In einer Zeit, in der Digitalisierung immer wichtiger wird, um Marktvorteile zu sichern, jedoch die Gefahr der Kompromittierung eigener Informationen immer weiter steigt, ist es unumgänglich, Sicherheitskonzepte zur Absicherung des eigenen Know-Hows zu entwickeln.
Informationssicherheit vs. IT-Sicherheit
Grundsätzlich ist die IT-Sicherheit ein Teilgebiet der Informationssicherheit. Auch wenn vielfach noch der Begriff der IT-Sicherheit verwendet wird, ist damit meist die Informationssicherheit gemeint. Der Hauptunterschied zwischen beiden Teilgebieten liegt in der Frage: Was soll geschützt werden? IT-Sicherheit wurde vielfach auf den Schutz von IT-Systemen reduziert. Jedoch sind IT-Systeme nur Mittel zum Zweck. Ohne eine Betrachtung, welche Informationen darin verarbeitet werden und wie wichtig diese Informationen für Ihr Unternehmen sind, lässt sich eine sinnvolle und ressourcenschonende Sicherheitsstrategie nur bedingt entwickeln.
Ein Sicherheitskonzept zu schaffen, welches alle Systeme in gleichem Maße schützt, ist durch die Vielzahl und Verteilung der Systeme heute kaum noch zu erreichen. Die Informationssicherheit fordert uns daher auf, Informationsverarbeitungen einer Risikobetrachtung zu unterziehen und damit das Hauptaugenmerk auf kritische und risikobehaftete Verarbeitungen zu legen.
Zudem erweitert die Informationssicherheit das Aufgabengebiet. Zu einer vollständigen Sicherheitskonzeption werden neben digitalen Verarbeitungen auch analoge berücksichtigt.
Die Informationssicherheit verfolgt dabei wie die IT-Sicherheit 3 Hauptziele:
Verfügbarkeit: Erforderliche Informationen sollen an allen relevanten Übergabepunkten jederzeit angemessen zur Verfügung stehen, so dass Geschäftsprozesse hierdurch nicht oder nicht erheblich gestört werden.
Vielfach wird diese Anforderung so verstanden, dass ausreichende Backup- und Wiederherstellungskonzepte bestehen, um bei einem Verlust von Daten oder einem Ausfall von Systemen diese schnellstmöglich wiederherstellen zu können.
Jedoch ist unter der Anforderung auch die Informationsaufbereitung zu berücksichtigen. Nicht nur fehlende, auch zu viele Informationen oder nicht zur Zweckerreichung dienliche Aufbereitungen können Geschäftsprozesse stören.
Integrität: Informationen und deren Verwendung sollen richtig sein, so dass Anwender hierauf vertrauen können. Dies betrifft sowohl die Eingabe von Informationen, der Schutz vor Manipulation durch Unbefugte, als auch die Verarbeitung durch Algorithmen. Ebenso ist auch die Nutzung und die Aufbereitung von Informationen zu berücksichtigen, denn Informationen werden immer in einem Kontext verarbeitet. Ändert sich der Kontext, kann es auch zu fehlerhaften Rückschlüssen kommen, was es zu vermeiden gilt.
Vertraulichkeit: Informationen sollen nur den Personen zur Verfügung stehen, die sie zur Erfüllung ihrer Aufgaben benötigen. Unbefugte Personen oder auch Kriminellen soll der Zugriff verwehrt werden. Ebenso sollen Maßnahmen ergriffen werden, dass Informationen, die befugten Personen mitgeteilt wurden, auch darüber hinaus vertraulich bleiben.
Wer braucht Informationssicherheit?
Streng genommen betreibt jedes Unternehmen, jede Einrichtung oder Behörde Informationssicherheit, auch wenn es ggf. nicht den Struktur- und Dokumentationsansprüchen der ISO 27001, dem BSI-Grundschutz oder dem VDI-TISAX entspricht. So muss sich bspw. auch ein Bäcker Gedanken machen, wie er seine Rezepte vor Konkurrenten schützt, oder was passiert, wenn diese Rezepte auf einmal nicht mehr da sind.
Das Entwickeln eines koordinierten Informationssicherheitsmanagements wird jedoch meistens dann relevant, wenn:
- Informationen für Kunden oder Dritte verarbeitet werden und diese die Sicherheit benötigen, dass die Verarbeitung ordnungsgemäß erfolgt, oder
- wenn durch die Größe des Unternehmens eine große Informationsverteilung besteht, so dass zur Aufrechterhaltung der Sicherheit gezielte und gelenkte Maßnahmen erforderlich werden, oder
- wenn große Mengen an Informationen verarbeitet werden, die unterschiedlichen Risiken unterliegen, oder
- wenn hohe Risiken bei einer Informationsverarbeitung bestehen oder erhebliche finanzielle Werte damit verbunden sind.
Einige Unternehmen und Einrichtungen sind jedoch auch per Gesetz verpflichtet, Informationssicherheitsmanagement nach anerkannten Standards zu betreiben. So sind evangelische Einrichtungen nach der ITSVO-EKD verpflichtet IT-Sicherheitskonzepte in Anlehnung an den BSI-Grundschutz zu entwickeln.
Ebenso sind Betreiber kritischer Infrastrukturen (z.B. Stromversorger, Trinkwasserversorger, Hosting-Anbieter, Telekommunikationsanbieter oder auch Krankenhäuser) sowie von ihnen eingesetzte Dienstleister nach dem BSI-Gesetz verpflichtet, Informationssicherheitsmanagementsysteme einzuführen und nachweisbar zu halten.