Informationssicherheit

Wenn Informationen plötzlich nicht mehr verfügbar sind oder in die falschen Hände gelangen, drohen ernsthafte Konsequenzen. Informationssicherheit beugt den bestehenden Risiken vor.

Informationen gehören zu den wichtigsten Gütern eines jeden Unternehmens. Sollten sie plötzlich nicht mehr verfügbar sein oder in die falschen Hände gelangen, drohen ernsthafte Konsequenzen. Die Informationssicherheit (kurz “InfoSec”) befasst sich mit dem notwendigen Schutz.

Ihre Betrachtungsweise ist ganzheitlich, weshalb sich die Informationssicherheit über ein breites Themenspektrum erstreckt. Essentiell ist die Fragestellung, welche Informationen im Unternehmen existieren und im Rahmen welcher Prozesse sie von Bedeutung sind. Weitere Themenbereiche sind u.a. Risiken, die beispielsweise mit dem Einsatz von Technologie einhergehen. Ebenso die Ergreifung technischer Schutzmaßnahmen.

Information auf höchster Ebene betrachtet

Als Begriff wird die Informationssicherheit gelegentlich mit der IT-Sicherheit verwechselt. Während sich die IT-Sicherheit mit dem Schutz von Systemen und Daten befasst, reicht die Informationssicherheit deutlich weiter. Sie ist auf übergeordneter Ebene zu sehen.

Im Fokus stehen Informationen - unabhängig davon, in welcher Form diese im Unternehmen existieren. Damit besteht keine Beschränkung auf Dateien, sondern es werden ebenso Informationen berücksichtigt, die z.B. auf Papier festgehalten sind oder sich beispielsweise in Form von Ideen in Köpfen der Mitarbeiter befinden.

Schutzziele in der Informationssicherheit

Die Informationssicherheit definiert sogenannte Schutzziele. Sie geben vor, wie ein angestrebtes Maß an Sicherheit erreicht und eingehalten werden kann. Die Basis bilden die allgemeinen Schutzziele, die unter Berücksichtigung der englischen Begriffe auch CIA-Ziele genannt werden.

  • Vertraulichkeit (Confidentiality): Nur autorisierte Benutzer erhalten Zugriff auf die Information.
  • Integrität (Integrity): Sämtliche Änderungen an Daten müssen nachvollziehbar sein. Unbemerkbare Veränderungen sind unzulässig.
  • Verfügbarkeit (Availability): Berechtigte müssen Zugang zu den Informationen haben. Systemausfällen gilt es daher vorzubeugen.

Neben den drei allgemeinen Zielen kennt die Informationssicherheit weitere Ziele.

  • Authentizität (Authenticity): Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit der Information sind gewährleistet.
  • Verbindlichkeit/Nichtabstreitbarkeit (Non Repudiation): Unzulässiges Abstreiten durchgeführter Handlungen ist nicht möglich, wie z.B. beim elektronischen Abschluss von Verträgen.
  • Zurechenbarkeit (Accountability): Jede Handlung ist einem Kommunikationspartner eindeutig zuordenbar.

Notwendigkeit der Informationssicherheit

Aus mehreren Gründen müssen sich Unternehmen mit der Informationssicherheit befassen. In einige Fällen wird die Entscheidung, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, freiwillig getroffen. In anderen Fällen besteht hingegen die Notwendigkeit. Dasselbe gilt für die Bestellung eines Informationssicherheitsbeauftragten. Es folgt eine Übersicht der häufigsten Gründe.

Rechtliche Vorgaben

Unternehmen bestimmter Branchen und Umfelder sind aufgrund gesetzlicher Rahmenbedingungen zum Schutz ihrer Informationen verpflichtet. Dies betrifft vor allem KRITIS-Unternehmen und -Organisationen, weil sie wichtige Infrastruktur bereitstellen, sowie Unternehmen in der Automotive-Branche.

Wettbewerbsfähigkeit

In einigen Branchen führt an der zertifizierten Informationssicherheit kein Weg vorbei. Eine erfolgreiche Zertifizierung kann Voraussetzung sein, um Geschäfte mit bestimmten Unternehmen zu machen.

Bedrohung durch Cyberkriminalität

Selbst wenn aus rechtlicher und wirtschaftlicher Sicht keine Notwendigkeit besteht, kann es sinnvoll sein, ein ISMS einzuführen. Einer Hauptgründe hierfür sind die Bedrohungen, denen Daten heutzutage ausgesetzt sind. Nie zuvor standen Unternehmensdaten so sehr im Fokus von Hackern, Cyberkriminellen und anderen Angreifern.

Wichtige Elemente der Informationssicherheit

Unternehmen können das Thema Informationssicherheit auf unterschiedliche Weise angehen. Es gibt jedoch verschiedene Elemente, die fast immer eine tragende Rolle spielen. Nachfolgend stellen wir drei der wichtigsten Elemente vor.

ISMS

Das ISMS ist ein wichtiges Rahmenwerk, das Unternehmen dabei hilft, eine für sich geeignete Strategie zu entwickeln und umzusetzen. Darüber hinaus gewährleistet der integrierte Regelkreislauf die langfristige Aufrechterhaltung des erreichten Sicherheitsniveaus.

Informationssicherheitsbeauftragter

Der Informationssicherheitsbeauftragte nimmt eine Schlüsselrolle ein. Seine Aufgaben können u.a. darin bestehen, das ISMS weiterzuentwickeln oder den verschiedenen Stakeholdern (Geschäftsführung, Fachabteilungen, externen Partnern etc.) als Ansprechpartner zur Verfügung zu stehen.

Zertifizierung und Rezertifizierung

Die meisten Unternehmen, die das Thema Informationssicherheit ernsthaft angehen und Maßnahmen umsetzen, streben eine Zertifizierung an. Entscheidend ist die Wahl der passenden Zertifizierung, um den Ansprüchen von Geschäftspartnern und Kunden gerecht zu werden.

Erlangte Zertifikate sind zeitlich begrenzt gültig. Zur Aufrechterhaltung des Status sind spätere Rezertifizierungen notwendig. Diesbezüglich ist es vorteilhaft, die sich ändernden Anforderungen und Prozesse im Auge zu behalten, um für die Rezertifizierung gewappnet zu sein.

Kontakt aufnehmen

Wir sind Ihr Partner für umfassende Informations­sicherheitslösungen. Mit langjähriger Erfahrung und einem Experten-Team bieten wir maßgeschneiderte Lösungen, um Ihr Unternehmen vor den ständig wachsenden Bedrohungen der digitalen Welt zu schützen.