Informationssicherheit zum Schutz vor Gefahren, Bedrohungen, Risiken und der Vermeidung von wirtschaftlichen Schäden

Informationssicherheit

Informationssicherheit zielt darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Dies sichert Informationen (Daten) vor Gefahren wie unbefugtem Zugriff oder Manipulation und vermeidet wirtschaftliche Verluste im Unternehmensumfeld. Daten sind ein wertvolles Gut.

 

  1. Was ist Informationssicherheit? Definition, Maßnahmen, best practices
  2. Informationssicherheit ist der Schutz der IT-Systeme vor Schäden und Bedrohungen
  3. Informationssicherheit stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher
  4. Ziele der Informationssicherheit - Compliance, Obhut der Daten und Datenschutz
    1. Integrität der Informationen
    2. Vertraulichkeit der Daten sichern
    3. Langfristige Verfügbarkeit und Stabilität der IT
  5. Schutzmaßnahmen. Aufgaben und Service für die Sicherheit der Informationen
  6. Ist Ihr Unternehmen durch Security ausreichend geschützt?
    1. Führen Sie eine Risikoanalyse durch
  7. ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 
    1. Anregungen für mehr Informationssicherheit

 

Was ist Informationssicherheit? Definition, Maßnahmen, best practices

Informationssicherheit dient dem Schutz vor Gefahren, Bedrohungen, Risiken und der Vermeidung von wirtschaftlichen Schäden. Informationsverarbeitende Systeme müssen gemäß ISO 27001 die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Die unberechtigte Nutzung von Ressourcen muss erschwert und möglichst erkannt werden. Zur Informationssicherheit gehören die personelle und physische Sicherheit. Informationssicherheit umfasst den gesamten Bereich der Informationsverarbeitung, inklusive Speicherung und Übertragung von Informationen und Programmen. Informationen beschränken sich nicht auf die digitale oder elektronische Form und können auf Festplatten, USB-Sticks, DVD, auf Papier existieren. Datenträger, Computer und Netzwerke sind die wichtigsten Werkzeuge zum Speichern, Verarbeiten und Übertragen von Informationen. Sie stellen jedoch nur die Tools dar, sodass Begriffe wie IT-Sicherheit, Computersicherheit, IT-Sicherheit, Cyber Security, Netzwerksicherheit nur die verschiedenen Bereiche beschreiben. Informationssicherheit ist der umfassende und korrekte Begriff.

Informationssicherheit Datensicherheit

Informationen sind Sicherheitsrisiken ausgesetzt. Diese Risiken können die Existenz von Betrieben gefährden. Informationen sind wesentliche Werte für Unternehmen, unabhängig von Branche oder Größe. Der Schutz von IT-Systemen und -Daten ist eine Herausforderung für jede Organisation. Investitionen in Informationssicherheit lohnen sich und mit dem nötigen Wissen wird ein angemessenes Sicherheitsniveau erreicht. Im Notfall kann dies ein entscheidender Wettbewerbsvorteil sein.

 

Informationssicherheit ist der Schutz der IT-Systeme vor Schäden und Bedrohungen

Informationssicherheit beschreibt die Attribute informationstechnischer Systeme (IT-Systeme) oder elektronischer Datenverarbeitung (elektronische datenverarbeitende Systeme, EDV), um die Schutzziele sicherzustellen. Informationssicherheit soll Gefahren oder Bedrohungen verhindern, wirtschaftliche Verluste vermeiden und Risiken minimieren. Die drei Grundprinzipien zur Erhöhung der Verfügbarkeit technischer Systeme sind Redundanz, Modularität und Skalierbarkeit. Geeignete Maßnahmen finden sich beispielsweise in den international gültigen Normen ISO/IEC-27000-Reihe. In Deutschland ist der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Norm für Informationssicherheit. Eine wichtige Komponente ist die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). ISMS ist ein wichtiger Bestandteil eines umfassenden IT-Sicherheitskonzepts (SiKu). Informationssicherheit, IT-Sicherheit oder IT-Security ist die Obhut von IT-Systemen vor Schäden und Bedrohungen. Primär geht es um die Ausfallsicherheit. Die notwendige Obhut beginnt bei einer einzelnen Datei über die IT-Infrastruktur (Computer, Netzwerke, Cloud-Dienste) bis hin zu Rechenzentren (RZ).

 

Informationssicherheit stellt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher

Stellen Sie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicher. Diese Schutzziele sind die wichtigsten Punkte der Informationssicherheit. Nicht jedes Schutzziel ist für jede Art von Information gleich wichtig. Beispielsweise spielt die Vertraulichkeit bei Informationen, die ohnehin öffentlich zu lesen sind (Website) keine große Rolle. Für Informationssysteme ist die Verfügbarkeit von entscheidender Bedeutung, hier bedeutet jede Minute Ausfallzeit einen empfindlichen Arbeitsausfall. Die Vollständigkeit, d.h. die Richtigkeit der Informationen, ist für jedes System und jede Abteilung sehr wichtig.

Die drei Ziele der Informationssicherheit sind

  • Integrität: Ein System muss die Korrektheit der Daten sicherstellen, Verhinderung vor unberechtigter Veränderung.
  • Verfügbarkeit: Ein System muss funktionieren.
  • Vertraulichkeit: Nur berechtigten Personen dürfen Zugriff auf bestimmte Informationen haben, unberechtigte Personen dürfen keinen Zugriff haben.


Weitere (mögliche) Ziele sind Rechtsverbindlichkeit, Anonymität, Authentisierung, Nicht-Zurückweisung, Pseudonymität, Abrechenbarkeit, und Unbeobachtbarkeit. Informationssicherheit bewahrt Daten vor Gefahren wie unbefugtem Zugriff oder Manipulation. Im Unternehmensumfeld werden durch die Datensicherheit wirtschaftliche Schäden verhindert. Informationen liegen in unterschiedlichen Formen vor und sind auf unterschiedlichen Systemen gespeichert. Informationen sind nicht auf digitale Daten beschränkt. Das Speicher- oder Aufzeichnungssystem muss nicht unbedingt eine IT-Komponente sein. Es kann ein technisches oder ein nichttechnisches System sein. Ziel ist es, Gefahren und Bedrohungen sowie wirtschaftliche Verluste zu vermeiden. In der Praxis basiert die Informationssicherheit auf dem IT-Sicherheitsmanagement und der international gültigen ISO / IEC 27000-Standardreihe. In Deutschland regelt IT-Grundschutz des BSI viele Aspekte sicherer Datenverarbeitung und Informationstechnik (IT). (Informations-) Sicherheitsmanagement bezieht sich auf die Planungs- und Kontrollaufgaben, die zur Einrichtung der Informationssicherheit erforderlich sind, um einen gut durchdachten effektiven Prozess einzurichten und kontinuierlich umzusetzen. Das Sicherheitsmanagement muss in die vorhandene Managementstruktur einer jeden Organisation eingebettet sein.

 

Ziele der Informationssicherheit - Compliance, Obhut der Daten und Datenschutz

Informationen liegen in unterschiedlicher Form auf verschiedenen Systemen vor, sie sind nicht wie bei der IT-Sicherheit auf digitale Daten und auf IT-Komponenten beschränkt. Informationen können auf IT-Systemen gespeichert sein, in Papierform vorliegen oder mündlich weitergegeben werden. Informationen sind unterschiedlichen Risiken und Bedrohungen ausgesetzt. Das Ziel der Informationssicherheit ist die Sicherheit von Informationen, Informationen und IT-Systemen, der Schutz vor Gefahren, Risiken, Bedrohungen und wirtschaftlichen Schäden. Sie orientiert sich am IT-Sicherheitsmanagement, an den international gültigen ISO/IEC-27000-Normreihen und in Deutschland am IT-Grundschutz des BSI. Im Mittelpunkt der Informationssicherheit stehen digitale Daten, Computer, Netzwerke und Datenträger. Zur Sicherheit von Informationen gehören im IT-Umfeld die IT-Sicherheit, die Netzwerksicherheit, die Computersicherheit oder der Datenschutz. Zur Sicherung der Informationstechnologie (IT) werden Risiken, Gefahren und Schutzmaßnahmen für den sicheren Betrieb (Betriebssicherheit) und zur Schadenverhütung erarbeitet. Sach- und Betriebsunterbrechungsschäden müssen vermieden oder ihre Auswirkungen begrenzt werden.

 

Integrität der Informationen

Integritä ist eines der Schutzziele der Informationssicherheit und bedeutet, dass Informationen nicht unerkannt oder unbemerkt geändert werden dürfen oder können. Datenänderungen müssen nachvollziehbar sein. Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) beschreibt Integrität als die Richtigkeit der Daten (Korrektheit, Unversehrtheit) und die korrekte Funktionsweise des Systems. Bei Vertraulichkeit geht es um die Berechtigung. „Shared User Accounts“ sind ein Beispiel für eine nicht existierende Integrität von Datenbeständen. Wenn mehrere Personen dieselben Benutzerkonten (digitale Identität) nutzen, um auf Datenbanken zuzugreifen, lässt sich nicht nachvollziehen, welche Person die Änderungen durchgeführt hat. Möglicherweise kann so sämtlichen Informationen nicht mehr getraut werden.

  • Korrekter Inhalt: Diese Integritätsart liegt vor, wenn Fakten aus der realen Welt korrekt abgebildet werden. Dies soll beispielsweise durch Integritätsbedingungen sichergestellt werden.
  • Unmodifizierter Zustand: Diese Integritätsart besteht, wenn die Nachricht unverändert zugestellt wird und das Programm und der Prozess wie erwartet ausgeführt werden.
  • Modifikationserkennung: Diese Integritätsart liegt vor, wenn unerwünschte Änderungen festgestellt werden, die unvermeidbar sind.
  • Temporale Korrektheit: Diese Integritätsart liegt vor, wenn Nachrichten ausgetauscht werden und relevante Zeitbedingungen (wie Sequenz oder maximale Verzögerungszeit) eingehalten werden.

 

Vertraulichkeit der Daten sichern

Daten dürfen nur von Personen verändert oder eingesehen werden, die dazu berechtigt sind. Das bedeutet Vertraulichkeit. Es ist festzulegen, wer, wann, wo, in welcher Art und Weise Zugriff auf Informationen hat. Bei der Übertragung von Daten dürfen diese keinesfalls von unautorisierten Personen verändert oder gelesen werden können. Sensible Informationen müssen bei einer Übertragung verschlüsselt werden. Im E-Mail-Verkehr eines Betriebes befinden sich überwiegend Informationen, die vertraulich zu behandeln sind. Der E-Mail-Verkehr sollte verschlüsselt sein, zumindest die Anhänge. Die Vertraulichkeit ist ansonsten ungesichert. Räumlichkeiten, in denen vertrauliche Daten verarbeitet, einsehbar oder gelagert werden, müssen entsprechend gesichert sein. Dazu zählen zumindest der Serverraum, Geschäftsführung und die Buchhaltung. In frei zugänglichen Räumen ist die Vertraulichkeit der Informationen gleich Null.

 

Langfristige Verfügbarkeit und Stabilität der IT

Verfügbarkeit bedeutet, dass ein System funktioniert. Das Risiko von Systemausfällen ist zu minimieren. Die Verfügbarkeit technischer Systeme der Informationstechnologie (IT) wie Server, Storages und Switches ist ein wichtiges Bewertungskriterium. IT-Systeme müssen die Anforderungen verlässlich erfüllen. Vorbeugende Wartung vermindert das Ausfallrisiko und sichert die langfristige Erreichbarkeit und Stabilität der Server, Datenspeicher, Datenverteiler, Systeme, Anlagen und Komponenten. Kennzahlen der Verfügbarkeit sind die maximale Dauer eines einzelnen Ausfalls, (jährliche durchschnittliche Ausfallzeit), Zuverlässigkeit (die Fähigkeit, unter bestimmten Bedingungen innerhalb einer bestimmten Zeit korrekt zu arbeiten), Ausfallsicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit, Reaktionszeit (wie lange das System benötigt, um eine bestimmte Operation auszuführen), Mittlere Reparaturzeit (MTTR, mittlere Wiederherstellungszeit nach einem Ausfall), Mittlere Betriebszeit zwischen zwei Ausfällen (MTBF, die durchschnittliche Arbeitszeit zwischen zwei Fehlern ohne Reparaturzeit), Mittlere Ausfallzeit (MTTF, siehe MTBF, wird jedoch für ersetzte Systeme / Komponenten verwendet). Die Zuverlässigkeit der zentralen IT-Infrastruktur muss möglichst hoch sein. Ein vollständiger Überblick der im Unternehmen vorhandenen Systeme und Informationen hilft bei der Analyse, welche Systeme und Daten für reibungslose Arbeitsabläufe im Betrieb unbedingt notwendig sind und somit stets verfügbar sein müssen. Diese sind gegen Ausfälle zu schützen. Empfehlenswert ist eine Risikoanalyse, die jeweils die Ausfallwahrscheinlichkeit, tolerierbare Ausfallzeit und das Schadenspotenzial eines jeden Systems, der Hardware, Software, Dienste, Anwendungen und Datenbanken beschreibt. Daraus ergibt sich eine Prioritätenliste für das angestrebte Sicherheitsniveau.

 

Schutzmaßnahmen. Aufgaben und Service für die Sicherheit der Informationen

Alle physischen Schutzmaßnahmen dienen dazu, das System von der Gefahrenquelle zu isolieren (abzuschotten):

  • mechanische Einwirkung
  • technische Defekte / Mängel (Wassereintritt, Feuer)
  • Schadstoffe (Staub, Aerosol)
  • elektromagnetische Effekte (Blitzeinschläge)
  • gasförmige, korrosive oder ätzende Luftbelastung

In Rechenzentren wird die Isolierung (Abschottung) normalerweise durch IT-Sicherheitsräume (Serverräume) erreicht, in den meisten Fällen für Feintechnik (aktive Komponenten, Server), aber auch für Grobtechnik / Infrastruktur (Klimaanlage, Stromverteilung). Es gibt mehrere Gründe für die Trennung zwischen Feintechnik und Grobtechnik: Grobtechnische Systeme emittieren normalerweise Interferenzstrahlung, was sich auf die Feintechnik auswirkt. Der USV-Akku erzeugt im Brandfall extrem hohe Temperaturen und ätzendes Gas (Kurzschluss des Akkus). Für die routinemäßige Wartung grobtechnischer Systeme muss der Serverraum nicht betreten werden. Neben der Verhinderung des Eindringens von Wasser und Staub muss der Qualität der zirkulierenden Luft große Aufmerksamkeit gewidmet werden. Hier gilt für Rechenzentren unter anderem die DIN EN ISO 14644-1 Reinraumklasse 8.

 

Ist Ihr Unternehmen durch Security ausreichend geschützt?

Um dies festzustellen, müssen Sie den Grad der IT-Sicherheit (Sicherheitsniveau) in Ihrem Unternehmen bestimmen. Eine gute Basis ist eine Risikoanalyse. Experten helfen Ihnen dabei. Online-Checks wie die der Initiative „Deutschland sicher im Netz“ sind für einen ersten Überblick hilfreich. Dies gibt Ihnen auch erste Empfehlungen, wie Sie die Informationssicherheit optimieren können. Weitere Informationen sind dem DsiN-Sicherheitscheck von Deutschland sicher im Netz e.V. zuentnehmen.

 

Führen Sie eine Risikoanalyse durch

Mithilfe einer Risikoanalyse können Sie die Risiken für Ihre IT-Systeme, -Anwendungen und -Daten systematisch identifizieren und bewerten. Sie können Schwachstellen in Prozessen, Methoden, Technologien oder der menschlichen Natur identifizieren. Untersuchen Sie die Bereiche Ihres Betriebes, die mit der IT zutun haben und vor ihr abhängig sind. Das betrifft u.a. Ihre Geschäftsmodell und -ziele, Werte, IT-Systeme, Informationen und Wissen.

 

ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 

Bisher wurden Informationssicherheit und Datenschutz mit geringen Überschneidungen getrennt betrachtet. Aufgrund des technologischen Fortschritts und der Digitalisierung von Unternehmensdaten sowie der höheren Anforderungen an Betriebssicherheit und Datenschutz müssen diese beiden Bereiche gemeinsam behandelt werden. Die von der EU festgelegten gesetzlichen Anforderungen an den Datenschutz (Datenschutz-Grundverordnung, DSGVO) müssen ab dem 25. Mai 2018 umgesetzt werden. Maßnahmen eines Managementsystems für Informationssicherheit muss insbesondere Datenschutz gewährleisten. Aus ISMS wird ISDSM.


Stichpunkte
Datenschutz, Backup, Datensicherheit, Datensicherung, IT-Sicherheit, Internet, Intranet, Kommunikationssicherheit, Computerkriminalität, Informationsschutz, IT-Grundschutz, Compliance, Informationstechnik, Management, Maßnahmen, Security, Service.

Spezielle Lösungen
Backup, VPN, Firewall, UTM, Virenschutz, RAID-System, Visualisierung, Serverschrank, Serverraum, Klimaanlage, Sicherheit Wasser, Brand, Staub, Einbruch, Diebstahl, Vandalismus, Verschlüsselung, AD, Benutzerverwaltung, Zugriffsverwaltung, Gruppenrichtlinien, Mitarbeitersensibilisierung, Updates, Patches und tausend andere Dinge.

Daten sind ein wertvolles Gut.

 

Anregungen für mehr Informationssicherheit

DIHK, IHKs und die Deutschland sicher im Netz (DsiN) organisierten eine Reihe von Seminaren unter der Überschrift "IT-Sicherheit @ Mittelstand", um vorzustellen, wie sich Unternehmen vor Cyberangriffen schützen können. Alle Termine finden Sie hier. 

Die Allianz für Cyber-Sicherheit ist vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien gemeinsam gegründet wurden.

Einen praktischen Leitfaden zum Thema Informationssicherheit können Sie im DIHK-Verlag bestellen. Die Veröffentlichung "Datensicherheit - kurz und knapp" bietet spezifische Anregungen, Ratschläge und Techniken, um die schwerwiegendsten Fallstricke zu vermeiden, sowie nützliche Links und Vorlagen für Notfallpläne, für den Fall, dass Schäden eintreten.

 

Tags: Verfügbarkeit, IT-Grundschutz, Zuverlässigkeit, Informationssicherheit