Information Security


Information Security



Was bedeutet Informationssicherheit?

Der Begriff Informationssicherheit / Information Security beschreibt den Schutz aller Informationen innerhalb eines Unternehmens. Das umfasst sowohl digitale und analoge Informationen als auch solche mit oder ohne Personenbezug. Informationssicherheit beinhaltet somit sowohl die IT Sicherheit als auch den Datenschutz. Die Informationssicherheit basiert im Wesentlichen auf den Prinzipien Vertraulichkeit, Verfügbarkeit und Integrität.

 

Warum benötigen Sie Schutz?

Informationen werden auf unterschiedlichen Medien gespeichert. Die unterschiedlichen Formen von Informationen sind folglich auch unterschiedlichen Bedrohungen ausgesetzt. Dazu zählen beispielsweise Vandalismus, Naturgewalten, unsachgemäßes Vernichten von Datenträgern, vergessene Dokumente in Kopiergeräten aber auch Hackerangriffe oder unbefugte Zugriffe auf Netzwerke und IT-Systeme.

 

Wie kann Information Security gewährleistet werden?

Um diesen Bedrohungen entgegenzuwirken basiert die Informationssicherheit nach ISO-27001 auf einem ganzheitlichen Sicherheitskonzept und umfasst sowohl technische als auch organisatorische Maßnahmen. Hier werden sowohl externe als auch interne Richtlinien und Standards für den Umgang mit Informationen relevant. Die Richtlinien und Standards bilden den Rahmen für den einheitlich prozessualen Umgang mit Informationen. Dadurch wird sichergestellt, dass neben den technischen auch die prozessualen/menschlichen Sicherheitsrisiken minimiert werden.

Was können Sie tun?

Lassen Sie sich von uns helfen! Vereinbaren Sie ein unverbindliches Gespräch und erfahren Sie mehr über die Notwendigkeit von Informationssicherheit. Wir können Ihnen dabei helfen, für mehr Informationssicherheit in Ihrem Unternehmen zu sorgen.

Integrität

Integrität bedeutet, dass die Informationen vor Modifikation, Einfügungen, Löschungen, Umordnung, Duplikaten oder Widereinspielung geschützt werden. Das zeigt, dass die Integrität an vielen Prozesspunkten gefährdet sein kann. Beispielsweise ist die Integrität der Informationen betroffen, wenn ein Empfänger einer Email, andere Daten bekommt, als vom Absender gesendet wurden. Aber auch, wenn Backups nach einem Zwischenfall fehlerhaft in die Produktivdaten wiedereingespielt werden. Ein Angriff auf die Integrität kann folglich nicht nur absichtlich sondern auch unbeabsichtigt durch Softwarefehler oder menschliches Versagen erfolgen.

Verbindlichkeit

Verbindlichkeit beschreibt die eindeutige Zuordnung von Sender und Empfängern von Informationen. Das bedeutet, dass ein Empfänger eindeutig den Ursprung der Informationen nachweisen kann („Proof of origin“) und ein Sender die Übermittlung von Informationen beweisen kann („Proof of delivery“).

Vertraulichkeit

Vertraulichkeit bedeutet, die Informationen vor unberechtigter Offenlegung zu schützen. Bei der Vertraulichkeit greift das „need-to-know“-Prinzip. Informationen dürfen nur von befugten Personen verarbeitet bzw. an sie übermittelt werden. Ein Angriff auf die Vertraulichkeit stellt beispielsweise das einloggen in ein System mit Zugangsdaten eines Dritten dar. Oder oft besitzen Unternehmen für ein System nur begrenzte Lizenzen und die Mitarbeiter nutzen die gleichen Zugangsdaten. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.

Zurechenbarkeit

Zurechenbarkeit beschreibt die Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte („information assets“). Das bedeutet, beispielsweise, dass ein Systemowner für die dargestellten Informationen verantwortlich ist und alle Zugriffe kontrolliert sowie überwacht.

Verfügbarkeit

Verfügbarkeit beschreibt die Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Entitäten. Das bedeutet, dass Daten und IT-Systeme für berechtigte Personen zur Verfügung stehen und die Informationen vor Verlust geschützt sind.

Authentizität

Authentizität beschreibt den Nachweis der Echtheit von Informationen. Dieser Vorgang ist bidirektional. Der Vorgang des Nachweises der eigenen Identität (oder andere Eigenschaften) durch eine Person oder Entität wird als Authentisierung bezeichnet. Die Prüfung und Nachweis der Identität (oder anderer Eigenschaften) einer Person oder Entität wird als Authentifizierung bezeichnet. Ein Angriff auf die Authentizität stellt beispielsweise das Bestellen einer Ware unter falschen Namen dar.

Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Folglich wird Information Security nur im abgestimmten Zusammenspiel gewährleistet. Für die Priorisierung der Schutzziele gibt es kein Patentrezept. Während der Analyse ist im Einzelfall zu entscheiden, an welcher Stelle Handlungsmaßnahmen ergriffen werden müssen.

Nils Eikemeier

Head of Consulting

+49 40 33 44 2409

Nils Eikemeier ist zertifizierter „Information Security Officer“. Als e2e Consultant unterstützt er Unternehmen in den Bereichen: Information Security, IT-Security, Data Protection.

Name*

E-Mail*

Betreff*

Ihre Nachricht an uns*

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

Dieses Formular wird nicht vom Internet Explorer unterstütz, bitte benutzen Sie für die Anmeldung einen anderen Browser.



Security

Smarthome-Geräte hören mit

IT-Sicherheitsexperten warnen immer wieder vor den Gefahren von Smarthomes, wie zum Beispiel Amazon Echo oder Google Home. Personen, die diese Geräte nutzen, laufen Gefahr, ihre privaten Daten und vertraulichen Informationen zu verlieren. Ein von Forschern des SRLabs durchgeführtes Experiment, zeigt...

Erfahren Sie Mehr

0 / Isa Latta / Nov 08, 2019