Informationssicherheit: Schutzziele und Maßnahmen für die Sicherheit von Informationen
Informationssicherheits-beauftragter
Wenn die Position eines Informationssicherheits-beauftragten besetzt werden soll, streben viele Unternehmen eine externe Lösung an...
Informationssicherheits-managementsystem (ISMS)
Um der Herausforderung gerecht zu werden, ihre Informationssicherheit fortlaufend zu verbessern, setzen viele Unternehmen...
ISO 27001 Zertifizierung
Die ISO 21001 Zertifizierung setzt ein starkes Zeichen für den Schutz von Daten, Informationen und Systemen...
TISAX® Zertifizierung
Informationssicherheit gehört zu den wichtigsten Voraussetzungen für die Zusammenarbeit von Herstellern und Zulieferern in der Automobilbranche...
Was bedeutet Informationssicherheit?
Unter dem Begriff Informationssicherheit versteht man den Schutz von Informationswerten (Assets) durch das Sicherstellen der drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Zu den zu schützenden Informationswerten gehören beispielsweise Software, Daten, Prozesse, Geräte, Clouds, aber auch personelle Ressourcen und andere Ausrüstungen.
Zwar existiert ein auf der ISO 27001 Norm basiertes Informationssicherheitsgesetz, dennoch gibt es kein im Detail festgelegtes Informationssicherheitskonzept, das Ihr Unternehmen befolgen muss. Stattdessen werden individuelle Maßnahmen entwickelt, die einem risikobasierten Ansatz folgen. Hierzu werden mögliche Sicherheitsvorfälle nach ihrer Eintrittswahrscheinlichkeit in Ihrem Unternehmen bewertet und darauf basierend ein Informationssicherheitsmanagementsystem (ISMS) entwickelt. Zur Unterstützung können Sie einen externen Informationssicherheitsbeauftragten bestellen.
Die Grundwerte der Informationssicherheit
Die Säulen der Informationssicherheit umfassen mindestens drei Schutzziele: die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Sie werden wie folgt definiert:
Vertraulichkeit
Informationen gelten als vertraulich, wenn sie nur von Personen eingesehen werden, die dazu berechtigt sind. Hierfür muss klar sein, wer und in welcher Art Zugriff auf die Informationen bekommen darf. Zu den Maßnahmen, die dem Schutzziel Vertraulichkeit dienen, gehören beispielsweise die Verschlüsselung von Daten, Kommunikationssicherheit, Umgebungssicherheit und Zugangssteuerung.
Verfügbarkeit
Eine technologische Infrastruktur muss gewährleisten können, dass alle Informationen zu jedem Zeitpunkt verfügbar und nutzbar sind. Häufig ist die Verfügbarkeit bei fortlaufenden Produktions- und Dienstleistungsprozessen das übergeordnete Schutzziel. Im Sinne der Verfügbarkeit geht es also darum, die Eintrittswahrscheinlichkeit von Systemausfällen zu minimieren.
Integrität
Informationen müssen zu jedem Zeitpunkt richtig und vollständig sein. Die Integrität wird verletzt, wenn unerkannte oder unerwünschte Änderungen durch unbefugte Personen vorgenommen werden. Sämtliche Änderungen müssen daher immer nachvollziehbar sein. Dieses Schutzziel ist vor allem deshalb hoch zu bewerten, da falsche Informationen zu Fehlentscheidungen im Unternehmen führen könnten.
Laut Definition für Informationssicherheit gibt es außerdem noch die Schutzziele Authentizität, Verbindlichkeit, Verlässlichkeit und Zurechenbarkeit, die zu den erweiterten Grundwerten der Informationssicherheit gehören. Gemeinsam geben sie Aufschluss darüber, ob die Informationssicherheit in Ihrem Unternehmen erreicht wird. Im Umkehrschluss werden also die Grundwerte der Informationssicherheit verletzt, wenn ein Sicherheitsvorfall vorliegt.
Mögliche Sicherheitsvorfälle
Ein Sicherheitsvorfall ist ein Ereignis, das die Sicherheit von Informationen negativ beeinträchtigt. Hier denken die meisten Unternehmen zunächst an Cyberkriminalität. Die Informationssicherheit wird aber nicht ausschließlich durch kriminelle Angreifer bedroht – auch Ihre eigenen Mitarbeiter können die Informationssicherheit gefährden.
Naturkatastrophen und fehlerhafte Systeme müssen ebenfalls berücksichtigt werden. Sicherheitsvorfälle nehmen also verschiedene Formen an, stellen aber immer eine (versehentliche oder mutwillige) Gefährdung für die Grundwerte der Informationssicherheit dar. Laut Definition für Informationssicherheit zählen folgende Beispiele zu den möglichen Sicherheitsvorfällen:
- Fehlfunktionen oder unübliches Verhalten von Geräten, Fund von Schadprogrammen
- Diebstahl oder Verlust von Geräten (zum Beispiel Laptops und Computer), Dokumenten oder Datenträgern (zum Beispiel USB-Sticks)
- Weitergabe von Informationen (versehentlich oder mutwillig), Erpressung oder Nötigung zur Offenlegung von Informationen
- Nicht autorisierte oder falsche Verwendung von Geräten und Software, Missbrauch von Berechtigungen
- Verfälschung von Daten, Verwendung unzuverlässiger Informationen
- Systemausfälle durch äußere Einflüsse wie Stromausfall, Wasserschaden, Korrosion, Brand oder Staub
Ein Unternehmen, dessen Informationen zu 100 Prozent sicher sind, gibt es nicht. Diese und weitere Sicherheitsvorfälle werden in erster Linie durch Schwachstellen ausgelöst, die verhindert oder zumindest minimiert werden können. Die grundlegendste Maßnahme zum Schutz Ihrer Informationen ist daher die Einführung eines Informationssicherheitskonzeptes und die Implementierung eines Informationssicherheitsmanagementsystems. Lernen Sie uns kennen und lassen Sie sich zu allen empfehlenswerten Maßnahmen rund um die Informationssicherheit von uns beraten.
Wer ist für die Informationssicherheit in Ihrem Unternehmen verantwortlich?
Die Informationssicherheit ist eine unternehmerische Verantwortung und daher ganzheitlich zu betrachten. Jeder Einzelne in Ihrem Unternehmen sollte an der Informationssicherheit beteiligt sein: Von der Unternehmensführung, die strategische Entscheidungen trifft, bis zu den Mitarbeitern, die die Entscheidungen umsetzen. Dennoch gibt es verschiedene Positionen, die im Sinne der Informationssicherheit besetzt werden sollten. Zwar sind diese Positionen nicht gesetzlich vorgeschrieben – mit Ausnahme von KRITIS-Unternehmen aus der kritischen Infrastruktur –, sie sind aber empfehlenswert, um die Mindestanforderungen der Informationssicherheit abzudecken und das Bewusstsein Ihres Unternehmens für Informationssicherheit zu erhöhen.
Die Unternehmensführung übernimmt eine herausragende Rolle im Informationssicherheitsmanagement. Sie weist die Verantwortlichkeiten an die Mitarbeiter zu und entscheidet, welche Maßnahmen als Informationssicherheitsleitlinie zu ergreifen sind. Unterstützt wird die Unternehmensführung von einem Informationssicherheitsbeauftragten, der als Ansprechpartner für alle Fragen rund um das Informationssicherheitsmanagement dient. Außerdem ist der Informationssicherheitsbeauftragte für den Aufbau und die Einführung eines Informationssicherheitsmanagementsystems verantwortlich – zum Beispiel mit einer ISO 27001 Zertifizierung oder TISAX® Zertifizierung. Zertifizierungen können grundsätzlich nur von externen, autorisierten Informationssicherheitsbeauftragten durchgeführt werden.
Gerne bieten wir Ihnen unsere Unterstützung für Ihr Informationssicherheitsmanagement an. Welche Fragen haben Sie zu den zu besetzenden Positionen? Was möchten Sie über die Bestellung eines Informationssicherheitsbeauftragten wissen? Vereinbaren Sie jetzt ein Erstgespräch, damit wir Ihre Fragen kompetent beantworten können.
Für diese Branchen spielt das Informationssicherheitsmanagement eine besondere Rolle
Unabhängig von der Branche sollte sich grundsätzlich jedes Unternehmen mit der Informationssicherheit auseinandersetzen. Die Betriebsgröße spielt dabei eine untergeordnete Rolle. Besondere Bedeutung wird aber digitalen und softwaregetriebenen Unternehmen zugesprochen. Auch Unternehmen mit hohen Regulierungsnotwendigkeiten sollten sich um ein durchdachtes Informationssicherheitsmanagementsystem bemühen. Im Gesundheitswesen gilt etwa die Gewährleistung der ärztlichen Schweigepflicht als Mindeststandard der Informationssicherheit. Für Unternehmen aus der kritischen Infrastruktur ist ein zertifiziertes Informationssicherheitsmanagementsystem ausnahmslos mit einem extern bestellten Informationssicherheitsbeauftragten einzuführen.
Informationssicherheit und Datenschutz: Was ist der Unterschied?
Informationssicherheit und Datenschutz sind grundlegend voneinander zu unterscheiden, auch wenn sie oft im gleichen Kontext genannt werden. Die beiden Bereiche unterscheiden sich in den Anwendungsebenen, wobei die Informationssicherheit wesentlich umfassender ist. Beim Datenschutz geht es um den ordnungsgemäßen Umgang mit und den Schutz von personenbezogenen Daten, die sich per europäischer Datenschutz-Grundverordnung (DSGVO) auf einen identifizierbaren oder identifizierten Menschen beziehen. Dazu gehören zum Beispiel Name, Anschrift und Geburtsdatum. Die Informationssicherheit fokussiert sich nicht auf bestimmte Daten, sondern auf schützenswerte analoge und digitale Informationen eines Unternehmens.
Informationssicherheit und IT-Sicherheit: Was ist der Unterschied?
Die Informationssicherheit wird ebenfalls deutlich weiter gefasst als die IT-Sicherheit. Während es per Definition bei der Informationssicherheit u. A. um organisatorische, räumliche und personelle Aspekte geht, hat die IT-Sicherheit ausschließlich den Schutz von Informationen durch Informationstechnologie im Fokus. Insgesamt macht die IT-Sicherheit einen Teilbereich der Informationssicherheit aus.
Informationssicherheit und Datensicherheit: Was ist der Unterschied?
Die Datensicherheit hat das Ziel, alle Daten zu schützen, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Ebenfalls gibt es keine Einschränkungen, welche Art und welche Inhalte von Daten geschützt werden – es sind sowohl digitale als auch analoge Daten gemeint. Ähnlich wie die Informationssicherheit basiert die Datensicherheit auf den drei Schutzsäulen der Vertraulichkeit, Verfügbarkeit und Integrität von Daten bzw. Informationen. Um die Sicherheit von Daten zu gewährleisten, sind bestimmte organisatorische und technische Maßnahmen zu definieren und zu ergreifen, wie etwa Zugriffskontrollen.
Professionelle Unterstützung für Ihre Informationssicherheit
Der Schutz Ihrer Informationen erfordert kontinuierlich Aufmerksamkeit und sollte Teil Ihres Tagesgeschäftes werden. Doch wir wissen auch um die Herausforderungen, die Sie in Ihrem Unternehmen bewältigen müssen. Nicht alle Unternehmen können oder wollen die Informationssicherheit mit eigenen Ressourcen managen. Hier wird unser Vorteil zu Ihrem Vorteil: Als externe Hilfe kennen wir uns mit den Herausforderungen des Informationssicherheitsmanagements aus, da wir sie bereits an anderer Stelle gemeistert haben.
Nutzen Sie unsere Erfahrungswerte und finden Sie mit uns heraus, wie eine auf Ihr Unternehmen zugeschnittene Informationssicherheitsleitlinie dazu beitragen kann, Ihren Unternehmenserfolg langfristig zu sichern. Lernen Sie uns jetzt in einem Erstgespräch kennen.
TISAX® ist eine eingetragene Marke der ENX Association. Die Memex Consulting GmbH steht in keiner geschäftlichen Beziehung mit der ENX Association. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.