.webp)
Volljurist und Compliance-Experte
March 7, 2024
6 Minuten
.svg)
Informationssicherheit schützt Unternehmensinformationen vor Bedrohungen wie Datenmissbrauch und -verlust, sowohl digital als auch analog.
Die Ziele der Informationssicherheit sind die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Die Umsetzung geschieht mithilfe eines Informationssicherheits-Managementsystems (ISMS)
Informationen gehören zu den wichtigsten Gütern eines Unternehmens. Der Verlust, der Missbrauch und die Manipulation von Daten können Ihrem Betrieb u. a. einen hohen wirtschaftlichen Schaden zufügen. Beim Thema Informationssicherheit sollten Sie daher keine Kompromisse eingehen.
In diesem Beitrag erfahren Sie, was genau hinter diesem großen Begriff steckt und warum Sie sich besser heute als morgen mit geeigneten Maßnahmen zum Schutz Ihrer Daten auseinandersetzen sollten.
Informationssicherheit fasst kurz gesagt alle Maßnahmen zusammen, die Informationen in Unternehmen vor jeglichen Bedrohungen und Gefahren wie Datenmissbrauch und Datenverlust schützen. Dabei geht es nicht nur um technische Systeme, die Informationen sicher speichern und verarbeiten. Auch organisatorische Aspekte, die zum Beispiel Strategien, Prozesse und das Personal betreffen, sind wichtig.
Schützenswerte Informationen gibt es in Unternehmen viele, darunter beispielsweise personenbezogene Daten von Mitarbeitern und Kunden sowie wichtige Geschäftsdaten als auch Prozesse zu den Finanzen, aus der Produktion und dem Vertrieb. Diese Daten liegen in unterschiedlicher Form vor, sowohl digital als auch analog.
Grundsätzlich verfolgt Informationssicherheit drei Hauptziele:
Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sind sozusagen die Grundwerte der Informationssicherheit – auch bekannt unter dem Akronym (der englischen Begriffe) CIA oder als CIA-Triade.
Vertraulichkeit bedeutet, dass nur befugte Personen Einsicht und Zugriff auf bestimmte Daten haben dürfen. Geeignete (System-)Einstellungen und Unternehmensprozesse sorgen dafür, dass niemand unautorisiert an Informationen gelangt.
Sicherheitslücken in Bezug auf die Vertraulichkeit lauern in Unternehmen an jeder Ecke, beispielsweise wenn vom Büroflur aus ein uneingeschränkter Blick auf die Bildschirme von Mitarbeitern möglich ist, Personaldokumente in einem offenen Aktenschrank abgelegt sind oder ein ungeschütztes WLAN zur Datenübertragung genutzt wird.
Datenintegrität bezieht sich auf die Korrektheit der Daten, das heißt, dass sie konsistent, vertrauenswürdig und vollständig sind. Um die Integrität Ihrer Daten zu wahren, sollten Sie sicherstellen, dass Informationen nicht unbemerkt beziehungsweise unbefugt verändert und manipuliert werden können. Der gesamte Lebenszyklus von Daten sollte immer nachvollziehbar sein.
Die Integrität von Daten kann sowohl unbeabsichtigt durch technische Fehler oder Fehlbedienungen als auch durch einen gezielten Angriff verletzt werden. Ein Beispiel für Letzteres ist die SQL-Injection: Hier schleusen Hacker in Web-Anwendungen eigene SQL-Befehle ein und dringen darüber in die Datenbank ein, um diese zu manipulieren.
Bei diesem Schutzziel geht es darum, sicherzustellen, dass die Informationen nur für autorisierte Personen verfügbar sind, wenn sie benötigt werden.
Um die Verfügbarkeit zu gewährleisten, sollten Sie sich unter anderem um eine ausfallsichere IT-Infrastruktur kümmern und geeignete Back-up-Strategien entwickeln sowie umsetzen.
Weitere Schutzziele:
Neben den drei allgemeinen Schutzzielen lassen sich in bestimmten Kontexten noch weitere Schutzziele definieren, zum Beispiel:
.webp)
IT-Sicherheit, Datenschutz, Informationssicherheit, Datensicherheit – all diese Begriffe werden oft in denselben Topf geworfen und wild verrührt. Ganz so falsch ist das nicht – wenn man Informationssicherheit als den Topf sieht und die anderen als Zutaten.
Oder anders ausgedrückt: IT-Sicherheit, IT-Compliance, Datensicherheit und Datenschutz sind Teilbereiche, die sich alle in das übergeordnete Konzept der Informationssicherheit einordnen lassen.
💡 Hinweis: Auch wenn wir im Folgenden eine Abgrenzung der Begrifflichkeiten mit ihren Gemeinsamkeiten und Unterschieden vornehmen, sollten die Bereiche in der Praxis nicht separat voneinander betrachtet werden, sondern eng zusammenarbeiten.
Während sich Informationssicherheit auf Informationen aller Art, digital und analog, bezieht, konzentriert sich die IT-Sicherheit auf den Schutz von elektronisch gespeicherten Informationen und digitalen IT-Systemen.
IT-Sicherheit selbst lässt sich wiederum in Teilbereiche aufteilen, darunter:
Jeder Mensch hat das Recht auf Privatsphäre und auf informationelle Selbstbestimmung. Jeder kann also selbst über seine persönlichen Daten, zum Beispiel seine Privatanschrift, Telefonnummer oder Bankdaten, bestimmen. Der Schutz dieser personenbezogenen Daten ist Gegenstand des Datenschutzes. Dieser wiederum ist gesetzlich geregelt, und zwar im Bundesdatenschutzgesetz (BDSG) und in der Datenschutz-Grundverordnung (DSGVO).
Datenschutz und Informationssicherheit haben viele Überschneidungen, wenn es darum geht, Datenmissbrauch zu verhindern. Darüber hinaus beschäftigt sich Datenschutz jedoch auch mit der grundsätzlichen Frage, welche Daten überhaupt erhoben und verarbeitet werden dürfen.
Datensicherheit bezeichnet die technische Sicherung von Daten mit und ohne personenbezogene Merkmale. Es geht vor allem um die Frage, mit welchen technischen Maßnahmen Daten vor Verlust, Manipulation und anderen Bedrohungen geschützt werden können. Damit hat Datensicherheit viel mit Informationssicherheit gemein, Letztere ist jedoch noch einmal umfassender.
Compliance bezieht sich auf die Einhaltung der geltenden Gesetze und Regelungen. Besonders beim Thema Datenschutz, aber auch in anderen Bereichen der Informationssicherheit ist es wichtig, dass sich Unternehmen regelkonform verhalten. Bei Verstößen können ansonsten empfindliche Strafen drohen. Deshalb sollten entsprechende IT-Compliance-Richtlinien aufgestellt werden, an die sich alle Beteiligten zu halten haben.
Ob sie Dokumente bearbeiten, Präsentationen erstellen, E-Mails verschicken oder Geschäftsanalysen durchführen – Mitarbeiter in Unternehmen arbeiten jeden Tag mit einer Menge an Informationen sowie Anwendungen zur Informationsverarbeitung.
Daraus ergeben sich zwei große Risiken für Unternehmen:
Grundsätzlich lauern im Unternehmensalltag viele Gefahren und Bedrohungen für die Schutzziele der Informationssicherheit. So können technische Probleme oder Naturkatastrophen wie Überschwemmungen für Ausfälle sorgen und die Verfügbarkeit einschränken.
Auch menschliches Versagen kann zu Sicherheitsrisiken führen. Zudem müssen Sie in Ihrem Unternehmen mit kriminellen Angriffen rechnen, die den Diebstahl, die Spionage oder Manipulation von Daten zum Ziel haben.
In Anbetracht der vielen Risiken ist ein umfassendes Konzept zur Informationssicherheit für Unternehmen unabdingbar. Ein solches hilft Ihnen dabei:
Neben technischen Lösungen zur Sicherung von IT-Produkten und Daten beinhalten Maßnahmen für die Informationssicherheit auch rechtliche und organisatorische Aufgaben. Zudem sollten konkreten Maßnahmen zunächst konzeptionelle Überlegungen vorausgehen.
Entwickeln Sie also eine umfassende Strategie, mit der Sie vom Management bis zu jedem einzelnen Mitarbeiter den Schutz Ihrer Informationen verbessern . Die Entwicklung, Umsetzung und Revision der Strategie fließt in einem Informationssicherheits-Managementsystem (ISMS) zusammen und sollte ein kontinuierlicher Verbesserungsprozess sein.
Informationssicherheit ist top-down organisiert. Das heißt, es ist Aufgabe des Managements, ein Sicherheitskonzept für das Unternehmen zu entwickeln und geeignete Informationsschutz- und Sicherheitsrichtlinien (Security Policy) anhand geltender Standards festzulegen.
Die wichtigsten Sicherheitsstandards für das Informationssicherheitsmanagement sind das IT-Grundschutzkompendium sowie die Standard-Reihe vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die ISO/IEC 27000-Reihe, insbesondere ISO 27001.
Darüber hinaus sind auch branchenspezifische Standards zu beachten. So verpflichtet das IT-Sicherheitsgesetz unter anderem Betreiber von kritischen Infrastrukturen (KRITIS) zu einem Mindestmaß an Sicherheitsanforderungen.
Eine Voraussetzung für den Erfolg Ihres Informationssicherheitsmanagements ist, dass Sie die Richtlinien in Zusammenarbeit mit den Führungskräften an die gesamte Belegschaft kommunizieren und die Mitarbeiter für das Thema sensibilisieren. Schaffen Sie ein Bewusstsein dafür, wie wichtig Informationssicherheit ist.
Im nächsten Schritt geht es darum, die Mitarbeiter zu einem sicheren, verantwortungsvollen und umsichtigen Umgang mit den Unternehmensdaten zu befähigen, zum Beispiel in entsprechenden Schulungen und Trainings.
Informationssicherheit sollte auch immer Hand in Hand mit dem Risikomanagement gehen. Dazu gehört zum einen, einzuschätzen, welche Schäden mit welcher Wahrscheinlichkeit und in welcher Höhe eintreten können. Zum anderen sollten Sie Ihre Geschäftsprozesse, Anwendungen und IT-Systeme einer sorgfältigen Risikoanalyse und Bewertung unterziehen.
Anhand der Ergebnisse sollten Sie gezielte, unternehmensspezifische Schutzziele und IT-Sicherheitsmaßnahmen entwickeln.
Ein Information Security Management System (ISMS) – zu Deutsch: Informationssicherheitsmanagementsystem – dient u. a. der Umsetzung der Informationssicherheitsrichtlinie. Mit dem ISMS definieren Sie Verfahren, mit denen Sie die Informationssicherheit in Ihrem Unternehmen steuern, kontrollieren und laufend verbessern können.
Die Anforderungen, die ein ISMS erfüllen muss, sind u. a. in der Norm ISO/IEC 27001 geregelt.
Dort finden Sie unter anderem auch eine Liste an Sicherheitskontrollen, um das Sicherheitsniveau in Ihrem Unternehmen zu überprüfen. Dazu gehören zum Beispiel Kontrollen zur Compliance, zum Systemerwerb sowie zur Kommunikations- und Personalsicherheit.
Sie haben jetzt viel über Standards, Schutzziele, Richtlinien und Anforderungen gehört. Diese dienen schließlich als Grundlage für alle operativen Sicherheitsmaßnahmen, die Sie in Ihrem Unternehmen durchführen.
Beispiele für konkrete Maßnahmen sind:
Informationssicherheit ist also mehr, als hier und da vereinzelte Schutzmaßnahmen zu implementieren. Stattdessen erfordert Informationssicherheit umfassendes Know-how und ein ganzheitliches Konzept. Nur so schützen Sie die Informationen in Ihrem Unternehmen nachhaltig.
Professionelle Unterstützung beim Aufbau und Betrieb Ihres ISMS erhalten Sie bei SECJUR. Gerne zeigen wir Ihnen in einer Demo, wie Sie Informationssicherheit mit unserer Plattform effektiv umsetezen.
Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Cybersicherheit rückt verstärkt in den Fokus der EU, und die aktualisierten NIS2-Anforderungen stellen Unternehmen vor erhebliche Aufgaben. Dieser Artikel bietet einen kompakten Überblick über die Pflichten und Vorschriften, die Unternehmen erfüllen müssen, darunter die Selbst-Einordnung als "besonders wichtige" oder "wichtige" Einrichtungen, die Meldung von Sicherheitsvorfällen und die Implementierung von Sicherheitsmaßnahmen. Wir beleuchten die Bedeutung des Risikomanagements, der Sicherheit in der Lieferkette und der Schulung der Mitarbeiter in "Cybersecurity-Hygiene" und zeigen, warum die Einhaltung der NIS2-Anforderungen in ganz Europa von höchster Bedeutung ist.
Dass der Statistik-Dienst von Google, Google Analytics, nicht ohne Weiteres auf Webseiten datenschutzkonform einsetzbar ist, dürfte bekannt sein. In den letzten Tagen gab es dennoch vermehrt Berichte über den Dienst und dessen mangelnde Datenschutzkonformität. Insbesondere die Aufsichtsbehörden innerhalb der Europäischen Union beschäftigen sich intensiv mit dem Dienst.
Datenpannen sind mittlerweile ein alltägliches Thema in den Nachrichten und verursachen hohe Kosten für Unternehmen. Laut einer Studie der „IBM“ hat allein eine einzige Datenpanne im Jahr 2018 ein deutsches Unternehmen bereits 4,25 Millionen Euro gekostet. Die durchschnittlichen Kosten für ein gestohlenes Datenset belaufen sich auf 172 Euro pro Unternehmen, was im Vergleich zum Vorjahr einen Anstieg von 9,1 % bedeutet. Leider werden Datenpannen aufgrund der steigenden Menge an verarbeiteten Daten und des Interesses daran auch in Zukunft eher zu- als abnehmen. Wie geht man also am besten mit Datenpannen um?
.svg)
.svg)
.svg){kind=small}