Informationssicherheit
Bild: Haufe Online Redaktion

Grundlagen für Informationssicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität. Die Vorschriften der DSGVO sind dabei zu beachten. Es ist Sache der Geschäftsleitung, ein umfassendes System im Unternehmen aufzubauen und immer wieder zu kontrollieren, ob dieses funktioniert.

Was ist Informationssicherheit: Eine Definition

Informationssicherheit ist ein komplexes, abstraktes Konstrukt, für welches keine einheitliche Definition existiert. Beim Bundesamt für Informationssicherheit werden Vertraulichkeit, Verfügbarkeit und Integrität als Grundwerte der Informationssicherheit betrachtet.

Die Fachleute empfehlen, folgende Anforderungen zu beachten, nämlich:

  • Authentizität: Diese gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein und dass die Informationen  von der angegebenen Quelle erstellt werden. Der Begriff wird nicht nur für die Identität von Personen verwendet, sondern auch für IT-Komponenten oder Anwendungen.
  • Verbindlichkeit: Dies bedeutet, dass eine Nachricht authentisch ist und der Empfang der Nachricht nicht bestritten werden kann (Nichtabstreitbarkeit).
  • Verfügbarkeit: Es bedeutet, dass Daten und IT-Systeme von autorisierten Personen genutzt werden können, wenn dies benötigt wird. Vor unbefugte Unterbrechungen z.B. durch Hackerangriffe, müssen die Computersysteme geschützt werden.

Der Begriff „Informationssicherheit“ kommt auch in IT-Grundschutzkatalogen des BSI oder in der ISO 27001 vor.

Zur Informationssicherheit gehört die IT-Sicherheit, beide Systeme gehen ineinander über. Zur IT-Sicherheit gehören auch das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Informationssicherheitsmanagement

Informationssicherheitsmanagement, kurz IS-Management, ist die Bezeichnung für die Planungs-, Lenkungs- und Kontrollaufgaben, die erforderlich sind, um Informationssicherheit zu erreichen und kontinuierlich umzusetzen.

Die DSGVO enthält Vorschriften über Schutzmassnahmen. Die Verantwortlichen haben unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Diese sollen sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt und werden erforderlichenfalls überprüft und aktualisiert (Art. 24, Abs. 1 DSGVO). Vorschriften über Sicherheit der Verarbeitung gibt es auch in Art. 25 DSGVO und Art. 32 DSGVO. Wichtig: Die Maßnahmen müssen nachweisbar sein.

Größeren Unternehmen ist zu empfehlen, ein IS-Management-Team, auch IT-Sicherheitsmanagement-Team genannt, aufzubauen. Dieses muss den IT-Sicherheitsbeauftragten unterstützen, z.B. indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

Es ist Sache der Geschäftsleitung, ein ganzheitliches Konzept und Richtlinien für den Betrieb zu erstellen, wobei sie sich mit Vorteil von den IT-Spezialisten beraten lässt. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Mit der Einführung eines IT-Informationssicherheitssystems ist es nicht getan, es handelt sich um einen kontinuierlichen Prozess, wobei die Mitarbeiter rechtzeitig informiert und geschult werden müssen. Eine laufende Kontrolle, ob die Strategien und Konzepte leistungsfähig und wirksam sind, ist unerlässlich, wenn nötig müssen sie verbessert werden. Vorgesetzte müssen ein Vorbild sein. Für Regelverstöße ist ein  klarer und gerechter Maßnahmenkatalog notwendig.

Bedrohungen der Informationssicherheit

Bedrohungen in Bezug auf Datenschutz und IT-Sicherheit gibt es viele und zwar nicht nur externe Hacker oder Industriespione. Hohe Schäden entstanden auch durch CEO-Fraud, auch "Fake President Angriff" genannt. Dabei gibt sich eine Person als Chef aus und verlangt eine Überweisung.

Manchmal lauern die Gefahren auch im eigenen Unternehmen, z.B. durch Unachtsamkeit, leicht zu knackende Passwörter. Immer wieder werden auch handfeste Delikte gegenüber dem Arbeitgeber über die IT-Systeme begangen, wie beispielsweise Veruntreuung, Abzug von Daten usw.

Eine weitere Gefahr ist das BYOD (Bring your own Device), d.h. die Angestellten benutzen ihre eigenen Geräte. Damit lassen sich Datenschutz und IT-Sicherheit nur schwer realisieren, weswegen Fachleute empfehlen, den Mitarbeitern Firmengeräte zur Verfügung zu stellen.

Wichtig: Die Regeln der Informationssicherheit und die Vorschriften über Datenschutz gelten nicht nur für den digitalen Bereich. Daten auf Papier sind ebenso sorgfältig zu schützen und Dokumente mit sensiblen Daten müssen verschlossen werden. Es geht nicht, dass geheime Papier im Büro herumliegen oder gar im Papierkorb landen.

Sensibilisierung für Informationssicherheit

Es ist notwendig, die Angestellten systematisch und regelmäßig über die Gefahren der Informationsicherheit und Schadenszenarien zu informieren, sowie über die Möglichkeiten und Methoden der Sicherung, der IT-Nutzungsrechte und –pflichten. Dazu gehören auch Informationen über relevante Programme und aktuelle Sicherungsmassnahmen und welche Kategorien von Informationen öffentlich, betriebsintern oder geheim sein sollen.

Auch über die juristischen Bestimmungen wie Datenschutz, Sicherung und Aufbewahrung der Daten sind regelmäßige Schulungen notwendig, die für die Angestellten, allenfalls auch für freie Mitarbeiter, verpflichtend sein müssen.

Nicht zuletzt müssen die Mitarbeiter über die betriebseigenen Regeln der IT-Sicherheit informiert werden und darüber, welche Konsequenzen Regelverstöße haben.

Informationssicherheit am Arbeitsplatz

  • Die Geschäftsleitung hat Regeln aufzustellen, wie mit den Firmengeräten und bei BYOD mit den eigenen Geräten umzugehen ist.
  • Um sensible Daten und Geschäftsgeheimnisse zu sichern werden solche am besten nur von bestimmten Personen bearbeitet und zwar an Computern in geschlossenen Räumen ohne Kontakt zum Internet und versiegelten USB-Zugängen. Werden geheime Informationen ausgedruckt, sind die Papiere verschlossen aufzubewahren.
  • Passwörtern müssen schwer zu knacken sein und stetig erneuert werden.
  • Vor bestimmten Aktionen, z.B. bei der Überweisung von höheren Beträgen, sollten Angestellte immer eine analoge Rückfrage stellen müssen. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • Geheimhaltungsverpflichtungen müssen auch nach Beendigung des Arbeitsverhältnisses gelten.
  • Wichtig: Daten, die geheim bleiben sollen, gehören nicht ins Internet!


IT-Sicherheitsbeauftragten bestellen
Bild: mauritius images / Wolfgang Filser /
News 23.08.2023 Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und -Vernetzung hinsichtlich aller Lebensbereiche. Demnach ist heutzutage fast jedes Unternehmen von den Funktionen der digitalen Infrastruktur abhängig. Doch wie wirkt sich die Digitalisierung auf Unternehmen aus?mehr

no-content
Datenschutzbeauftragter
Bild: pixabay
Top-Thema 06.06.2023 Aufgaben und Funktion des Datenschutzbeauftragten nach der DSGVO

Ab wann braucht es einen Datenschutzbeauftragten, was sind seine Aufgaben und unterliegt dieser einem besonderen Kündigungsschutz?mehr

no-content
Was unterscheidet Datenschutz von Informationssicherheit?
Bild: pixabay
News 04.08.2022 Informationssicherheit

Bedeuten Datenschutz und Informationssicherheit eigentlich das gleiche? Häufig werden die beiden Begriffe synonym verwendet oder durcheinander gebracht. Dabei den Überblick zu behalten ist gar nicht so einfach.mehr

no-content
Grundlagen der IT-Sicherheit
Bild: MEV Agency UG
News 30.11.2021 Digitalisierung

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Unternehmen sind in zunehmendem Maße vom Funktionieren der digitalen Infrastruktur abhängig. Diese Punkte sollten Sie in Sachen IT-Sicherheit beachten.mehr

no-content
Immer mehr Datenschutzbehörden äußern Bedenken gegen die Nutzung von Faxgeräten
Bild: Haufe Online Redaktion
News 18.10.2021 Informationssicherheit

Erst vor wenigen Monaten hatte die Landesdatenschutzbeauftragte aus Bremen erhebliche Bedenken gegen die Nutzung von Faxgeräten geäußert. Nun rät auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit vor der Technik ab, die kein ausreichendes Sicherheitsniveau mehr bietet.mehr

no-content
Integrität in der Informationssicherheit
Bild: Haufe Online Redaktion
News 28.05.2021 Datenschutz

Die wohl drei wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Werden alle Ziele erfüllt, ist das System gegen Angriffe und unbefugte Zugriffe geschützt.mehr

no-content
Informationssicherheit
Bild: Haufe Online Redaktion
Top-Thema 21.04.2021 Was ist Informationssicherheit - eine Definition

Jedes Unternehmen muss sich heutzutage mit dem Thema Informationssicherheit auseinandersetzen. Doch was genau versteht man unter Informationssicherheit?mehr

1
Cyber-Crime - eine von Unternehmen immer noch unterschätzte Gefahr
Bild: Haufe Online Redaktion
News 01.12.2017 IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

no-content
Die angespannte Lage der IT-Sicherheit
Bild: MEV Agency UG
News 28.11.2017 Cyber-Security

Auch im Jahr 2017 bleibt die Lage der Sicherheit der digitalen Welt weiterhin angespannt. Hierzu tragen viele Faktoren bei. Mehr dazu im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).mehr

no-content
BSI überarbeitet den IT-Grundschutz grundlegend - hier der Download
Bild: MEV-Verlag, Germany
News 20.10.2017 Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.mehr

no-content
Pflichten aus IT-Sicherheitsgesetz und EU-Richtlinie zur Cybersicherheit
Bild: Astrium
News 01.02.2016 Kritische Infrastrukturen

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.mehr

no-content
Typische Sicherheitsmängel
Bild: Haufe Online Redaktion
Serie 28.01.2015 IT-Sicherheit: Gefährdungen erkennen und minimieren

Typische Sicherheitsmängel wie veraltete Software und schwache Passwörter erhöhen das Risiko für Cyber-Angriffe erheblich. Im neuesten Bericht zur Lage der IT-Sicherheit in Deutschland werden weitere typische Sicherheitsmängel bei IT-Systemen genannt, keiner davon sollte in Unternehmen zu finden sein.mehr

no-content
IT-Sicherheit in Kommunalverwaltungen
Bild: Haufe Online Redaktion
News 05.12.2014 Datensicherheit

Die Entwicklung der Informationstechnologie und deren zunehmende Durchdringung aller Lebensbereiche führen zu neuen Anforderungen an die Informationssicherheit - auch in den Kommunen. Die kommunalen Spitzenverbände haben zu diesem Thema eine Handreichung veröffentlicht.mehr

no-content
Mitarbeiter sind das IT-Sicherheitsrisiko Nummer 1
Bild: Haufe Online Redaktion
News 13.03.2013 IT-Gefahren

Vielen Unternehmen gelingt es nicht mehr, ihre Daten wirkungsvoll vor Angriffen zu schützen. Die Hacker-Attacken steigen. Und unachtsame Mitarbeiter stellen zusätzlich ein großes Risiko dar, zeigt eine Studie der Beratungsgesellschaft Ernst & Young GmbH in 64 Ländern.mehr

no-content