Informationssicherheit

Informationen gehören zu den wertvollsten Vermögenswerten von Unternehmen. Der Schutz dieser Informationen sollte daher zu den höchsten Zielen jedes Unternehmens gehören. Und genau aus diesem Grund widmen wir uns in diesem Ratgeberbeitrag ausführlich dem Thema Informationssicherheit.

Informationssicherheit als Basis für Unternehmenserfolg?

Der langfristige Erfolg von Unternehmen beruht neben einem etablierten Qualitätsmanagement auf dem Vertrauen der Kunden und Mitarbeitenden, dass die Informationssicherheit und die damit verbundenen Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit sichergestellt sind.

Infiormationssicherheit Piktogramme

Kern hierfür ist der Schutz von Informationswerten und informationsverarbeitenden Einrichtungen, der sich durch alle Geschäftsprozesse eines Unternehmens zieht und durch die Prozess- und Systemverantwortlichen gewährleistet werden muss. Mit dem weitreichenden Einsatz der Informationsverarbeitung erhalten immer mehr Mitarbeiter*innen direkten Zugriff auf eine immer größer werdende Menge von Informationen und eine Vielzahl von Anwendungen und Systemen zur Informationsverarbeitung. Umso mehr Bedeutung sollten Sie dem Thema Informationssicherheit einräumen.

Was ist Informationssicherheit? Eine Definition

Die Informationssicherheit dient der Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Schutzziele der Informationssicherheit – die drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen

  1. Vertraulichkeit bedeutet, dass die Daten bzw. Informationen nur von solchen Personen eingesehen, bearbeitet und verwaltet werden dürfen, die dazu befugt sind. Zum Beispiel: Der Personenkreis für den Einblick in Personalakten wird eingeschränkt.
  2. Integrität bedeutet, dass die unerkannte Veränderung von Daten nicht möglich sein darf. Die Korrektheit der Daten bzw. Informationen muss sichergestellt sein. Zum Beispiel: Ein Eintrag in die Personalakte darf durch die Mitarbeiter*innen nicht verändert werden.
  3. Verfügbarkeit bedeutet, dass die Daten bzw. Informationen nicht verloren gehen und für befugte Personen zugänglich sein sollten. Zum Beispiel: Ein Eintrag in die Personalakte darf durch die Mitarbeiter*innen nicht herausgenommen bzw. gelöscht werden

Unternehmen können sich daraus folgende Ziele ableiten:

  • Einhaltung der mit Kunden geschlossenen Vereinbarungen zu Sicherheit und Verfügbarkeit der Dienstleistungen sowie der gesetzlichen und regulatorischen Anforderungen
  • Gewährleistung der Vertraulichkeit und Integrität von Informationen (Kunden- und Unternehmensdaten) und somit Wahrung von Geschäfts- und Betriebsgeheimnissen, aber auch Datenschutz i.S.d. EU-DSGVO
  • Sicherstellung der Verfügbarkeit der für die Informationsverarbeitung notwendigen Infrastruktur und Technologie
  • Frühzeitige Erkennung und Behandlung von potenziellen Sicherheitsrisiken zur Verhinderung von Sicherheitsvorfällen

Mögliche Bedrohungen für die Informationssicherheit

Eine Bedrohung für die Informationssicherheit ist eine potentielle Gefahr, die durch eine Schwachstelle ausgelöst wird. Folgende Szenarien stellen beispielhaft dar, welche Gefährdungen sich in unterschiedlichsten Ausprägungen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten ergeben können:

  • Hard- und Softwareprobleme: Ausfall von Geräten oder Systemen, Fehlfunktion von Geräten oder Systemen, Zerstörung von Geräten oder Datenträgern, Geräteausfall, Softwarefehlfunktion
  • Äußere Einflüsse und Naturkatastrophen: Verlust der Stromversorgung, Feuer, Staub, Korrosion, Vereisung, Überschwemmung, ungünstige klimatische Bedingungen, Elektromagnetische Störstrahlung, Vernichtung des Equipments oder von Medien
  • Kriminelle Angriffe: Diebstahl von Equipment, Diebstahl von Geräten, Datenträgern oder Dokumenten, Abhören, Fernspionage, Durchdringung des Informationssystems, Manipulation mit Software
  • Probleme bei der Datenverarbeitung: Datenverfälschung, illegale Verarbeitung von Daten, Korruption von Daten, rechtswidrige Datenverarbeitung
  • Schwachstelle Mensch: Fehler in der Verwendung, Missbrauch von Berechtigungen / Diensten und Software / Rechten, nicht autorisierte Benutzung der Geräte und Software, Leugnung von Handlungen, Verletzung der personellen Verfügbarkeit, Verletzung der Wartbarkeit von Informationssystemen, Verwendung von gefälschter oder kopierter Software, Informationen oder Produkte aus unzuverlässigen Quellen
BREKOM Kontaktbild

Managed Security Services mit BREKOM

  • Ganzheitlicher IT-Security-Service
  • Umfassendes Sicherheitskonzept
  • Rundum-Betreuung Ihrer Security-Infrastruktur

Maßnahmen für die Informationssicherheit

Informationssicherheit ist ein übergreifendes Thema, das weit über rein technische Themen hinausgeht. Dementsprechend gehört sie zu den zentralen Managementaufgaben eines Unternehmens. Die zugrundeliegende Maßnahme zum Schutz der Informationswerte ist die Implementierung eines Informationssicherheitsmanagementsystems.

Was ist ein Informationssicherheitsmanagementsystem (ISMS)?

Ein Information Security Management System ist eine zusammenhängende Aufstellung von Vorgaben und Regelungen, um die Informationssicherheit dauerhaft zu definieren, zu steuern, aufrechtzuerhalten, zu kontrollieren und fortlaufend zu verbessern. Die Norm ISO/IEC 27001 beschreibt die Anforderungen, die ein ISMS erfüllen muss.

Konkrete Sicherheitsmaßnahmen

Die Einführung eines Informationssicherheitsmanagementsystems analog des internationalen Standards ISO 27001 stellt für eine Organisation eine strategische Entscheidung bzw. Maßnahme dar. Ein solches ISMS wahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen unter Anwendung eines Risikomanagementprozesses und verleiht interessierten Parteien das Vertrauen in eine angemessene Steuerung von Risiken.

Im Anhang A der ISO 27001 gibt es eine Liste von 114 Sicherheitsmaßnahmen zur Überprüfung des Sicherheitsniveaus in Unternehmen, sogenannte Controls. Zum Schutz des geistigen Eigentums können wir diese hier nicht einfach auflisten. Die 14 Abschnitte des Anhang A sind deshalb nur kurz erklärt:

A.5 Informationssicherheitspolitik – Kontrollen, wie die Politik geschrieben und überprüft ist

A.6 Organisation der Informationssicherheit – Kontrollen, wie die Verantwortlichkeiten zugewiesen sind, enthält auch die Kontrollen für Mobilgeräte und Telearbeit

A.7 Personalsicherheit – Kontrollen vor, während und nach der Anstellung

A.8 Asset Management – Kontrollen in Bezug auf das Asset-Verzeichnis und akzeptable Nutzung sowie auch für Informationsklassifizierung und Medien-Handhabung

A.9 Zugriffskontrolle – Kontrollen für die Zugriffskontrollen-Richtlinie, die Benutzerzugriffsverwaltung, System- und Applikations-Zugriffskontrolle sowie Anwenderverantwortlichkeiten

A.10 Kryptografie – Kontrollen in Bezug auf Verschlüsselung und Schlüsselverwaltung

A.11 Physische und Umgebungssicherheit – Kontrollen, die Sicherheitsbereiche, Zutrittskontrollen, Schutz gegen Bedrohungen, Gerätesicherheit, sichere Entsorgung, Clear Desk- und Clear Screen-Richtlinie usw. definieren

A.12 Betriebssicherheit – eine Menge an Kontrollen im Zusammenhang mit dem Management der IT-Produktion: Change Management, Capacity Management, Malware, Backup, Protokollierung, Überwachung, Installation, Schwachstellen usw.

A.13 Kommunikationssicherheit – Kontrollen in Bezug auf Netzwerksicherheit, Segregation, Netzwerk-Services, Informationstransfer, Nachrichtenübermittlung etc.

A.14 Systemerwerb, Entwicklung und Wartung – Kontrollen, die Sicherheitsanforderungen und die Sicherheit in Entwicklungs- und Support-Prozessen definieren

A.15 Lieferantenbeziehungen – Kontrollen, was in Vereinbarungen zu inkludieren ist und wie die Lieferanten zu überwachen sind

A.16 Informationssicherheits-Störfallmanagement – Kontrollen für die Meldung von Vorfällen und Gebrechen, welche die Verantwortlichkeiten, Sofortmaßnahmen und Sammlung von Beweisen definieren

A.17 Informationssicherheitsaspekte des betrieblichen Kontinuitätsmanagement – Kontrollen, welche die Planung von Betriebskontinuität, Verfahren, Verifizierung und Überprüfung sowie der IT-Redundanz verlangen

A.18 Compliance/Konformität – Kontrollen, welche die Identifizierung anwendbarer Gesetze und Bestimmungen, des Schutzes geistigen Eigentums, des Schutzes persönlicher Daten und die Überprüfung der Informationssicherheit verlangen

Darüber hinaus bieten die relativ konkreten Maßnahmen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine gute Ergänzung zum Anhang A der ISO 27001. So bildet das BSI die Bereiche Infrastruktur, Organisation, Personal, Hardware/Software, Kommunikation und Notfallvorsorge in 6 Schichten ab.

Unterschiede zwischen Informationssicherheit und IT-Sicherheit

IT-Sicherheit ist ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Informationssicherheit umfasst im Gegensatz zur IT Sicherheit auch nicht-technische Systeme. Zum Beispiel sorgt die Informationssicherheit dafür, dass auch nicht-digitale Systeme z.B. ein Papierarchiv, das Betriebsgelände usw. sowie die Unternehmensdaten durch entsprechende betriebliche Organisation und Vorgaben geschützt werden.

Unterschiede zwischen Informationssicherheit und Datenschutz

Beim Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert allen Bürger*innen ein Recht auf informationelle Selbstbestimmung und schützt sie vor missbräuchlicher Verwendung ihrer Daten. Entsprechend sind geeignete technische und organisatorische Maßnahmen zu gewährleisten, die der Datensicherheit dienen. Die Datensicherheit wird als ein Teil der Informationssicherheit angesehen, da Letzteres umfassender ist. Die Informationssicherheit dient darüber hinaus der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

Unterschiede zwischen Informationssicherheit und Cybersicherheit

Cyber ist von Cybernetics abzuleiten, also der Wissenschaft zur Steuerung und Regelung von Maschinen und deren Analogie zur Handlungsweise von lebenden Organismen und sozialen Organisationen. Die Cybersicherheit nimmt somit konkret Bezug auf Bedrohungen aus dem Internet, einer elektronisch vernetzten Welt von Menschen und Maschinen.

Fazit: Informationssicherheit – Grundlage zum Schutz Ihrer Daten

Mit der stetig wachsenden Automatisierung und Vernetzung von Unternehmen, Unternehmensteilen, Lieferanten und Kunden und deren Prozessen wachsen auch die Angriffe aus dem Internet und gefährden zunehmend die Werte der Unternehmen. Die Erkennung und der Schutz vor solchen Szenarien erfordern geschultes Personal, innovative Technologie und strukturierte Prozesse. Aus Kostengründen kann all dies von mittelständischen Unternehmen oft nicht alleine unterhalten werden, ist aber unumgänglich vor dem Hintergrund der steigenden Risiken und Bedrohungen für die Informationssicherheit.

Informationssicherheit mit BREKOM

Aufgrund unserer langjährigen Erfahrung in der Zusammenarbeit vor allem auch mit kleinen und mittelständischen Unternehmen wissen wir um die problematische Situation, der sich viele Geschäftsführer*innen gegenüber sehen: Das Fachpersonal ist knapp, die Ressourcen umso knapper und Themen wie die Informationssicherheit fallen hinten ab. Daher bieten wir Ihnen professionelle Unterstützung im Bereich Informationssicherheit an.

ISO 27001 und ISO 9001 Prüfzeichen BREKOM

Aus der Betriebserfahrung der unterschiedlichen Kundeninfrastrukturen werden Sicherheitsmaßnahmen abgeleitet, von denen alle unsere Kunden profitieren. Durch die Spezialisierung ist der Handlings-Aufwand für den Betrieb wesentlich geringer und somit kostengünstiger. Eine Konstellation, die für alle Beteiligten Vorteile bietet.

BREKOM setzt dabei auf namhafte Hersteller von IT-Sicherheitssystemen, die mit der komplexen, sich schnell weiterentwickelnden Bedrohungslage von heute mithalten können. Der „Netzwerkperimeter“ ist keine klare Außengrenze mehr, sondern erstreckt sich mittlerweile über die gesamte Infrastruktur. Der Anwendungsbereich des ISMS nach ISO 27001 bei BREKOM kann dabei bis in die Kundeninfrastrukur erweitert und BSI-spezifische Anforderungen berücksichtigt werden. Gerne beraten wir Sie individuell auf Ihre Bedürfnisse abgestimmt. Rufen Sie uns direkt an oder nutzen Sie unser Kontaktformular – wir freuen uns auf Sie!

Das könnte Sie auch interessieren:

Phishing Mails Ratgeber BREKOM VorschaubildBildmaske oktagon

Was es ist, wie Sie Phishing Mails erkennen und sich davor schützen.

Phishing Mails >>

Datensicherung Ratgeber BREKOM VorschaubildBildmaske oktagon

Datensicherung im Unternehmen: Sicherungsarten, Speichermedien und die richtige Backup-Strategie

Datensicherung >>

IT Sicherheit im Homeoffice TeaserbildBildmaske oktagon

Die 4 großen Risikofaktoren im Homeoffice und wie Sie sie vermeiden.

IT-Sicherheit im Homeoffice >>