Die Informationssicherheit umfasst Maßnahmen, die zur Sicherheit von Informationen beitragen und nach dem IT-Grundschutz. Sobald Unternehmen Informationen, Dokumente und Daten bereithalten oder verarbeiten, sollte die Umsetzung dieser Maßnahmen eine hohe Priorität haben.
Der IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Vorgehensweise, die es als Ziel hat, ein mittleres, angemessenes und ausreichendes Schutzniveau für IT-Systeme zu erlangen, um Informationen zu schützen.
Dabei sollten Unternehmen drei primäre Schutzziele verfolgen:
Vertraulichkeit
Der Schutz vor unbefugtem Zugriff: Ausschließlich dürfen vertrauliche Daten und Informationen lesen und verwalten. Dieses Schutzziel ist besonders bei personenbezogenen Daten wie Personalakten oder Kundendaten von Relevanz.
Integrität
Die Integrität soll sicherstellen, dass Daten korrekt, vollständig und unversehrt bleiben. Nicht zugelassene Veränderungen und unbemerkte Manipulationen sollen verhindert werden.
Verfügbarkeit
Um zu jeder Zeit auf die relevanten Daten zugreifen zu können, müssen alle Funktionen eines Systems oder einer Anwendung zur Verfügung stehen.
Mittlerweile gibt es neben diesen drei primären Zielen zusätzlich erweiterte Schutzziele der Informationssicherheit. Dazu gehören Authentizität (Gewährleistung der Echtheit der Daten) und Verbindlichkeit (Sicherstellung, dass die Identität der Informationsquelle korrekt und nachvollziehbar ist). Noch vor einigen Jahren sah das anders aus, denn damals umfasste die Informationssicherheit lediglich die Sicherstellung der Funktionalität von Hard- und Software. Also: Ist das Kabel richtig eingesteckt und das benötigte Programm installiert?
Heutzutage steckt viel mehr hinter dem Begriff, denn mit den vielen Möglichkeiten der Digitalisierung entstanden auch einige Risiken – vor allem wenn es um die Sicherheit unternehmensinterner Daten geht. Denn auch das beste IT-System hat Schwachstellen, die von AngreiferInnen umgangen werden können. Diese bedrohen die Schutzziele, was wiederum eine reale Gefahr für Unternehmen darstellen kann. Die Informationssicherheit wirkt dem Ganzen entgegen, denn sie macht das System so sicher wie möglich.
Ein Beispiel für eine Maßnahme der Informationssicherheit ist die Nutzung eines ISO 27001 zertifizierten Systems bei Ihren Geschäftsprozessen wie beispielsweise dem Qualitätsmanagement.
Achtung Verwechslungsgefahr!
Die Begriffe Informationssicherheit und IT-Sicherheit definieren keinesfalls das Gleiche und sollten deshalb niemals synonym verwendet werden. Die IT-Sicherheit ist streng genommen nur ein Teilgebiet der Informationssicherheit. Denn während diese sich auf den allgemeinen Schutz von Informationen bezieht, geht es in der IT-Sicherheit um den Schutz von IT-Systemen, der wiederum dem Schutz der Informationen dient. Einfach erklärt: Die IT-Sicherheit ist das Mittel zu Zweck.
Lassen Sie sich inspirieren
In unserer Kategorie „Begriffe des Monats“ finden Sie weitere Inhalte wie diesen.