prozess wie erwartet ausgeführt werden.
  • Modifikationserkennung: Die Integritätsart ist vorhanden, wenn unerwünschte Änderungen festgestellt werden, die unvermeidbar sind.
  • Temporale Korrektheit: Die Integritätsart gilt, wenn Nachrichten ausgetauscht werden und relevante Zeitbedingungen (wie Sequenz oder maximale Verzögerungszeit) eingehalten werden.

Daten dürfen nur von Personen verändert oder eingesehen werden, die dazu berechtigt sind. Es ist festzulegen, wer, wann, wo, in welcher Art und Weise Zugriff auf Informationen hat. Bei der Übertragung von Daten dürfen diese keinesfalls von unautorisierten Personen verändert oder gelesen werden. Sensible Informationen sind bei der Übertragung zu verschlüsseln. Im E-Mail-Verkehr des Betriebes befinden sich überwiegend Informationen, die vertraulich zu behandeln sind. Der E-Mail-Verkehr hat verschlüsselt zu erfolgen, zumindest die Anhänge. Die Vertraulichkeit ist ansonsten ungesichert. Räumlichkeiten, in denen vertrauliche Daten verarbeitet, einsehbar oder gelagert werden, sind entsprechend zu sichern. Dazu zählen zumindest der Serverraum, Geschäftsführung und die Buchhaltung. In frei zugänglichen Räumen ist die Vertraulichkeit der Informationen gleich Null. Das Bewusstsein der Verbraucher der Rolle des Datenschutzes nimmt zu. Als Reaktion auf die wachsende öffentliche Nachfrage nach Datenschutzmaßnahmen wurden einige neue Datenschutzbestimmungen erlassen, darunter die Europäische Datenschutzverordnung (DSGVO).

 

Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK

Zuverlässigkeit bedeutet, dass ein System funktioniert. Das Risiko von Systemausfällen ist zu minimieren. Die Zuverlässigkeit technischer Anlagen der Informationstechnologie (IT) wie Server, Storages und Switches ist ein wichtiges Bewertungskriterium. IT-Systeme haben die Anforderungen verlässlich zu erfüllen. Vorbeugende Wartung vermindert das Ausfallrisiko und sichert die langfristige Erreichbarkeit und Stabilität der Server, Datenspeicher, Datenverteiler, Anlagen und Komponenten. Kennzahlen der Zuverlässigkeit sind die maximale Dauer eines einzelnen Ausfalls, (jährliche durchschnittliche Ausfallzeit), Zuverlässigkeit (die Fähigkeit, unter bestimmten Bedingungen innerhalb einer bestimmten Zeit korrekt zu arbeiten), Ausfallsicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit, Reaktionszeit (wie lange das System benötigt, um eine bestimmte Operation auszuführen), Mittlere Reparaturzeit (MTTR, mittlere Wiederherstellungszeit nach einem Ausfall), Mittlere Betriebszeit zwischen zwei Ausfällen (MTBF, die durchschnittliche Arbeitszeit zwischen zwei Fehlern ohne Reparaturzeit), Mittlere Ausfallzeit (MTTF, siehe MTBF, wird jedoch für ersetzte Anlagen / Komponenten verwendet). Die Zuverlässigkeit der zentralen IT-Infrastruktur ist möglichst hoch zu halten. Ein vollständiger Überblick der im Unternehmen vorhandenen Anlagen und Informationen hilft bei der Analyse, welche Anlagen und Dateien für reibungslose Arbeitsabläufe im Betrieb unbedingt notwendig sind und somit stets verfügbar sein müssen. Sie sind gegen Ausfälle zu bewahren. Empfehlenswert ist eine Risikoanalyse, die jeweils die Ausfallwahrscheinlichkeit, tolerierbare Ausfallzeit und das Schadenspotenzial des Systems, der Hardware, Software, Dienste, Anwendungen und Datenbanken beschreibt. Daraus ergibt sich eine Prioritätenliste für das angestrebte Sicherheitsniveau.

 

Schutzmaßnahmen. Aufgaben und Service der Sicherheit der Informationen

Alle physischen Schutzmaßnahmen dienen dazu, das System von der Gefahrenquelle zu isolieren (abzuschotten):

  • mechanische Einwirkung
  • technische Defekte / Mängel (Wassereintritt, Feuer)
  • Schadstoffe (Staub, Aerosol)
  • elektromagnetische Effekte (Blitzeinschläge)
  • gasförmige, korrosive oder ätzende Luftbelastung

In Rechenzentren ist die Isolierung (Abschottung) normalerweise mit IT-Sicherheitsräumen (Serverräume) erreicht, in den meisten Fällen für Feintechnik (aktive Komponenten, Server), aber auch für Grobtechnik / Infrastruktur (Klimaanlage, Stromverteilung). Es gibt mehrere Gründe der Trennung zwischen Feintechnik und Grobtechnik: Grobtechnische Maschinen oder Anlagen emittieren normalerweise Interferenzstrahlung, was sich auf die Feintechnik auswirkt. Der USV-Akku erzeugt im Brandfall extrem hohe Temperaturen und ätzendes Gas (Kurzschluss des Akkus). Die routinemäßige Wartung grobtechnischer Anlagen erfordert kein Betreten des Serverraums. Neben der Verhinderung des Eindringens von Wasser und Staub ist der Qualität der zirkulierenden Luft große Aufmerksamkeit zu widmen. Hier gilt für Rechenzentren unter anderem die DIN EN ISO 14644-1 Reinraumklasse 8.

 

Ist Ihr Unternehmen mit Security ausreichend geschützt?

Die digitale Transformation verändert alle Aspekte der heutigen Geschäftstätigkeit und des Wettbewerbs grundlegend. Die enorme Menge an Dateien, die von Unternehmen erstellt, verarbeitet und gespeichert werden, wächst weiter und die Nachfrage nach Datenmanagement nimmt zu. Darüber hinaus sind Computerumgebungen komplexer als zuvor und umfassen häufig öffentliche Clouds, Rechenzentren von Unternehmen und zahlreiche Edge-Geräte, die von IoT-Sensoren (Internet of Things) bis hin zu Robotern und Remote-Servern reichen. Die Komplexität schafft eine erweiterte Angriffsfläche, die die Überwachung und die Beschützung erschwert. Um dies festzustellen, bestimmen Sie den Grad der IT-Sicherheit (Sicherheitsniveau) in Ihrem Unternehmen. Eine gute Basis ist eine Risikoanalyse. Experten helfen Ihnen dabei. Online-Checks wie die der Initiative „Deutschland sicher im Netz“ sind für einen ersten Überblick hilfreich. Dies gibt Ihnen auch erste Empfehlungen, wie Sie die Informationssicherheit optimieren. Weitere Informationen sind dem DsiN-Sicherheitscheck von Deutschland sicher im Netz e.V. zu entnehmen.

 

Führen Sie eine Risikoanalyse aus

Mithilfe einer Risikoanalyse identifizieren und bewerten Sie systematisch Risiken für Ihre IT-Systeme, -Anwendungen und -Daten. Sie erkennen Schwachstellen in Prozessen, Methoden, Technologien oder der menschlichen Natur. Untersuchen Sie die Bereiche Ihres Betriebes, die mit IT zu tun haben und von ihr abhängig sind. Das betrifft u.a. Ihre Geschäftsmodell und -ziele, Werte, IT-Systeme, Informationen und Wissen.

 

ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 

Bisher wurden Informationssicherheit und Daten-Schutz mit geringen Überschneidungen getrennt betrachtet. Aufgrund des technologischen Fortschritts und der Digitalisierung von Unternehmensdaten sowie der höheren Anforderungen an Betriebssicherheit sind die beiden Bereiche gemeinsam zu behandeln. Die von der EU festgelegten gesetzlichen Anforderungen (Datenschutz-Grundverordnung, DSGVO) sind ab dem 25. Mai 2018 umzusetzen. Ein Managementsystem für Security hat insbesondere Daten-Schutz zu gewährleisten. ISMS ist nun ISDSM. Datensicherheitstools und -technologien sollten die zunehmend schwerwiegenden Herausforderungen bewältigen, die mit der Beschützung der heutigen komplexen, verteilten, hybriden und / oder Multi-Cloud-Computing-Umgebungen verbunden sind. Dazu gehört das Verstehen, wo sich die Daten befinden, das Verfolgen, wer Zugang auf die Daten hat, und das Verhindern von Aktivitäten mit hohem Risiko und potenziell gefährlichen Dateibewegungen. Umfassende Datenschutzlösungen ermöglichen es Unternehmen, einen zentralisierten Ansatz der Überwachung und Durchsetzung von Richtlinien zu verfolgen. Vertrauliche Informationen befinden sich in strukturierten und unstrukturierten Datenspeichern, einschließlich Datenbanken, Data Warehouses, Big Data-Plattformen und Cloud-Umgebungen. Datenidentifizierungs- und Klassifizierungslösungen automatisieren den Prozess der Identifizierung vertraulicher Informationen und am stärksten gefährdeten Datenquellen sowie der Bewertung und Korrektur von Schwachstellen (z. B. veraltete Software, falsche Konfigurationen oder schwache Kennwörter).

 

Information Security Management System

Ein Information Security Management System (Informationssicherheitsmanagementsystem (ISMS)) sind Verfahren und Regeln, die innerhalb einer Organisation zur dauerhaften Definition, Kontrolle, Überwachung, Wartung und kontinuierlichen Verbesserung der Security festgelegt wurden (Management). Dieser Begriff ist in der Norm ISO / IEC 27002 definiert und enthält Empfehlungen für verschiedene Kontrollmechanismen der IT-Sicherheit. Hier geht es um Security gegen Angriffe. ISO / IEC 27001 definiert ISMS. Der deutsche Teil der Normungsarbeiten wird von den IT-Sicherheitsverfahren nach DIN NIA-01-27 überwacht.

 

Datenschutz-Management

Datenschutz ist ein Begriff, dessen Definition und Interpretation manchmal unterschiedlich sind. Unter verschiedenen Gesichtspunkten ist unter Datenschutz die Verhinderung einer unsachgemäßen Datenverarbeitung, der Schutz des Rechts auf Selbstbestimmung von Informationen, der Persönlichkeitsrechte bei der Datenverarbeitung und der Privatsphäre verstanden.

 

Datensicherheit

Datensicherheit ist ein Begriff, der oft mit Datenschutz in Verbindung steht. Das technische Hauptziel der Data Security ist es, alle Arten von Informationen vollständig gegen Verlust, Manipulation und anderen Gefährdungen abzusichern. Eine angemessene Data Security ist eine Voraussetzung für einen wirksamen Datenschutz.

 

Backup / Datensicherung

Backup (Datensicherung) bezeichnet das Kopieren von Dateien mit dem Ziel, sie bei Datenverlust wieder zurückzukopieren. Daher ist die Datensicherung eine grundlegende Maßnahme der Security. Informationen, die redundant auf Speichermedien gespeichert sind, werden als Sicherungskopie verwendet. Das Wiederherstellen der Originaldaten aus einer Sicherungskopie ist die Datenwiederherstellung.

 

Service zur IT-Sicherheit

Die IT-Sicherheit spielt eine Schlüsselrolle bei der Sicherheit von ITK-Systemen. Die Aufgabe der IT-Sicherheit umfasst das Absichern der IKT-Systemen einer Organisation oder des Unternehmens gegen Gefährdungen. Dieser Service dient unter anderem der Vermeidung von wirtschaftlichen Verlusten.

 

Kommunikationssicherheit

Kommunikationssicherheit umfasst den Schutz der Kommunikationsverbindung zwischen zwei oder mehr Partnern. Wenn viele Teilnehmer im Rechnernetz zusammengefasst sind, ist jede Kommunikationsverbindung gegen externe Angriffe und Angriffe anderer Netzwerkteilnehmer zu schützen.

 

Informationsschutz

Informationsschutz ist der Sammelbegriff für alle Mittel als Schutzschild für Informationen vor Verlust, unbefugtem Zugang, Manipulation und ungewolltem Abfluss. Die Mittel umfassen den gesamten Informationsfluss, nämlich die Erstellung, Verarbeitung, Übermittlung, Archivierung und Vernichtung

 

Internet und Intranet

Das Internet ist eine globale Kombination von Computernetzwerken und autonomen Systemen. Es ermöglicht die Nutzung von Internetdiensten wie WWW, E-Mail und vieles mehr. Jeder Computer ist mit jedem anderen Computer zu verbinden. Der Datenaustausch zwischen über das Internet verbundenen Computern erfolgt über das technisch standardisierte Internetprotokoll. Das Intranet (internes oder lokales Netz) ist ebenfalls ein Computernetzwerk. Im Vergleich zum Internet wird es unabhängig vom öffentlichen Netz verwendet und ist nicht öffentlich zugänglich.

 

Computerkriminalität

Computerkriminalität (Cyberkriminalität) bezieht sich auf jede Straftat, bei der ein Computer als Werkzeug oder kriminelles Ziel verwendet wird. Die Verwendung eines Computers ist Voraussetzung. Im Strafgesetzbuch gibt es relevante Paragraphen zur rechtlichen Bewertung individueller Tatmuster.

 

IT-Grundschutz

Die Verwendung des Internets, Netzwerken, Arbeitsplätzen und Client / Server-Architekturen erhöht die Gefährdungen, denen die Informationstechnologie ausgesetzt ist. Unterschiedliche internationale Standards ermöglichen es den Verantwortlichen, die mit dem Betrieb der Informationstechnologie verbundenen Risiken zu minimieren. Auf nationaler Ebene hat sich der von BSI entwickelte IT-Grundschutz in öffentlichen Einrichtungen und Unternehmen etabliert.

 

Informationstechnologie (IT)

Die Informationstechnologie (IT) ist eine Technologie zum Sammeln, Übertragen, Verarbeiten und Speichern von Informationen mittels Computer und Telekommunikationsgeräte. Informationstechnologie ist der Oberbegriff der elektronischen Datenverarbeitung und die dafür eingesetzte Hard- und Software-Infrastruktur.

Es gibt sehr unterschiedliche Maßnahmen zur Gewährleistung der Security. Als Beispiel dienen technische und organisatorische Maßnahmen (TOM). Als Maßnahmen stellen sie verschiedene Arten von Kontrollen dar, die zu implementieren sind. Maßnahmen zur Verbesserung der Security sind daher unterschiedliche Kontrollmechanismen, die dazu dienen sollen, unbefugten Zugang zu verhindern und so das Kenntisnahme, die Manipulation oder das Löschen von Informationen auszuschließen. Maßnahmen zur Verbesserung der Security sind: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsverbot.

Spezielle Lösungen
Backup, VPN, Firewall, UTM, Virenschutz, RAID-System, Visualisierung, Serverschrank, Serverraum, Klimaanlage, Sicherheit Wasser, Brand, Staub, Einbruch, Diebstahl, Vandalismus, Verschlüsselung, AD, Benutzerverwaltung, Zugriffsverwaltung, Gruppenrichtlinien, Mitarbeitersensibilisierung, Updates, Patches und tausend andere Dinge.

Daten sind ein wertvolles Gut.

 

Verschlüsselung

Die Verschlüsselung verwendet einen Algorithmus, um normale Textzeichen in ein unlesbares Format zu konvertieren, wodurch die Dateien verschlüsselt werden, sodass nur autorisierte Benutzer sie lesen. Datei- und Datenbankverschlüsselungslösungen maskieren ihren Inhalt mittels Verschlüsselung oder Tokenisierung und werden so zur letzten Verteidigungslinie für sensible und kritische Informationssysteme und Datenverarbeitung. Die meisten Lösungen enthalten auch Funktionen zum Verwalten von Sicherheitsschlüsseln.

 

Backup / Datensicherung / Sicherungskopie

Um die Verfügbarkeit aller kritischen Dateien zu gewährleisten, ist eine vollständig getestete Sicherungskopie eine Kernkomponente jeder zuverlässigen Informationssicherheitsstrategie. Darüber hinaus sollten alle Sicherungen denselben physischen und logischen Sicherheitskontrollen unterliegen, die zur Steuerung des Zugriffs auf die Hauptdatenbank und das IT-System verwendet werden.

 

Anwendungssicherheit, Updates und Patches

Nach der Veröffentlichung eines Sicherheitsupdates (Patch) oder einer neuen Version sollte die Software so schnell wie möglich auf die neueste Version aktualisiert werden.

 

Datenlöschung / Datenvernichtung

Bei digitalen Speichermedien sind gelöschte Dateien zu überschreiben, sodass der ursprüngliche Inhalt der gelöschten Datei technisch keinesfalls zu rekonstruieren ist. In der Informationstechnologie ist dies auch als sicheres Löschen oder physisches Löschen bezeichnet. Das physische Löschen von Dateien ist sicherer als das Standardlöschen und verwendet Software, um die Dateien auf jedem Speichergerät vollständig zu überschreiben. Überprüfen Sie, ob gelöschte Dateien wiederherzustellen sind.

 

Resilience / Resilienz / Ausfallsicherheit und robuste Systeme

In der IT-Umgebung heißt Ausfallsicherheit oder Resilience, dass das IT-System über leistungsstarke Funktionen verfügt und Ausfällen, Teilausfällen und anderen Problemen widersteht. Die Ausfallsicherheit hängt von der Fähigkeit des Rechenzentrums ab, Fehlern jeglicher Art standzuhalten oder diese schnellstmöglich zu reparieren, von Hardwareproblemen bis hin zu Stromausfällen und anderen zerstörerischen Ereignissen, die zu beheben sind. Resilience im IT-Umfeld beschreibt die Fähigkeit des IT-Systems, robust auf Ausfälle und Probleme (z. B. den Ausfall einer einzelnen Komponente) zu reagieren und den Nutzern weiterhin die erforderlichen Dienste bereitzustellen. Typische Maßnahmen zur Sicherstellung der Ausfallsicherheit sind Redundanz, verteilte Systeme und Datensicherung. Cyber Resilience bezieht sich insbesondere auf die Robustheit gegenüber Cyber-Angriffen. Cyber ​​Resilience ist ein umfassendes Konzept, es umfasst ebenfalls die Geschäftskontinuität und organisatorische Flexibilität.

 

Datenmaskierung

Mit dem Maskieren von Informationen versetzen Organisationen Teams in die Lage, tatsächliche Infos zur Entwicklung von Anwendungen oder zur Schulung von Personal zu verwenden. Bei Bedarf werden personenbezogene Daten maskiert, damit die Entwicklung in einer kompatiblen Umgebung durchzuführen ist.

 

Top-Themen Mitarbeitersensibilisierung

Mit der Schulung und Sensibilisierung der Mitarbeiter in Bezug auf die Wichtigkeit guter Sicherheitspraktiken und dem Umgang mit Passwörtern sowie das Erkennen von Social-Engineering-Angriffen werden sie zu "Mitarbeiter-Firewalls", die eine wichtige Rolle beim Absichern der Informationen spielen.

 

Anregungen für mehr Informations-Sicherheit

DIHK, IHKs und Deutschland sicher im Netz (DsiN) organisierten eine Reihe von Seminaren unter der Überschrift "IT-Sicherheit @ Mittelstand", um vorzustellen, wie sich Unternehmen gegen Cyberangriffe beschützen. Alle Termine finden Sie hier. 

Die Allianz für Cyber-Sicherheit ist vom BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien gemeinsam gegründet wurden.

Einen praktischen Leitfaden zum Thema IT-Sicherheit lässt sich im DIHK-Verlag bestellen. Die Veröffentlichung "Datensicherheit - kurz und knapp" bietet spezifische Anregungen, Ratschläge und Techniken, um die schwerwiegendsten Fallstricke zu vermeiden, sowie nützliche Links und Vorlagen für Notfallpläne.

 

Sicherheitskonzept: Aktive Sicherheit für Ihre Informationstechnik

Das Sicherheitskonzept schützt Ihr IT-System und EDV-System vor Gefahren. Wenn die Dateien verloren gehen, hat dies schwerwiegende Folgen. Der Geschäftsführer der Gesellschaft haftet für Verluste, die aufgrund von Fahrlässigkeit des Sicherheitsplans entstehen. Daher ist IT-Sicherheit einer unserer wichtigsten IT-Services. Die Beratung umfasst Diskussionen zu Sicherheitsinformationstechnologie und Notfallplänen. Wir sind Ihr vertrauenswürdiger Partner bei der Entwicklung von IT-Lösungen, die Ihre Anlage weitgehend gegen Gefahren beschützen. Nur wenn alle Bereiche berücksichtigt und in das Steuerungssystem integriert sind, wird das erforderliche IT-Sicherheitsniveau (z. B. Basisschutz, IT-Grundschutz) erreicht. Informationssicherheit sollte keinesfalls als ein Zustand verstanden werden, der mit Software oder Mittel erreicht ist, sondern als ein kontinuierlicher Prozess. Informations-Sicherheit bezieht sich ebenfalls auf den Prozess des Schutzes von Dateien gegen unbefugtem Zugriff und Datenkorruption während ihres gesamten Lebenszyklus. Die Security umfasst Datenverschlüsselungs-, Hashing-, Tokenisierungs- und Schlüsselverwaltungsverfahren zum Abschirmen aller Anwendungen und Dateien auf der Plattform. Unternehmen investieren stark in Cybersicherheitsfunktionen, um ihre kritischen Vermögenswerte zu beschützen. Unabhängig davon, ob ein Unternehmen seine Marke, das intellektuelle Kapital und seine Kundeninformationen zu schützen oder eine kritische Infrastruktur zu kontrollieren hat, haben die Methoden zur Erkennung von Vorfällen und zur Reaktion auf den Schutz der Interessen des Unternehmens drei gemeinsame Elemente: Personen, Prozesse und Technologie.

 

Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung

ISO 27701 wurde im August 2019 als „Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” veröffentlicht.. ISO 27701 ist eine Erweiterung der Standards ISO 27001 und ISO 27002 und beinhaltet den Datenschutz. Das Informationssicherheits-Managementsystem (ISMS) bleibt das Herzstück der Zertifizierung. DSGVO und ISO 27001 sind zwei wichtige Compliance-Standards. Beide wurden entwickelt, um die Daten-Sicherheit der Informationstechnik zu verbessern und das Risiko von Datenlecks zu verringern.

 

Definition Kritische Infrastrukturen (KRITIS)

Die Kritische Infrastruktur (KRITIS) ist laut Definition eine Organisation und Einrichtung, die für die staatliche Gemeinschaft sehr wichtig ist. Das Versagen, der Ausfall oder die Verschlechterung von KRITIS führt zu dauerhaften Lieferengpässen, erheblichen Schäden für die öffentliche Sicherheit oder anderen schwerwiegenden Folgen. 

 

Definition, Themen, Zertifizierung

Link: Definition, Zertifizierung und Anerkennung der Themen mit der BSI Zertifizierung und Anerkennung durch das BSI

 

Tags: Verfügbarkeit, IT-Grundschutz, Zuverlässigkeit, Informationssicherheit