Information Security


Information Security



Der Begriff Information Security beschreibt den Schutz von allen Informationen innerhalb eines Unternehmens. Das umfasst sowohl digitale und analoge Informationen als auch solche mit oder ohne Personenbezug. Informationssicherheit beinhaltet somit sowohl die IT Sicherheit als auch den Datenschutz.

Die unterschiedlichen Arten von Informationen sind folglich auch unterschiedlichen Bedrohungen ausgesetzt. Dazu zählen beispielsweise Vandalismus, Naturgewalten, unsachgemäßes Vernichten von Datenträgern, vergessene Dokumente in Kopiergeräten aber auch Hackerangriffe oder unbefugte Zugriffe auf Netzwerke und IT-Systeme.

Um diesen Bedrohungen entgegenzuwirken basiert die Informationssicherheit nach ISO-27001 auf den wesentlichen Prinzipen Integrität, Vertraulichkeit und Verfügbarkeit. Weitere Prinzipien sind die Verbindlichkeit, Zurechenbarkeit sowie die Authentizität. Weiter unten sind diese Ziele kurz erläutert.

Um Information Security zu gewährleisten ist es notwendig, die oben genannten Sicherheitsziele technisch (IT-Security) aber auch prozessual umzusetzen. Hier werden sowohl externe als auch interne Richtlinien und Standards für den Umgang mit Informationen relevant. Die Richtlinien und Standards bilden den Rahmen für den einheitlich prozessualen Umgang mit Informationen. Dadurch wird sichergestellt, dass neben den technischen auch die menschlichen Sicherheitsrisiken minimiert werden.

Integrität

Integrität bedeutet, dass die Informationen vor Modifikation, Einfügungen, Löschungen, Umordnung, Duplikaten oder Widereinspielung geschützt werden. Das zeigt, dass die Integrität an vielen Prozesspunkten gefährdet sein kann. Beispielsweise ist die Integrität der Informationen betroffen, wenn ein Empfänger einer Email, andere Daten bekommt, als vom Absender gesendet wurden. Aber auch, wenn Backups nach einem Zwischenfall fehlerhaft in die Produktivdaten wiedereingespielt werden. Ein Angriff auf die Integrität kann folglich nicht nur absichtlich sondern auch unbeabsichtigt durch Softwarefehler oder menschliches Versagen erfolgen.

Verbindlichkeit

Verbindlichkeit beschreibt die eindeutige Zuordnung von Sender und Empfängern von Informationen. Das bedeutet, dass ein Empfänger eindeutig den Ursprung der Informationen nachweisen kann („Proof of origin“) und ein Sender die Übermittlung von Informationen beweisen kann („Proof of delivery“).

Vertraulichkeit

Vertraulichkeit bedeutet, die Informationen vor unberechtigter Offenlegung zu schützen. Bei der Vertraulichkeit greift das „need-to-know“-Prinzip. Informationen dürfen nur von befugten Personen verarbeitet bzw. an sie übermittelt werden. Ein Angriff auf die Vertraulichkeit stellt beispielsweise das einloggen in ein System mit Zugangsdaten eines Dritten dar. Oder oft besitzen Unternehmen für ein System nur begrenzte Lizenzen und die Mitarbeiter nutzen die gleichen Zugangsdaten. Bei der Vertraulichkeit müssen Sicherheitsmaßnahmen erhoben werden, damit ein unbefugter Zugriff auf gespeicherte als auch auf übermittelte Daten verhindert werden kann.

Zurechenbarkeit

Zurechenbarkeit beschreibt die Übernahme von Verantwortung, Rechenschaft und/oder Haftung für Informationswerte („information assets“). Das bedeutet, beispielsweise, dass ein Systemowner für die dargestellten Informationen verantwortlich ist und alle Zugriffe kontrolliert sowie überwacht.

Verfügbarkeit

Verfügbarkeit beschreibt die Sicherstellung der Zugänglichkeit und Nutzbarkeit von Informationen für berechtigte Entitäten. Das bedeutet, dass Daten und IT-Systeme für berechtigte Personen zur Verfügung stehen und die Informationen vor Verlust geschützt sind.

Authentizität

Authentizität beschreibt den Nachweis der Echtheit von Informationen. Dieser Vorgang ist bidirektional. Der Vorgang des Nachweises der eigenen Identität (oder andere Eigenschaften) durch eine Person oder Entität wird als Authentisierung bezeichnet. Die Prüfung und Nachweis der Identität (oder anderer Eigenschaften) einer Person oder Entität wird als Authentifizierung bezeichnet. Ein Angriff auf die Authentizität stellt beispielsweise das Bestellen einer Ware unter falschen Namen dar.

Alle oben genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinander greifen und sich gegenseitig bedingen. Folglich wird Information Security nur im abgestimmten Zusammenspiel gewährleistet. Für die Priorisierung der Schutzziele gibt es kein Patentrezept. Während der Analyse ist im Einzelfall zu entscheiden, an welcher Stelle Handlungsmaßnahmen ergriffen werden müssen.

Isa Latta

Head of Consulting

+49(0) 40 181 301 5 25   

Frau Latta ist zertifizierte Datenschutzbeauftragte und hat in den letzten Jahren zahlreiche Unternehmen zum Thema Datenschutz und Informationssicherheit beraten und auditiert.

Name*

E-Mail*

Betreff

Ihre Nachricht an uns

* Sie erklären sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihres Anliegens verwendet werden. Weitere Informationen und Widerrufshinweise finden Aie in der Datenschutzerklärung. Eine Kopie Ihrer Nachricht wird an Ihre E-Mail-Adresse geschickt.

* Pflichtfelder



Security

Löschkonzept: Das Recht, vergessen zu werden

Einer Herausforderung der DSGVO ist das Löschen von Daten, sei es nach Beendigung eines Vertrags oder einer Vereinbarung oder im Rahmen eines Löschrechtsantrags. Nach der DSGVO sind Sie verpflichtet, alle personenbezogenen Daten zu löschen sobald die Zwecke, für die sie...

Erfahren Sie Mehr

0 / Nils Eikemeier / Mai 20, 2019
Security

ePrivacy – die nächste Stufe der DSGVO

ePrivacy gilt für alle Organisationen, die Online-Kommunikationsdienste jeglicher Art bereitstellen. Die Verordnung befindet sich zurzeit noch im Gesetzgebungsverfahren und liegt nur als Entwurf vor. Wenn die elektronische Kommunikation ein wesentlicher Bestandteil Ihres Geschäftsmodells ist, müssen Sie Ihr aktuelles Setup überprüfen...

Erfahren Sie Mehr

0 / Lilith Khurshudyan / Mai 03, 2019
Security

IT-Security nicht nur technisch denken

IT-Sicherheitsvorfälle in Unternehmen können in der Analyse zu ca. 60% auf menschliches Fehlverhalten zurückgeführt werden. Das BSI hat bspw. in einer Befragung ermittelt, dass jeder sechste Mitarbeiter auf eine gefälschte E-Mail der Chefetage antworten und sensible Informationen/Daten preisgeben würde. Dieser...

Erfahren Sie Mehr

0 / Nils Eikemeier / Mai 03, 2019