Informationssicherheit
Bild: Haufe Online Redaktion

Grundlagen für Informationssicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität. Die Vorschriften der DSGVO sind dabei zu beachten. Es ist Sache der Geschäftsleitung, ein umfassendes System im Unternehmen aufzubauen und immer wieder zu kontrollieren, ob dieses funktioniert.

Was ist Informationssicherheit: Eine Definition

Informationssicherheit ist ein komplexes, abstraktes Konstrukt, für welches keine einheitliche Definition existiert. Beim Bundesamt für Informationssicherheit werden Vertraulichkeit, Verfügbarkeit und Integrität als Grundwerte der Informationssicherheit betrachtet.

Die Fachleute empfehlen, folgende Anforderungen zu beachten, nämlich:

  • Authentizität: Diese gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein und dass die Informationen  von der angegebenen Quelle erstellt werden. Der Begriff wird nicht nur für die Identität von Personen verwendet, sondern auch für IT-Komponenten oder Anwendungen.
  • Verbindlichkeit: Dies bedeutet, dass eine Nachricht authentisch ist und der Empfang der Nachricht nicht bestritten werden kann (Nichtabstreitbarkeit).
  • Verfügbarkeit: Es bedeutet, dass Daten und IT-Systeme von autorisierten Personen genutzt werden können, wenn dies benötigt wird. Vor unbefugte Unterbrechungen z.B. durch Hackerangriffe, müssen die Computersysteme geschützt werden.

Der Begriff „Informationssicherheit“ kommt auch in IT-Grundschutzkatalogen des BSI oder in der ISO 27001 vor.

Zur Informationssicherheit gehört die IT-Sicherheit, beide Systeme gehen ineinander über. Zur IT-Sicherheit gehören auch das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Informationssicherheitsmanagement

Informationssicherheitsmanagement, kurz IS-Management, ist die Bezeichnung für die Planungs-, Lenkungs- und Kontrollaufgaben, die erforderlich sind, um Informationssicherheit zu erreichen und kontinuierlich umzusetzen.

Die DSGVO enthält Vorschriften über Schutzmassnahmen. Die Verantwortlichen haben unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Diese sollen sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt und werden erforderlichenfalls überprüft und aktualisiert (Art. 24, Abs. 1 DSGVO). Vorschriften über Sicherheit der Verarbeitung gibt es auch in Art. 25 DSGVO und Art. 32 DSGVO. Wichtig: Die Maßnahmen müssen nachweisbar sein.

Größeren Unternehmen ist zu empfehlen, ein IS-Management-Team, auch IT-Sicherheitsmanagement-Team genannt, aufzubauen. Dieses muss den IT-Sicherheitsbeauftragten unterstützen, z.B. indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

Es ist Sache der Geschäftsleitung, ein ganzheitliches Konzept und Richtlinien für den Betrieb zu erstellen, wobei sie sich mit Vorteil von den IT-Spezialisten beraten lässt. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Mit der Einführung eines IT-Informationssicherheitssystems ist es nicht getan, es handelt sich um einen kontinuierlichen Prozess, wobei die Mitarbeiter rechtzeitig informiert und geschult werden müssen. Eine laufende Kontrolle, ob die Strategien und Konzepte leistungsfähig und wirksam sind, ist unerlässlich, wenn nötig müssen sie verbessert werden. Vorgesetzte müssen ein Vorbild sein. Für Regelverstöße ist ein  klarer und gerechter Maßnahmenkatalog notwendig.

Bedrohungen der Informationssicherheit

Bedrohungen in Bezug auf Datenschutz und IT-Sicherheit gibt es viele und zwar nicht nur externe Hacker oder Industriespione. Hohe Schäden entstanden auch durch CEO-Fraud, auch "Fake President Angriff" genannt. Dabei gibt sich eine Person als Chef aus und verlangt eine Überweisung.

Manchmal lauern die Gefahren auch im eigenen Unternehmen, z.B. durch Unachtsamkeit, leicht zu knackende Passwörter. Immer wieder werden auch handfeste Delikte gegenüber dem Arbeitgeber über die IT-Systeme begangen, wie beispielsweise Veruntreuung, Abzug von Daten usw.

Eine weitere Gefahr ist das BYOD (Bring your own Device), d.h. die Angestellten benutzen ihre eigenen Geräte. Damit lassen sich Datenschutz und IT-Sicherheit nur schwer realisieren, weswegen Fachleute empfehlen, den Mitarbeitern Firmengeräte zur Verfügung zu stellen.

Wichtig: Die Regeln der Informationssicherheit und die Vorschriften über Datenschutz gelten nicht nur für den digitalen Bereich. Daten auf Papier sind ebenso sorgfältig zu schützen und Dokumente mit sensiblen Daten müssen verschlossen werden. Es geht nicht, dass geheime Papier im Büro herumliegen oder gar im Papierkorb landen.

Sensibilisierung für Informationssicherheit

Es ist notwendig, die Angestellten systematisch und regelmäßig über die Gefahren der Informationsicherheit und Schadenszenarien zu informieren, sowie über die Möglichkeiten und Methoden der Sicherung, der IT-Nutzungsrechte und –pflichten. Dazu gehören auch Informationen über relevante Programme und aktuelle Sicherungsmassnahmen und welche Kategorien von Informationen öffentlich, betriebsintern oder geheim sein sollen.

Auch über die juristischen Bestimmungen wie Datenschutz, Sicherung und Aufbewahrung der Daten sind regelmäßige Schulungen notwendig, die für die Angestellten, allenfalls auch für freie Mitarbeiter, verpflichtend sein müssen.

Nicht zuletzt müssen die Mitarbeiter über die betriebseigenen Regeln der IT-Sicherheit informiert werden und darüber, welche Konsequenzen Regelverstöße haben.

Informationssicherheit am Arbeitsplatz

  • Die Geschäftsleitung hat Regeln aufzustellen, wie mit den Firmengeräten und bei BYOD mit den eigenen Geräten umzugehen ist.
  • Um sensible Daten und Geschäftsgeheimnisse zu sichern werden solche am besten nur von bestimmten Personen bearbeitet und zwar an Computern in geschlossenen Räumen ohne Kontakt zum Internet und versiegelten USB-Zugängen. Werden geheime Informationen ausgedruckt, sind die Papiere verschlossen aufzubewahren.
  • Passwörtern müssen schwer zu knacken sein und stetig erneuert werden.
  • Vor bestimmten Aktionen, z.B. bei der Überweisung von höheren Beträgen, sollten Angestellte immer eine analoge Rückfrage stellen müssen. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • Geheimhaltungsverpflichtungen müssen auch nach Beendigung des Arbeitsverhältnisses gelten.
  • Wichtig: Daten, die geheim bleiben sollen, gehören nicht ins Internet!


Bild: mauritius images / Wolfgang Filser /
Cybersicherheit
IT-Sicherheitsbeauftragten bestellen
News
23.08.2023

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und -Vernetzung hinsichtlich aller Lebensbereiche. Demnach ist heutzutage fast jedes Unternehmen von den Funktionen der digitalen Infrastruktur abhängig. Doch wie wirkt sich die Digitalisierung auf Unternehmen aus?

mehr
Aufgaben und Funktion des Datenschutzbeauftragten nach der DSGVO
Datenschutzbeauftragter
Top-Thema
06.06.2023

Ab wann braucht es einen Datenschutzbeauftragten, was sind seine Aufgaben und unterliegt dieser einem besonderen Kündigungsschutz?

mehr
Bild: pixabay
Informationssicherheit
Was unterscheidet Datenschutz von Informationssicherheit?
News
04.08.2022

Bedeuten Datenschutz und Informationssicherheit eigentlich das gleiche? Häufig werden die beiden Begriffe synonym verwendet oder durcheinander gebracht. Dabei den Überblick zu behalten ist gar nicht so einfach.

mehr
Bild: MEV Agency UG
Digitalisierung
Grundlagen der IT-Sicherheit
News
30.11.2021

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Unternehmen sind in zunehmendem Maße vom Funktionieren der digitalen Infrastruktur abhängig. Diese Punkte sollten Sie in Sachen IT-Sicherheit beachten.

mehr
Bild: Haufe Online Redaktion
Informationssicherheit
Immer mehr Datenschutzbehörden äußern Bedenken gegen die Nutzung von Faxgeräten
News
18.10.2021

Erst vor wenigen Monaten hatte die Landesdatenschutzbeauftragte aus Bremen erhebliche Bedenken gegen die Nutzung von Faxgeräten geäußert. Nun rät auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit vor der Technik ab, die kein ausreichendes Sicherheitsniveau mehr bietet.

mehr
Bild: Haufe Online Redaktion
Datenschutz
Integrität in der Informationssicherheit
News
28.05.2021

Die wohl drei wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Werden alle Ziele erfüllt, ist das System gegen Angriffe und unbefugte Zugriffe geschützt.

mehr
Was ist Informationssicherheit - eine Definition
Informationssicherheit
Top-Thema
21.04.2021

Jedes Unternehmen muss sich heutzutage mit dem Thema Informationssicherheit auseinandersetzen. Doch was genau versteht man unter Informationssicherheit?

mehr
1
Bild: Haufe Online Redaktion
IT-Sicherheit
Cyber-Crime - eine von Unternehmen immer noch unterschätzte Gefahr
News
01.12.2017

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.

mehr
Bild: MEV Agency UG
Cyber-Security
Die angespannte Lage der IT-Sicherheit
News
28.11.2017

Auch im Jahr 2017 bleibt die Lage der Sicherheit der digitalen Welt weiterhin angespannt. Hierzu tragen viele Faktoren bei. Mehr dazu im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).

mehr
Bild: MEV-Verlag, Germany
Sicherheit in der Informationstechnik
BSI überarbeitet den IT-Grundschutz grundlegend - hier der Download
News
20.10.2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.

mehr
Bild: Astrium
Kritische Infrastrukturen
Pflichten aus IT-Sicherheitsgesetz und EU-Richtlinie zur Cybersicherheit
News
01.02.2016

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.

mehr
Bild: Haufe Online Redaktion
IT-Sicherheit: Gefährdungen erkennen und minimieren
Typische Sicherheitsmängel
Serie
28.01.2015

Typische Sicherheitsmängel wie veraltete Software und schwache Passwörter erhöhen das Risiko für Cyber-Angriffe erheblich. Im neuesten Bericht zur Lage der IT-Sicherheit in Deutschland werden weitere typische Sicherheitsmängel bei IT-Systemen genannt, keiner davon sollte in Unternehmen zu finden sein.

mehr
Bild: Haufe Online Redaktion
Datensicherheit
IT-Sicherheit in Kommunalverwaltungen
News
05.12.2014

Die Entwicklung der Informationstechnologie und deren zunehmende Durchdringung aller Lebensbereiche führen zu neuen Anforderungen an die Informationssicherheit - auch in den Kommunen. Die kommunalen Spitzenverbände haben zu diesem Thema eine Handreichung veröffentlicht.

mehr
Bild: Haufe Online Redaktion
IT-Gefahren
Mitarbeiter sind das IT-Sicherheitsrisiko Nummer 1
News
13.03.2013

Vielen Unternehmen gelingt es nicht mehr, ihre Daten wirkungsvoll vor Angriffen zu schützen. Die Hacker-Attacken steigen. Und unachtsame Mitarbeiter stellen zusätzlich ein großes Risiko dar, zeigt eine Studie der Beratungsgesellschaft Ernst & Young GmbH in 64 Ländern.

mehr