Datenschutz-Akademie » Datenschutz-Wiki » Informationssicherheit

Informationssicherheit, Informationssicherheitsbeauftragte und Informations-Sicherheits-Management

Was ist Informationssicherheit?

Mit zunehmendem Einsatz von IT-Systemen steigt das Risiko, von Cyberattacken oder dem Zugriff Unbefugter auf Informationen und Daten von Unternehmen. Die Informationssicherheit soll diese Daten schützen und deren Vertraulichkeit, Integrität und Verfügbarkeit gewährleisten.

Der Themenbereich Informationssicherheit ist eng verknüpft mit der IT-Sicherheit, Datensicherheit und dem Datenschutz und wird in den meisten Unternehmen durch einen Informationssicherheitsbeauftragen operativ umgesetzt. Dieser orientiert sich bei der Umsetzung an Leitlinien wie dem IT Grundschutz und Normen wie der ISMS-Zertifizierung nach ISO 27001. Die Anforderungen der Leitlinien und Normen werden durch den Informationssicherheitsbeauftragten in ein Informationssicherheits Management System integriert und fortlaufend kontrolliert und optimiert. Für diese Aufgabe bestimmen Unternehmen einen internen ISB oder bestellen einen externen Informationssicherheitsbeauftragen.

Im folgenden Beitrag erfahren Sie, was genau Informationssicherheit ist, welche Schutzziele es gibt und wie diese im Unternehmen integriert werden können.

Wichtigste Informationen über Informationssicherheit

  • Informationssicherheit bedeutet den Schutz von Informationen und Daten
  • Dieser Schutz wird durch technische und organisatorische Maßnahmen im Rahmen der sogenannten Schutzziele gewährleistet.
  • Die wichtigsten Schutzziele sind Verfügbarkeit, Integrität und Vertraulichkeit.
  • Die wichtigsten Anforderungen an die Informationssicherheit sind im „IT-Grundschutz“ vom Bundesamts für Sicherheit in der Informationstechnik (BSI) definiert. Dabei handelt es sich nicht um gesetzliche Anforderungen. Dadurch haben Unternehmen eine gewisse Freiheit bei der Umsetzung von Informationssicherheitskonzepten.
  • Der Informationssicherheitsbeauftragte (ISB) unterstützt Unternehmen bei der Umsetzung Informationssicherheit
  • Maßnahmen zur Informationssicherheit werden über ein Informationssicherheits-Management-Systems (ISMS) gesteuert

Was bedeutet Informationssicherheit?

Informationssicherheit bedeutet den Schutz von Informationen und Daten. Dabei erfolgt ein Schutz vor Gefahren wie der Entschlüsselung von Daten, dem Zugriff oder Änderungen von diesen durch unbefugte Dritte, sowie ein allgemeiner Schutz bei der Übertragung und Speicherung von Daten von einem Ort zum anderen. Um diese Ziele der Informationssicherheit zu gewährleisten, müssen Unternehmen die Schutzziele der Informationssicherheit umsetzen. Diese Umsetzung erfolgt über die Implementierung geeignete Maßnahmen, die durch einen Informationssicherheitsbeauftragten erfolgt und zum Beispiel in den ISO/IEC-27000-Normreihen integriert sind. Die Leitlinie für die Informationssicherheit, der sogenannte „IT-Grundschutz“ wird vom Bundesamts für Sicherheit in der Informationstechnik (BSI) herausgegeben. Für die Informationssicherheit verantwortliche, wie der Informationssicherheitsbeauftragte etablieren und managen Maßnahmen zur Informationssicherheit über ein Informationssicherheits-Management-Systems (ISMS).

Was umfasst die Informationssicherheit?

Der Begriff „Informationssicherheit“ umfasst alle technischen und organisatorischen Maßnahmen, welche die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten.

Informationssicherheit Beispiele technische Maßnahmen

– Räumliche Sicherung von Daten und IT-Komponenten
– Verschlüsslungen
– Softwareaktualisierungen
– Virensoftware
– Firewalls
– Backups
– Authentifizierungsmethoden

Informationssicherheit Beispiele technische Maßnahmen

– Mitarbeiterschulungen
– Richtlinien um Umgang mit Sensiblen Daten (z.B. Passwörter)

Hinzukommen Personal-Maßnahmen, welche sich mit der Sensibilisierung der Benutzer im Bezug auf die Informationssicherheit beschäftigt, sowie lokale Maßnahmen welche physische Maßnahmen beinhaltet. Das meint eine Kontrolle zum Zugang zu Bürostandorten und insbesondere zu Datenzentren.

Was ist der Unterschied zwischen IT-Sicherheit, Informationssicherheit und Datensicherheit?

Der Unterschied zwischen IT-Sicherheit und Informationssicherheit liegt darin, dass die IT-Sicherheit nur ein Teilaspekt der Informationssicherheit ist. Während sich die IT-Sicherheit damit befasst vor allem IT-Systeme in einem Unternehmen vor Schäden und Bedrohungen zu schützen, bezieht die Informationssicherheit alle technischen und nicht-technischen Informationen eines Unternehmens mit ein. Neben den Daten der IT-Systeme fallen dementsprechend auch Papierarchive oder das Betriebsgelände in den Schutz der Informationssicherheit.

Auch die Datensicherheit ist der Informationssicherheit untergeordnet, da die Informationssicherheit durchaus umfangreicher ist. Die Datensicherheit und Informationssicherheit haben allerdings beide zum Ziel Sicherheitsrisiken zu minimieren und Maßnahmen zum Schutz von Daten zu etablieren.

Was unterscheidet Datenschutz von Informationssicherheit?

Der wesentliche Unterschied zwischen Datenschutz und Informationssicherheit liegt darin, dass der Datenschutz das Recht auf informationelle Selbstbestimmung und den Schutz von personenbezogenen Daten fokussiert, wohingegen die Informationssicherheit auf die Sicherung von Daten in Systemen abzielt. Der Datenschutz schützt also Daten von Bürgern und die Informationssicherheit die Daten von Unternehmen. Da aber auch in Unternehmen personenbezogene Daten verarbeitet werden, kommt es oftmals zur Überschneidung zwischen Datenschutz und Informationssicherheit.

Ein weiterer wesentlicher Unterschied ist aber, dass die Umsetzung des Datenschutz gesetzlich über die Datenschutzgrundverordnung (DSGVO) geregelt ist. Für die Umsetzung der Informationssicherheit gibt es zwar die Leitlinie für die Informationssicherheit des BSI, es handelt sich dabei allerdings nicht um eine gesetzliche Grundlage. Dadurch können Unternehmen unterschiedliche Konzepte einführen.

Die Schutzziele der Informationssicherheit

Die wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Daten gelten als vertraulich, wenn nur autorisierte, befugte Personen Zugriff auf diese Informationen haben. Dabei muss eine Identifikation aller Personen möglich sein, welche auf die Daten zugreifen. Zu erreichen ist dieses Schutzziel beispielsweise durch eine 2-fach Authentifizierung, durch Passwörter oder Verschlüsslungen. Die Integrität von Daten beschreibt, dass Daten in ihrem korrekten sowie vollständigen Zustand erhalten werden und diese vor beabsichtigter/ versehentlicher Veränderungen geschützt werden. Dies schließt ein, dass Unbefugte, wie Hacker keinen Zugriff und somit keine Möglichkeit zur Änderung haben. Verfügbarkeit von Information meint die Gewährleistung des Zugriffs auf die Informationen in zugesicherter Art und Weise für Nutzer mit entsprechender Berechtigung. Nachfolgend sind die Definition der Schutzziele der Informationssicherheit nach dem IT-Grundschutz des BSI aufgeführt.

Definition der Schutzziele der Informationssicherheit nach dem BSI:

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind. In der Informationstechnik wird er in der Regel aber weiter gefasst und auf „Informationen“ angewendet. Der Begriff „Information“ wird dabei für „Daten“ verwendet, denen je nach Zusammenhang bestimmte Attribute wie z.B. Autor oder Zeitpunkt der Erstellung zugeordnet werden können. Der Verlust der Integrität von Informationen kann daher bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können.

Bei der Nichtabstreitbarkeit liegt der Schwerpunkt auf der Nachweisbarkeit gegenüber Dritten. Ziel ist es zu gewährleisten, dass der Versand und Empfang von Daten und Informationen nicht in Abrede gestellt werden kann. Es wird unterschieden zwischen

  • Nichtabstreitbarkeit der Herkunft: Es soll einem Absender einer Nachricht unmöglich sein, das Absenden einer bestimmten Nachricht nachträglich zu bestreiten.
  • Nichtabstreitbarkeit des Erhalts: Es soll einem Empfänger einer Nachricht unmöglich sein, den Erhalt einer gesendeten Nachricht nachträglich zu bestreiten

Unter Verbindlichkeit werden die Sicherheitsziele Authentizität und Nichtabstreitbarkeit zusammengefasst. Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann

Die Umsetzung eines Informationssicherheitskonzepts

Ein Informationssicherheitskonzept (kurz ISK) ist die systematische Umsetzung der Ziele der Informationssicherheit, durch technische als auch organisatorische Maßnahmen. Das Informationssicherheitskonzept stellt den langfristigen Schutz von Informationen, auch bei sich ändernden technischen, organisatorischen, personellen oder rechtlichen Anforderungen sicher. Wie auch das Datenschutz-Management-System, wird das Informationssicherheitskonzept kontinuierlich überprüft und optimiert. Dies geschieht anhand des Plan-Do-Check-Act-Zyklus / PDCA-Zyklus in den folgenden vier sich wiederholenden Schritten:

  • Schwachstellen über eine Bestandsaufnahme identifizieren
  • Bewertung der identifizierten Schwachstellen, durch die Beschreibung der Risiken und Erstellung von Lösungsvorschlägen
  • Planung und Umsetzung der Maßnahmen
  • Überprüfung der Wirksamkeit der Maßnahmen sowie Reaktion auf Veränderungen

Inhalt des Informationssicherheitskonzeptes

Diese Schritte des Informationssicherheitskonzeptes enthalten folgende Vorgehensweisen und Maßnahmen:

  • Identifikation neuer und bestehender Risiken
  • Planung von Maßnahmen zur Beseitigung oder Minimierung von Risiken
  • Kontinuierliche Weiterentwicklung der Sicherheitskultur in der Organisation
  • Etablierung von Verantwortlichen zum Betrieb und Umsetzung des Informationssicherheitskonzeptes (z. B. Informationssicherheitsbeauftragter)
  • Entwicklung von Richtlinien zur Umsetzung des ISK und Einführung in die Organisation
  • Organisation regelmäßiger Sensibilisierung der Mitarbeiter für Informationssicherheit

Informationssicherheitsrichtlinie: Inhalt und Aufbau

Die Informationssicherheitsrichtlinie ist Teil des Informationssicherheitskonzeptes und beschreibt alle technischen und nicht-technischen Systeme, die bei der Datenverarbeitung Verwendung finden sowie die damit einhergehenden Sicherheitsanforderungen.  Diese Richtlinie wird von der Unternehmensleitung entworfen und enthält einzuhaltende Maßnahmen und Vorschriften, welche sowohl von allen Mitarbeitern des Unternehmens als auch von der Unternehmensleitung eingehalten werden muss.

Das Bundesamt für Informationstechnik empfiehlt als Leitlinie zur Informationssicherheit folgenden Aufbau der Informationssicherheitsrichtlinie:

  1. Kontext
    • Einleitung
    • Geltungs- und Anwendungsbereich
    • Ansprechpartner
    • Verantwortlichkeiten
  2. Stellenwert der Informationstechnologie und Informationssicherheit
  3. Unternehmensziele
  4. Organisation des Managementsystems für Informationssicherheit
    • Geschäftsführung
    • IT-Leitung
    • Informationssicherheitsbeauftragter
    • ICS-ISB
    • IS-Managementsystem-Team
    • Mitarbeiter
    • Weitere Verantwortlichkeiten
  5. Folgen von Zuwiderhandlungen
  6. Weitere Maßnahmen
  7. Inkrafttreten

Informationssicherheit: Beispielen für die Umsetzung am Arbeitsplatz

Die besten technischen Vorkehrungen zum Schutz von Daten nützen wenig, wenn Mitarbeiter nicht ausreichend geschult sind. Mitarbeiter sollten, vor allem dann, wenn sie Zugriff auf zu schützende Daten haben, ihren Arbeitsplatz bei jedem Verlassen sperren. Anderenfalls können Dritte einfach auf die Daten zugreifen.

Aber auch der die Passwortsicherheit spielt eine entscheidende Rolle zur Gewährleistung der Informationssicherheit am Arbeitsplatz. Passwörter sollten nie offen am Arbeitsplatz einsehbar sein, wie Beispielsweise auf einem Notizzettel. Auch typische Verstecke für Passwörter, wie unter der Tastatur, sollten vermieden werden.  Zudem sollten sichere Passwörter verwendet werden. Diese zeichnen sich durch eine ausreichende Länge von mind. 8 Zeichen unter Verwendung alphanumerischer Zeichen (Groß- und Kleinschreibung, Zahlen, Sonderzeichen) aus. Dabei sollte für jede Anwendung ein eigenes Passwort verwendet werden, welches und sollten regelmäßig geändert wird. Hinzukommt, dass das Computerpasswort nicht im Internet verwendet werden sollte. Andernfalls ist das Ausspähen des Passwortes einfacher und der Schutz des Computers sowie der darauf befindlichen Daten kann schlechter gewährleistet werden. Alle Passwörter sollten regelmäßig geändert werden. Im Internet ohnehin Vorsicht geboten, unseriöse Seiten können einen Virenbefall verursachen und Hackern den Zugriff auf den Computer ermöglichen.

Mitarbeiter sollten auch im Umgang mit Spam sowie verdächtigen und gefährlichen E-Mails geschult werden. Häufig werden in Form von Links oder Anhängen Viren verschickt, welche dann auf den Computer geladen werden. Dementsprechend sollten Mitarbeiten auf suspekte E-Mails achten und keine Links oder Anhänge in diesen öffnen. Sollte es dennoch passieren, dass ein Virus heruntergeladen wird, sollten Mitarbeiter über das Vorgehen belehrt werden. Zum Beispiel: Computer aus Netzwerk nehmen und umgehend die IT informieren.

Werden vertrauliche Dokumente ausgedruckt, ist darauf zu achten diese nicht versehentlich im Drucker oder beim Kopieren im Scanner liegen zu lassen. Auch sollten Fehlkopien nie einfach im Papierkorb entsorgt werden, sondern immer mittels Aktenvernichter vernichtet werden.

Zu beachten sind aber auch mobile Geräte und Datenträger, welche am Speicherplatz verwendet werden und ebenfalls ein Risiko darstellen. Diese gehen häufiger verloren als Computer am Arbeitsplatz, enthalten aber oft die gleichen Daten.

Der Informationssicherheitsbeauftragte

Ein Informationssicherheitsbeauftragter (kurz ISB oder auch als „CISO“ Chief Information Security Officer oder „ISM“ Informationssicherheitsmanager bezeichnet) unterstützt Unternehmen bei der Umsetzung und Einhaltung der Informationssicherheit. Damit stellt er gleichzeitig eine Entlastung für das Unternehmen dar. Bei Fragen zu IT-Sicherheit und dem Schutz jeglicher Daten ist er der zentrale Ansprechpartner der Unternehmensleitung. Dennoch bleibt die Verantwortung  für die Informationssicherheit bei der Unternehmensleitung.

Was macht ein Informationssicherheitsbeauftragter?

Informationssicherheitsbeauftragte gewährleiten den Erhalt des angestrebten Niveaus der Informationssicherheit. Dabei ist der Aufgabenbereich eines ISB sehr umfangreich. Darunter fallen:

  • Mitarbeiterschulungen (vor Ort oder Online),
  • Beratung der Geschäftsführung,
  • Ansprechpartner bei Problemen und Fragen,
  • Ausarbeitung von Sicherheitskonzepten,
  • Überprüfung der Datensicherung und Firewalls,
  • Interne Audits und Auditbegleitung,
  • Dokumentation der Informationssicherheits-Maßnahmen,
  • Entwicklung von Sicherheitszielen

Wer darf Informationssicherheitsbeauftragter sein?

Grundsätzlich besteht für Unternehmen keine Pflicht einen Informationssicherheitsbeauftragten zu beschäftigten (ausgenommen KRITIS-Unternehmen). Entscheiden Sie sich für die Arbeit mit einem Informationssicherheitsbeauftragten, bieten sich Ihnen zwei Möglichkeiten. So kann ein Spezialist mit entsprechender Fachkenntnis und Erfahrung als externer Informationssicherheitsbeauftragter Ihr Unternehmen betreuen. Aber auch eine interne Lösung ist möglich, indem Ihr Unternehmen einen bestehenden Mitarbeiter zum Informationssicherheitsbeauftragten ausbilden lässt.

Fällt Ihre Wahl auf einen internen Sicherheitsbeauftragten, ist darauf zu achten, dass kein Interessenskonflikt entstehen darf. Deswegen können weder Mitarbeiter der Geschäftsführung noch Mitarbeiter der Leitung der IT-Abteilung als Informationssicherheitsbeauftragte fungieren.

Wie wird man Informationssicherheitsbeauftragter?

Zum Informationssicherheitsbeauftragten qualifizieren sich jene Personen, welche über Fachwissen und Berufserfahrung im Bereich Informationssicherheit verfügen. Fachkenntnisse können durch Schulungen oder Weiterbildungen erlangt werden. Eine gesetzliche Regelung zur Ausbildung zum ISB existiert nicht. Wollen Sie einen Mitarbeiter zum ISB aus- oder weiterbilden lassen, können Sie dies mit Schulungen z.B. bei der DEKRA, TÜV oder Industrie- und Handelskammern tun. Die Inhalte der Schulungen richten sich nach der international anerkannten ISO 27001 sowie dem IT-Grundschutzstandard des Bundesamtes für Sicherheit in der Informationstechnik. Die Kosten für eine Schulung zum ISB variieren abhängig von Anbieter sowie dem Abschluss/ Zertifikat und belaufen sich zwischen 2500 und 3500€ Netto pro Schulungsteilnehmer.

Gern können Sie uns als externen Informationssicherheitsbeauftragten bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits im Bereich Informationssicherheit an. Wir erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Informationssicherheitsbeauftragten finden Sie auf unserer Website.

Mehr erfahren

Was ist ein Informationssicherheits Management System (ISMS)?

Eine Informationssicherheits-Management-System bzw. „ISMS“ (engl. „Information Security Management System“) definiert Regeln und Methoden zur Gewährleistung, Überprüfung und Verbesserung der Informationssicherheit.  Es Informationssicherheitsbeauftragte steuern über das ISMS technische und organisatorische IT-Sicherheitsmaßnahmen und Überwachen darüber regelmäßig die Umsetzung der geplanten Maßnahmen gemäß der  Anforderungen der der ISO 27001. Da das Datenschutz-Management-System keine Sonderform des Informationssicherheits-Management-Systems ist, lässt sich dieses auch nicht durch ein ISMS ersetzen, vielmehr ergänzen sich diese beiden Systeme und werden oftmals durch Software-as-a-Service (kurz „SaaS“) Lösungen technisch umgesetzt.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Datenschutzpannen

Datenschutzpannen

Wann ist ein Vorfall meldepflichtig? Wie lässt sich das Risiko verringern? So melden Sie Datenpannen nach der DSGVO richtig.
Anonymisierte Daten

Informationelle Selbstbestimmung

Das Recht auf informationelle Selbstbestimmung hat zunehmende Bedeutung im digitalen Zeitalter und steht im direkten Zusammenhang mit dem Datenschutz und der DSGVO.
Datenschutz Grundlagen

Datenschutz

Datenschutz ist allgemein der Schutz personenbezogener Daten eines jeden Einzelnen vor deren unerlaubter Erhebung, Verarbeitung und Weitergabe.