Informationssicherheit

Informationssicherheit:
IT-Sicherheit, Maßnahmen zum Schutz der Daten und Informationen

Ist Ihr Unternehmen mit Security ausreichend geschützt? Informationssicherheit zielt darauf ab, die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Dies dient dem Datenschutz und sichert IT-Technik und Informationen gegen Gefahren wie unbefugtem Zugriff oder Manipulation und vermeidet wirtschaftliche Verluste im Unternehmensumfeld. Daten sind ein wertvolles Gut. Der kommerzielle Wert von Informationen war noch nie so hoch wie heutzutage. Der Verlust von Geschäftsgeheimnissen oder Rechten an geistigem Eigentum wirkt sich auf zukünftige Innovationen und die Rentabilität aus.

Informations-Sicherheit sinnvoll gestalten: Sie ist genauso wie Datensicherheit die Praxis, digitale Informationen und deren Informationssysteme während ihres gesamten Lebenszyklus vor unerlaubtem Zugriff, Beschädigung, Korruption oder Diebstahl zu schützen. Dieses Konzept deckt alle Aspekte des IT-Grundschutzes ab, von der physischen IT-Sicherheit von Hardware und Speichergeräten über die Verwaltung und Zugriffskontrolle bis hin zur logischen IT-Sicherheit von Software (Anwendungen). Es enthält auch organisatorische Richtlinien und Verfahren.

Unabhängig davon, ob es sich bei Ihren Datensammlungen um lokale Dateien, ein Rechenzentrum oder eine öffentliche Cloud handelt, haben Sie sicherzustellen, dass die Einrichtung gegen Eindringlingen geschützt ist und geeignete Schutzmaßnahmen zur Brandbekämpfung und Klimatisierung ergriffen hat (Physische Informationssicherheit). Erfahren Sie auf unserer Website mehr:

 

  1. Informationssicherheit:
    IT-Sicherheit, Maßnahmen zum Schutz der Daten und Informationen
    1. Was ist Informationssicherheit? Definition, Maßnahmen, best practices
    2. Sicherheitsziele der Abschirmung der IT-Systeme gegen Gefährdungen
    3. IT-Sicherheit stellt die Schutz-Ziele von Informationen sicher
      1. Ziele: Compliance und Obhut der Daten
      2. Compliance und ihre Mission für das Unternehmen
      3. Schutzziele der Informations-Sicherheit
      4. Korrektheit der Informationen
      5. Anforderungen: Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK
    4. Schutzmaßnahmen: Aufgaben und Service zum Thema IT-Sicherheit
      1. Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung
      2. Schutz, Sicherheit und Definition Kritische Infrastrukturen (KRITIS)
      3. Übersicht über Schwachstellen: Führen Sie eine Risikoanalyse aus
      4. Top-Themen Mitarbeitersensibilisierung und Awareness
      5. Definition, Themen, Zertifizierung
    5. Ist Ihr Unternehmen mit Security ausreichend geschützt?
      1. ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 
        1. Information Security Management System zur technischen Umsetzung
        2. Datenschutz Management
        3. Backup / Datensicherung
        4. Service zur Informationssicherheit
        5. Kommunikationssicherheit
        6. Informationsschutz
        7. Internet und Intranet
        8. Computerkriminalität und Ransomware - Vorsicht vor Erpresser
        9. IT-Grundschutz
        10. Informationstechnologie (IT)
        11. Verschlüsselung
        12. Backup / Datensicherung / Sicherungskopie
        13. Anwendungssicherheit, Updates und Patches
        14. Datenlöschung / Datenvernichtung
        15. Resilience / Resilienz / Ausfallsicherheit und robuste Systeme
        16. Datenmaskierung
        17. Informationssicherheitsbeauftragter, IT-Grundschutz-Berater
      2. Anregungen zum Sicherstellen der Informationssicherheit
    6. Sicherheitskonzept: Aktive Security für Ihre Informationstechnik

 

Was ist Informationssicherheit? Definition, Maßnahmen, best practices

Informationssicherheit dient insbesondere in Behörden und Unternehmen als Schutzschild gegen Gefahren, Bedrohungen, Risiken und der Vermeidung von wirtschaftlichen Verlusten. Informationsverarbeitende Systeme haben gemäß ISO 27001 die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherzustellen. Die unberechtigte Nutzung von Ressourcen ist zu erschweren und möglichst zu erkennen. Bei korrekter Implementierung schützt eine robuste Informationssicherheitsstrategie nicht nur die Informationsressourcen des Unternehmens vor Cyberkriminalität, sondern schließt auch Insider-Bedrohungen und menschliches Versagen aus.

Die IT-Sicherheit umfasst die Bereitstellung von Tools und Techniken, mit denen Unternehmen besser verstehen, wo sich kritische Inhalte befinden und wie sie verwendet werden. Zur IT-Sicherheit gehören die personelle und physische Sicherheit. Sie umfasst den gesamten Bereich der Informationsverarbeitung, inklusive Speicherung und Übertragung von Informationen und Programmen. Informationen beschränken sich keinesfalls auf die elektronische Form und existieren auf Festplatten, USB-Sticks, DVD und auf Papier. Datenträger, Computer und Netzwerke sind die wichtigsten Werkzeuge zum Speichern, Verarbeiten und Übertragen von Informationssammlungen. Sie stellen jedoch nur die Tools dar, sodass Begriffe wie IT-Sicherheit, Computer-Ssicherheit, Cyber Security, Netzwerksicherheit nur die verschiedenen Bereiche beschreiben. Informationssicherheit ist der umfassende und korrekte Begriff.

Informationssicherheit Datensicherheit

Informationen sind Sicherheitsrisiken ausgesetzt. Die Gefahren gefährden die Existenz von Betrieben. Informationssammlungen sind wesentliche Werte für Unternehmen, unabhängig von Branche oder Größe. Die Security von IT-Systemen und -Daten ist eine Herausforderung für alle Organisationen. Investitionen in IT-Sicherheit und IT-Grundschutz lohnen sich und mit dem nötigen Wissen ist ein angemessenes Sicherheitsniveau erreicht. Im Notfall ist dies ein entscheidender Wettbewerbsvorteil.

 

Sicherheitsziele der Abschirmung der IT-Systeme gegen Gefährdungen

Informationssicherheit beschreibt die Attribute informationstechnischer Systeme (IT-Systeme) oder elektronischer Datenverarbeitung (elektronische datenverarbeitende Systeme, EDV), um die Schutz-Ziele sicherzustellen. IT-Sicherheit soll Gefahren oder Bedrohungen verhindern, wirtschaftliche Verluste vermeiden und Gefahren minimieren. Die drei Grundprinzipien zur Erhöhung der Erreichbarkeit und Zuverlässigkeit sind Redundanz, Modularität und Skalierbarkeit.

Geeignete Mittel zur IT-Sicherheit finden sich beispielsweise in den international gültigen Normen ISO/IEC-27000-Reihe. Der IT-Grundschutz vom Bundesamt für Sicherheit ist in der Informationstechnik (BSI) die Norm für Informations-Sicherheit. Eine wichtige Komponente ist die Einrichtung des Informationssicherheits-Managementsystems (ISMS), es ist ein wichtiger Bestandteil des umfassenden IT-Sicherheitskonzepts (SiKu). IT-Sicherheit oder IT-Security ist die Obhut von IT-Systemen gegen Bedrohungen. Primär geht es um die Ausfallsicherheit. Die notwendige Obhut beginnt bei einer einzelnen Datei über die IT-Infrastruktur (Computer, Netzwerke, Cloud-Dienste) bis hin zu Rechenzentren (RZ).

 

IT-Sicherheit stellt die Schutz-Ziele von Informationen sicher

Stellen Sie Schutzziele von Informationen sicher, sie sind die wichtigsten Punkte. Jedes Schutzziel ist für jede Art von Information individuell wichtig. Beispielsweise spielt die Vertraulichkeit bei Informationen, die ohnehin öffentlich zu lesen sind (Website) keine große Rolle. Für Informationssysteme ist die Zuverlässigkeit von entscheidender Bedeutung, hier gilt: Jede Minute Ausfallzeit heißt einen empfindlichen Arbeitsausfall. Die Vollständigkeit, d.h. die Richtigkeit der Informationen, ist für alle Organisationen, Mitarbeiter und Abteilungen sehr wichtig.

Die drei Ziele der Informationssicherheit sind

  • Integrität: Ein System hat die Korrektheit der Daten sicherzustellen, Verhinderung vor unberechtigter Veränderung.
  • Verfügbarkeit: Eine Anlage hat zu funktionieren.
  • Vertraulichkeit: Nur berechtigten Personen dürfen Zugang auf bestimmte Informationen haben, unberechtigte Personen haben keinen Zugang und Zugriff.

Weitere (mögliche) Ziele sind Rechtsverbindlichkeit, Anonymität, Authentisierung, Nicht-Zurückweisung, Pseudonymität, Abrechenbarkeit, und Unbeobachtbarkeit. IT-Sicherheit bewahrt Datensammlungen vor Gefährdungen wie unbefugtem Zugriff oder Manipulation. Im Unternehmensumfeld werden mit der IT-Sicherheit wirtschaftliche Verluste verhindert. Informationen gibt es in unterschiedlichen Formen und sind auf unterschiedlichen Systemen gespeichert. Informationen sind keineswegs auf digitale Datensammlungen beschränkt. Das Speicher- oder Aufzeichnungssystem ist keineswegs unbedingt eine IT-Komponente. Es ist ein technisches oder ein nichttechnisches System.

Ziel ist es, Bedrohungen sowie wirtschaftliche Verluste zu vermeiden. In der Praxis basiert die Sicherheit auf dem Informationssicherheitsmanagement und der international gültigen ISO / IEC 27000-Standardreihe. Der IT-Grundschutz des BSI regelt viele Aspekte sicherer Datenverarbeitung und Informationstechnologie (IT). (Informations-) Sicherheitsmanagement bezieht sich auf die Planungs- und Kontrollaufgaben, die zur Einrichtung der IT-Sicherheit erforderlich sind, um einen gut durchdachten effektiven Prozess einzurichten und kontinuierlich umzusetzen. Das Sicherheitsmanagement ist in die vorhandene Managementstruktur einzubetten.

 

Ziele: Compliance und Obhut der Daten

Informationen existieren in unterschiedlicher Form auf verschiedenen Systemen, sie sind keinesfalls auf Daten und auf IT-Komponenten beschränkt. Informationen sind auf IT-Systemen gespeichert, liegen in Papierform vor oder werden mündlich weitergegeben. Informationen sind unterschiedlichen Bedrohungen ausgesetzt. Das Top-Ziel der IT-Sicherheit ist die Sicherheit von Informationen und IT-Systemen, das Beschützen gegen Bedrohungen und wirtschaftlichen Verlusten. Sie orientiert sich am IT-Sicherheitsmanagement, an den international gültigen ISO/IEC-27000-Normreihen und am IT-Grundschutz des BSI.

Im Mittelpunkt der IT-Sicherheit stehen Daten, Computer, Netzwerke und Datenträger. Zur Sicherheit von Informationen gehören im IT-Umfeld die Informations- und Datensicherheit, die Netzwerksicherheit, Cybersecurity oder die Computersicherheit. Zur Sicherung der Informationstechnologie (IT) werden Gefährdungen und Schutzmaßnahmen für den sicheren Betrieb (Betriebssicherheit) und zur Schadenverhütung erarbeitet. Sach- und Betriebsunterbrechungsschäden sind zu vermeiden oder ihre Auswirkungen zu begrenzen.

 

Compliance und ihre Mission für das Unternehmen

Im juristischen Bereich gehört Compliance zu den Top-Themen und bezeichnet laut Definition die Einhaltung aller gesetzlichen Vorschriften und interner Richtlinien des Unternehmens und seine Mitarbeiter. Die Informationssicherheit hat die Informationen des Unternehmens gemäß den geltenden Vorschriften abzusichern. Daher ist Compliance auch ein wichtiger Bestandteil der IT-Governance, denn die Einhaltung von Normen ist dort das steuernde Element.

 

Schutzziele der Informations-Sicherheit

Im Bereich Informationssicherheit wird der Zustand von Informationen und Systemen zur Erreichung verschiedener Schutzziele beschrieben. Die Verletzung eines Schutzziels weist auf die Art und Weise hin, wie Daten abgefangen, manipuliert oder gesperrt werden. Um Angriffsarten besser beschreiben zu können, werden sie in die Kategorien Authentizität, Integrität, Vertraulichkeit, Verfügbarkeit und Verbindlichkeit eingeteilt. Schutz-Ziele der Informations- und Datensicherheit, auch CIA-Schutzziele genannt, sind ein wichtiges Thema: Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Schutzziele legen das Mindestsicherheitsniveau fest, das unterschiedliche Mittel für eine bestimmte Gefahrenkategorie zu erreichen haben. Sie sind so zu formulieren, dass sie den gewünschten Endzustand der IT-Sicherheit darstellen.

 

Korrektheit der Informationen

Integrität ist eines der Schutzziele und Themen und bedeutet, dass Informationen keinesfalls unerkannt oder unbemerkt geändert werden. Datenänderungen müssen nachvollziehbar sein. Das BSI beschreibt Integrität als die Richtigkeit der Daten (Korrektheit, Unversehrtheit) und die korrekte Funktionsweise des Systems. Es geht es um die Berechtigung. „Shared User Accounts“ sind ein Beispiel für eine nicht existierende Integrität von Datenbeständen. Wenn mehrere Personen dieselben Benutzerkonten (Identität) nutzen, um auf Datenbanken zuzugreifen, lässt sich nicht nachvollziehen, welche Person die Änderungen durchgeführt hat. Möglicherweise ist so sämtlichen Informationen nicht mehr zu trauen und IT-Grundschutz nicht mehr gegeben.

  • Korrekter Inhalt: Die Integritätsart ist vorhanden, wenn Fakten aus der realen Welt korrekt abgebildet werden. Dies soll beispielsweise mittels Integritätsbedingungen sichergestellt werden.
  • Unmodifizierter Zustand: Die Integritätsart der besteht, wenn die Nachricht unverändert zugestellt ist und das Programm und der Prozess wie erwartet ausgeführt werden.
  • Modifikationserkennung: Die Integritätsart der ist vorhanden, wenn unerwünschte Änderungen festgestellt werden, die unvermeidbar sind.
  • Temporale Korrektheit: Die Integritätsart gilt, wenn Nachrichten ausgetauscht werden und relevante Zeitbedingungen (wie Sequenz oder maximale Verzögerungszeit) eingehalten werden.

Daten dürfen nur von Personen verändert oder eingesehen werden, die dazu berechtigt sind. Es ist zum Thema IT-Sicherheit festzulegen, wer, wann, wo, in welcher Weise Zugriff auf Informationen hat. Bei der Übertragung von Datensammlungen dürfen diese keinesfalls von unautorisierten Personen verändert oder gelesen werden. Sensible Informationen sind bei der Übertragung zu verschlüsseln.

Im E-Mail-Verkehr des Betriebes befinden sich überwiegend Informationen, die vertraulich zu behandeln sind. Der E-Mail-Verkehr hat gemäß IT-Grundschutz verschlüsselt zu erfolgen, zumindest die Anhänge. Die Vertraulichkeit ist ansonsten ungesichert. Räumlichkeiten, in denen vertrauliche Daten verarbeitet, einsehbar oder gelagert werden, sind gemäß Informationssicherheit entsprechend zu sichern. Dazu zählen zumindest der Serverraum, Geschäftsführung und die Buchhaltung. In frei zugänglichen Räumen ist die Vertraulichkeit der Informationen gleich Null. Das Bewusstsein der Verbraucher der Rolle des Datenschutzes nimmt zu. Als Reaktion auf die wachsende öffentliche Nachfrage nach Datenschutzmaßnahmen wurden einige neue Datenschutzbestimmungen erlassen, darunter die Europäische Datenschutzverordnung (DSGVO).

 

Anforderungen: Langfristige Zuverlässigkeit, Resilience und Stabilität der ITK

Zuverlässigkeit gemäß BSI IT-Grundschutz bedeutet, dass ein EDV-System funktioniert. Das Risiko von Systemausfällen ist zu minimieren. Die Zuverlässigkeit technischer Anlagen der Informationstechnologie wie Server, Storages und Switches ist ein wichtiges Bewertungskriterium. IT-Systeme haben die Anforderungen der Informationssicherheit verlässlich zu erfüllen. Vorbeugende Wartung vermindert das Ausfallrisiko und sichert die langfristige Erreichbarkeit und Stabilität der Server, Datenspeicher, Datenverteiler, Anlagen und Komponenten.

Kennzahlen der IT-Sicherheit und Zuverlässigkeit sind die maximale Dauer eines einzelnen Ausfalls, (jährliche durchschnittliche Ausfallzeit), Zuverlässigkeit (die Fähigkeit, unter bestimmten Bedingungen innerhalb einer bestimmten Zeit korrekt zu arbeiten), Ausfallsicherer Betrieb (Robustheit gegen Fehlbedienung, Sabotage und höhere Gewalt), System- und Datenintegrität, Wartbarkeit, Reaktionszeit (wie lange das System benötigt, um eine bestimmte Operation auszuführen), Mittlere Reparaturzeit (MTTR, mittlere Wiederherstellungszeit nach einem Ausfall), Mittlere Betriebszeit zwischen zwei Ausfällen (MTBF, die durchschnittliche Arbeitszeit zwischen zwei Fehlern ohne Reparaturzeit), Mittlere Ausfallzeit (MTTF, siehe MTBF, wird jedoch für ersetzte Anlagen / Komponenten verwendet).

Die Zuverlässigkeit und der BSI IT-Grundschutz der zentralen IT-Infrastruktur ist möglichst hoch zu halten. Ein vollständiger Überblick der im Unternehmen vorhandenen Anlagen und Informationen hilft bei der Analyse, welche Anlagen und Dateien für reibungslose Arbeitsabläufe im Betrieb unbedingt notwendig sind und somit stets verfügbar sein müssen. Sie sind gegen Ausfälle zu bewahren. Empfehlenswert ist eine Risikoanalyse, die jeweils die Ausfallwahrscheinlichkeit, tolerierbare Ausfallzeit und das Schadenspotenzial des Systems, der Hardware, Software, Dienste, Anwendungen und Datenbanken beschreibt. Daraus ergibt sich eine Prioritätenliste für das angestrebte Informationssicherheitsniveau.

 

Schutzmaßnahmen: Aufgaben und Service zum Thema IT-Sicherheit

Alle physischen Schutzmaßnahmen dienen dazu, das EDV-System von der Gefahrenquelle zu isolieren (abzuschotten):

  • mechanische Einwirkung
  • technische Defekte / Mängel (Wassereintritt, Feuer)
  • Schadstoffe (Staub, Aerosol)
  • elektromagnetische Effekte (Blitzeinschläge)
  • gasförmige, korrosive oder ätzende Luftbelastung

In Rechenzentren ist die Isolierung (Abschottung) von Gefährdungen in Bezug auf Informationssicherheit normalerweise mit IT-Sicherheitsräumen (Serverräume) erreicht, in den meisten Fällen für Feintechnik (aktive Komponenten, Server), aber auch für Grobtechnik / Infrastruktur (Klimaanlage, Stromverteilung). Es gibt bezüglich IT-Grundschutz des BSI mehrere Gründe der Trennung zwischen Feintechnik und Grobtechnik: Grobtechnische Maschinen oder Anlagen emittieren normalerweise Interferenzstrahlung, was sich auf die Feintechnik auswirkt. Der USV-Akku erzeugt im Brandfall extrem hohe Temperaturen und ätzendes Gas (Kurzschluss des Akkus). Die routinemäßige Wartung grobtechnischer Anlagen erfordert kein Betreten des Serverraums. Neben der Verhinderung des Eindringens von Wasser und Staub ist der Qualität der zirkulierenden Luft große Aufmerksamkeit zu widmen. Hier gilt für Rechenzentren unter anderem die DIN EN ISO 14644-1 Reinraumklasse 8.

 

Die Themen der DSGVO, ISMS und ISO 27701 & 27001 Standards und Zertifizierung

ISO 27701 wurde im August 2019 als „Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines” veröffentlicht.. ISO 27701 ist eine Erweiterung der Standards ISO 27001 und ISO 27002 und beinhaltet Datenschutzaspekte. Das Informationssicherheits-Managementsystem (ISMS) bleibt das Herzstück der Zertifizierung. DSGVO und ISO 27001 sind zwei wichtige Compliance-Standards. Beide wurden entwickelt, um die IT-Sicherheit der IT-Technik und Infrastrukturen zu verbessern und das Risiko von Schwachstellen und Datenlecks zu verringern.

 

Schutz, Sicherheit und Definition Kritische Infrastrukturen (KRITIS)

Die Kritische Infrastruktur ist laut Definition eine Organisation und Einrichtung, die für die staatliche Gemeinschaft sehr wichtig ist. Das Versagen, der Ausfall oder die Verschlechterung von KRITIS führt zu dauerhaften Lieferengpässen, erheblichen Schäden für die öffentliche Sicherheit oder anderen schwerwiegenden Auswirkungen. Hier ist der Anspruch besonders hoch und wichtig.

 

Übersicht über Schwachstellen: Führen Sie eine Risikoanalyse aus

Mithilfe einer Risikoanalyse identifizieren und bewerten Sie systematisch Risiken für Ihre IT-Systeme, -Anwendungen und -Daten. Sie erkennen Schwachstellen in Prozessen, Methoden, Technologien oder der menschlichen Natur. Untersuchen Sie die Bereiche Ihres Betriebes, die mit ITK zu tun haben und von ihr abhängig sind in Bezug auf Informationssicherheit. Das betrifft u.a. Ihre Geschäftsmodell und -ziele, Werte, IT-Systeme, Informationen und Wissen.

 

Top-Themen Mitarbeitersensibilisierung und Awareness

Mit Maßnahmen wie Schulung und Sensibilisierung der Mitarbeiter in Bezug auf Bewusstsein (Awareness) für die Wichtigkeit zum Thema Security und guter Sicherheitspraktiken und dem Umgang mit Passwörtern sowie das Erkennen von Social-Engineering-Angriffen werden Mitarbeiter zu "Mitarbeiter-Firewalls", die eine wichtige Rolle beim Absichern der Informationen spielen.

 

Definition, Themen, Zertifizierung

Link: Definition, Zertifizierung und Anerkennung der Themen mit der BSI Zertifizierung und Anerkennung durch das BSI

 

Ist Ihr Unternehmen mit Security ausreichend geschützt?

Ist Ihr Unternehmen mit Security ausreichend geschützt? Die digitale Transformation verändert alle Bereiche der heutigen Geschäftstätigkeit, des Wettbewerbs und der Informationssicherheit grundlegend. Die enorme Menge an Dateien, die von Unternehmen erstellt, verarbeitet und gespeichert werden, wächst weiter und die Nachfrage nach Datenmanagement nimmt zu. Darüber hinaus sind Computerumgebungen komplexer als zuvor und umfassen häufig öffentliche Clouds, Rechenzentren von Unternehmen und zahlreiche Edge-Geräte, die von IoT-Sensoren (Internet of Things) bis hin zu Robotern und Remote-Servern reichen.

Die Komplexität der Informationstechnik schafft eine erweiterte Angriffsfläche, die Überwachung und Beschützung erschwert. Um dies festzustellen, bestimmen Sie den Grad des Sicherheitsniveaus in Ihrem Unternehmen. Eine gute Basis ist eine Risikoanalyse. Experten helfen Ihnen dabei. Online-Checks wie die der Initiative „Deutschland sicher im Netz“ sind für einen ersten Überblick hilfreich. Dies gibt Ihnen auch erste Empfehlungen, wie Sie die Informationssicherheit optimieren und sinnvoll gestalten. Weitere Informationen sind dem DsiN-Sicherheitscheck von Deutschland sicher im Netz e.V. zu entnehmen.

 

ISDSM - integriertes Informationssicherheits- und Datenschutzmanagement 

Bisher wurden Informationssicherheit und Datenschutz mit geringen Überschneidungen getrennt betrachtet. Aufgrund des technologischen Fortschritts und der Digitalisierung von Unternehmensdaten sowie der höheren Anforderungen an Betriebssicherheit sind die beiden Bereiche gemeinsam zu behandeln. Die von der EU festgelegten gesetzlichen Anforderungen (Datenschutz-Grundverordnung, DSGVO) sind ab dem 25. Mai 2018 umzusetzen.

Ein Managementsystem für Security hat insbesondere Informationssicherheit und Datenschutzaspekte zu gewährleisten. ISMS ist nun ISDSM. Datensicherheitstools und -technologien sollten die zunehmend schwerwiegenden Herausforderungen bewältigen, die mit der Beschützung der heutigen komplexen, verteilten, hybriden und / oder Multi-Cloud-Computing-Umgebungen verbunden sind. Zur Informationssicherheit gehört das Verstehen, wo sich die Daten befinden, das Verfolgen, wer Zugang auf die Daten hat, und das Verhindern von Aktivitäten mit hohem Risiko und potenziell gefährlichen Dateibewegungen.

Umfassende Informationssicherheit- und Datenschutzlösungen ermöglichen es Unternehmen, einen zentralisierten Ansatz der Überwachung und Durchsetzung von Richtlinien zu verfolgen. Vertrauliche Informationen befinden sich in strukturierten und unstrukturierten Datenspeichern, einschließlich Datenbanken, Data Warehouses, Big Data-Plattformen und Cloud-Umgebungen. Datenidentifizierungs- und Klassifizierungslösungen automatisieren den Prozess der Identifizierung vertraulicher Informationen und am stärksten gefährdeten Datenquellen sowie der Bewertung und Korrektur von Schwachstellen (z. B. veraltete Software, falsche Konfigurationen oder schwache Kennwörter).

 

Information Security Management System zur technischen Umsetzung

Ein Information Security Management System (Informationssicherheitsmanagementsystem (ISMS)) sind Verfahren und Regeln, die innerhalb einer Organisation zur dauerhaften Definition, Kontrolle, Überwachung, Wartung und kontinuierlichen Verbesserung der Informationssicherheit festgelegt wurden. Dieser Begriff ist in der Norm ISO / IEC 27002 definiert und enthält Empfehlungen für verschiedene Kontrollmechanismen. Hier geht es um Security gegen Angriffe. ISO / IEC 27001 definiert ISMS. Der deutsche Teil der Normungsarbeiten wird von den IT-Sicherheitsverfahren nach DIN NIA-01-27 überwacht.

 

Datenschutz Management

Datenschutz ist ein Begriff, dessen Definition und Interpretation manchmal unterschiedlich sind. Unter verschiedenen Gesichtspunkten und gemäß Informationssicherheit ist unter Datenschutz die Verhinderung einer unsachgemäßen Datenverarbeitung, der Schutz des Rechts auf Selbstbestimmung von Informationen, der Persönlichkeitsrechte bei der Datenverarbeitung und der Privatsphäre verstanden. Aktuelle Datensicherheit ist ein Begriff, der oft mit Datenschutz in Verbindung steht. Das technische Hauptziel der Data Security ist es, alle Arten von Informationen vollständig gegen Verlust, Manipulation und anderen Gefährdungen abzusichern. Eine angemessene Data Security ist eine Voraussetzung für einen wirksamen Datenschutz.

 

Backup / Datensicherung

Backup (Datensicherung) dient dem Datenschutz und bezeichnet das Kopieren von Dateien mit dem Ziel, sie bei Datenverlust wieder zurückzukopieren. Daher ist die Datensicherung eine grundlegende Maßnahme der Informationssicherheit. Informationen, die redundant auf Speichermedien gespeichert sind, werden als Sicherungskopie verwendet. Das Wiederherstellen der Originaldaten aus einer Sicherungskopie ist die Datenwiederherstellung.

 

Service zur Informationssicherheit

Die Informationssicherheit spielt eine Schlüsselrolle bei der Sicherheit von ITK-Systemen. Die Aufgabe umfasst das Absichern der IKT-Systemen einer Organisation oder des Unternehmens gegen Gefährdungen. Dieser Service dient unter anderem der Vermeidung von wirtschaftlichen Verlusten.

 

Kommunikationssicherheit

Kommunikationssicherheit umfasst den Schutz der Kommunikationsverbindung zwischen zwei oder mehr Partnern. Wenn viele Teilnehmer im Rechnernetz zusammengefasst sind, ist jede Kommunikationsverbindung gegen externe Angriffe und Angriffe anderer Netzwerkteilnehmer zu schützen.

 

Informationsschutz

Informationsschutz ist der Sammelbegriff für alle Mittel als Schutzschild für Informationen vor Verlust, unerlaubtem Zugang, Manipulation und ungewolltem Abfluss. Die Mittel umfassen den gesamten Informationsfluss, nämlich die Erstellung, Verarbeitung, Übermittlung, Archivierung und Vernichtung

 

Internet und Intranet

Das Internet ist eine globale Kombination von Computernetzwerken und autonomen Systemen. Es ermöglicht die Nutzung von Internetdiensten wie WWW, E-Mail und vieles mehr. Jeder Computer ist mit jedem anderen Computer zu verbinden und muss in der Informationssicherheit berücksichtigt werden. Der Datenaustausch zwischen über das Internet verbundenen Computern erfolgt über das technisch standardisierte Internetprotokoll. Das Intranet (internes oder lokales Netz) ist ebenfalls ein Computernetzwerk. Im Vergleich zum Internet wird es unabhängig vom öffentlichen Netz verwendet und ist nicht öffentlich zugänglich.

 

Computerkriminalität und Ransomware - Vorsicht vor Erpresser

Denken Sie auch an Computerkriminalität. Cyberkriminalität bezieht sich auf jede Straftat, bei der ein Computer als Werkzeug oder kriminelles Ziel verwendet wird. Die Verwendung eines Computers ist Voraussetzung. Im Strafgesetzbuch gibt es relevante Paragraphen zur rechtlichen Bewertung individueller Tatmuster. Der Begriff Ransomware steht für Schadsoftware, die den Zugriff auf Daten und ITK-Systeme einschränkt oder verhindert.

 

IT-Grundschutz

Die Benutzung des Internets, Netzwerken, Arbeitsplätzen und Client / Server-Architekturen erhöht die Gefährdungen, denen die Informationstechnologie ausgesetzt ist. Unterschiedliche internationale Standards der Informationssicherheit ermöglichen es den Verantwortlichen, die mit dem Betrieb der Informationstechnologie verbundenen Risiken zu minimieren. Auf nationaler Ebene hat sich der von BSI entwickelte IT-Grundschutz für Informationssicherheit in öffentlichen Einrichtungen und Unternehmen etabliert.

 

Informationstechnologie (IT)

Die Informationstechnologie ist eine Technologie zum Sammeln, Übertragen, Verarbeiten und Speichern von Informationen mittels Computer und Telekommunikationsgeräte. Informationstechnologie ist der Oberbegriff der elektronischen Datenverarbeitung und die dafür eingesetzte Hard- und Software-Infrastruktur. Es gibt sehr unterschiedliche Maßnahmen zur Gewährleistung der Informationssicherheit. Als Beispiel dienen technische und organisatorische Maßnahmen (TOM).

Als Maßnahmen stellen sie verschiedene Arten von Kontrollen dar, die zu implementieren sind. Maßnahmen zur Verbesserung der Security sind daher unterschiedliche Kontrollmechanismen, die dazu dienen sollen, unbefugten Zugang zu verhindern und so das Kenntnisnahme, die Manipulation oder das Löschen von Informationen auszuschließen. Maßnahmen zur Verbesserung der Informationssicherheit sind: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsverbot.

Spezielle Lösungen: Backup, VPN, Firewall, UTM, Virenschutz, RAID-System, Visualisierung, Serverschrank, Serverraum, Klimaanlage, Wasser, Brand, Staub, Einbruch, Diebstahl, Vandalismus, Verschlüsselung, AD, Benutzerverwaltung, Zugriffsverwaltung, Gruppenrichtlinien, Mitarbeitersensibilisierung, Updates, Patches und tausend andere Dinge.

Daten sind ein wertvolles Gut.

 

Verschlüsselung

Die Verschlüsselung dient der Informationssicherheit und verwendet einen Algorithmus, um normale Textzeichen in ein unlesbares Format zu konvertieren, wodurch die Dateien verschlüsselt werden, sodass nur autorisierte Benutzer sie lesen. Datei- und Datenbankverschlüsselungslösungen maskieren ihren Inhalt mittels Verschlüsselung oder Tokenisierung und werden so zur letzten Verteidigungslinie für sensible und kritische Informationssysteme und Datenverarbeitung. Die meisten Lösungen enthalten auch Funktionen zum Verwalten von Sicherheitsschlüsseln.

 

Backup / Datensicherung / Sicherungskopie

Um die Verfügbarkeit aller kritischen Dateien zu gewährleisten, ist eine vollständig getestete Sicherungskopie eine Kernkomponente jeder zuverlässigen Informationssicherheitsstrategie. Darüber hinaus sollten alle Sicherungen denselben physischen und logischen Informationssicherheitskontrollen unterliegen, die zur Steuerung des Zugriffs auf die Hauptdatenbank und das IT-System verwendet werden.

 

Anwendungssicherheit, Updates und Patches

Nach der Veröffentlichung eines Sicherheitsupdates (Patch) oder einer neuen Version sollte die Software zum Thema Informationssicherheit so schnell wie möglich auf die neueste Version aktualisiert werden.

 

Datenlöschung / Datenvernichtung

Bei digitalen Speichermedien sind gelöschte Dateien gemäß Informationssicherheit zu überschreiben, sodass der ursprüngliche Inhalt der gelöschten Datei technisch keinesfalls zu rekonstruieren ist. In der Informationstechnologie ist dies auch als sicheres Löschen oder physisches Löschen bezeichnet. Das physische Löschen von Dateien ist sicherer als das Standardlöschen und verwendet Software, um die Dateien auf jedem Speichergerät vollständig zu überschreiben. Überprüfen Sie, ob gelöschte Dateien wiederherzustellen sind.

 

Resilience / Resilienz / Ausfallsicherheit und robuste Systeme

In der IT-Umgebung heißt Informationssicherheit, Ausfallsicherheit oder Resilience, dass das IT-System über leistungsstarke Funktionen verfügt und Ausfällen, Teilausfällen und anderen Problemen widersteht. Die Ausfallsicherheit hängt von der Fähigkeit des Rechenzentrums ab, Fehlern jeglicher Art standzuhalten oder diese schnellstmöglich zu reparieren, von Hardwareproblemen bis hin zu Stromausfällen und anderen zerstörerischen Ereignissen, die in Bezug auf Informationssicherheit zu beheben sind.

Resilience im IT-Umfeld beschreibt die Fähigkeit des IT-Systems, robust auf Ausfälle und Probleme (z. B. den Ausfall einer einzelnen Komponente) zu reagieren und den Nutzern weiterhin die erforderlichen Dienste bereitzustellen. Typische Maßnahmen zur Sicherstellung der Informationssicherheit, Ausfallsicherheit sind Redundanz, verteilte Systeme und Datensicherung. Cyber Resilience beschreibt insbesondere die Robustheit gegenüber Cyber-Angriffen. Cyber ​​Resilience ist ein umfassendes Konzept, es umfasst ebenfalls die Geschäftskontinuität und organisatorische Flexibilität.

 

Datenmaskierung

Mit dem Maskieren von Informationen versetzen Organisationen ihre Teams in die Lage, tatsächliche Infos zur Entwicklung von Anwendungen oder zur Schulung von Personal zu verwenden ohne die Informationssicherheit zu verletzen oder zu gefährden. Bei Bedarf werden personenbezogene Daten maskiert, damit die Entwicklung in einer kompatiblen Umgebung durchzuführen ist.

 

Informationssicherheitsbeauftragter, IT-Grundschutz-Berater

Denken Sie an regelmäßige Weiterbildungen zum Informationssicherheitsgesetz für den Informationssicherheitsbeauftragten.

 

Anregungen zum Sicherstellen der Informationssicherheit

DIHK, IHKs und Deutschland sicher im Netz (DsiN) organisierten eine Reihe von Seminaren unter der Überschrift "IT-Sicherheit @ Mittelstand", um vorzustellen, wie sich Unternehmen gegen Cyberangriffe beschützen. Alle Termine finden Sie hier. Die Allianz für Cyber-Sicherheit ist vom BSI und dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien gemeinsam gegründet wurden. Einen praktischen Leitfaden zum Thema Informationssicherheit lässt sich im DIHK-Verlag bestellen. Die Veröffentlichung "Datensicherheit - kurz und knapp" bietet spezifische Anregungen, Ratschläge und Techniken, um die schwerwiegendsten Fallstricke zu vermeiden, sowie nützliche Links und Vorlagen für Notfallpläne. Erfahren Sie mehr über Rollen, Weiterbildungen, Audits, Newsletter und Whitepaper beim TÜV Nord: TÜV Nord: Weiterbildungen, Rollen und Aufgaben.

 

Sicherheitskonzept: Aktive Security für Ihre Informationstechnik

Das Informationssicherheitskonzept schützt Ihr EDV & IT-System vor Gefahren. Wenn die Dateien verloren gehen, hat dies schwerwiegende Folgen. Der Geschäftsführer der Gesellschaft haftet für Verluste, die aufgrund von Fahrlässigkeit des Informationssicherheitsplans entstehen. Daher ist Informationssicherheit einer unserer wichtigsten IT-Services. Die Beratung umfasst Diskussionen zu Sicherheitsinformationstechnologie und Notfallplänen. Wir sind Ihr vertrauenswürdiger Partner bei der Entwicklung von IT-Lösungen, die Ihre Anlage weitgehend gegen Gefahren beschützen.

Nur wenn alle Bereiche berücksichtigt und in das Steuerungssystem integriert sind, wird das erforderliche Informationssicherheitsniveau (z. B. Basisschutz, IT-Grundschutz) erreicht. Informationssicherheit sollte keinesfalls als ein Zustand verstanden werden, der mit Software oder Mittel erreicht ist, sondern als ein kontinuierlicher Prozess. Informationssicherheit beinhaltet ebenfalls den Prozess des Schutzes der Betriebsgeheimnisse und wertvolle Dateien gegen unbefugten Zugriff und Datenkorruption während ihres gesamten Lebenszyklus. Die Security umfasst Datenverschlüsselungs-, Hashing-, Tokenisierungs- und Schlüsselverwaltungsverfahren zum Abschirmen aller Anwendungen und Dateien auf der Plattform.

Unternehmen investieren stark in Informationssicherheit und Cybersicherheitsfunktionen, um ihre kritischen Vermögenswerte zu beschützen. Unabhängig davon, ob ein Unternehmen seine Marke, das intellektuelle Kapital und seine Kundeninformationen zu schützen oder eine kritische Infrastruktur zu kontrollieren hat, haben die Methoden zur Erkennung von Vorfällen und zur Reaktion auf den Schutz der Interessen des Unternehmens drei gemeinsame Elemente: Personen, Prozesse und Technologie.

 

Tags: IT-Sicherheit, Sicherheitsberatung, Verfügbarkeit, Ausfallsicherheit, Grundschutz, BSI, Informationssicherheit, IT-Sicherheitskonzept, Schutz vor Gefahren - IT-Sicherheit, Zuverlässigkeit, Integrität, Anwendungssysteme, Ausfallrisiko, Schutz der Informationstechnik (IT), Ausfallschutz, Was bedeutet IT?, IT.Sicherheit