Informationssicherheit

Grundlagen für Informationssicherheit sind Vertraulichkeit, Verfügbarkeit und Integrität. Die Vorschriften der DSGVO sind dabei zu beachten. Es ist Sache der Geschäftsleitung, ein umfassendes System im Unternehmen aufzubauen und immer wieder zu kontrollieren, ob dieses funktioniert.


Top-Thema 26.02.2019 Was ist Informationssicherheit - eine Defintion

News 08.05.2019 Digitalisierung

Was ist Informationssicherheit: Eine Definition

Informationssicherheit ist ein komplexes, abstraktes Konstrukt, für welches keine einheitliche Definition existiert. Beim Bundesamt für Informationssicherheit werden Vertraulichkeit, Verfügbarkeit und Integrität als Grundwerte der Informationssicherheit betrachtet.

Die Fachleute empfehlen, folgende Anforderungen zu beachten, nämlich:

  • Authentizität: Diese gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein und dass die Informationen  von der angegebenen Quelle erstellt werden. Der Begriff wird nicht nur für die Identität von Personen verwendet, sondern auch für IT-Komponenten oder Anwendungen.
  • Verbindlichkeit: Dies bedeutet, dass eine Nachricht authentisch ist und der Empfang der Nachricht nicht bestritten werden kann (Nichtabstreitbarkeit).
  • Verfügbarkeit: Es bedeutet, dass Daten und IT-Systeme von autorisierten Personen genutzt werden können, wenn dies benötigt wird. Vor unbefugte Unterbrechungen z.B. durch Hackerangriffe, müssen die Computersysteme geschützt werden.

Der Begriff „Informationssicherheit“ kommt auch in IT-Grundschutzkatalogen des BSI oder in der ISO 27001 vor.

Zur Informationssicherheit gehört die IT-Sicherheit, beide Systeme gehen ineinander über. Zur IT-Sicherheit gehören auch das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Informationssicherheitsmanagement

Informationssicherheitsmanagement, kurz IS-Management, ist die Bezeichnung für die Planungs-, Lenkungs- und Kontrollaufgaben, die erforderlich sind, um Informationssicherheit zu erreichen und kontinuierlich umzusetzen.

Die DSGVO enthält Vorschriften über Schutzmassnahmen. Die Verantwortlichen haben unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Diese sollen sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt und werden erforderlichenfalls überprüft und aktualisiert (Art. 24, Abs. 1 DSGVO). Vorschriften über Sicherheit der Verarbeitung gibt es auch in Art. 25 DSGVO und Art. 32 DSGVO. Wichtig: Die Maßnahmen müssen nachweisbar sein.

Größeren Unternehmen ist zu empfehlen, ein IS-Management-Team, auch IT-Sicherheitsmanagement-Team genannt, aufzubauen. Dieses muss den IT-Sicherheitsbeauftragten unterstützen, z.B. indem es übergreifende Maßnahmen in der Gesamtorganisation koordiniert, Informationen zusammenträgt und Kontrollaufgaben durchführt.

Es ist Sache der Geschäftsleitung, ein ganzheitliches Konzept und Richtlinien für den Betrieb zu erstellen, wobei sie sich mit Vorteil von den IT-Spezialisten beraten lässt. Eine Risiko- und Schwachstellenanalyse ist dafür eine nützliche Grundlage. Mit der Einführung eines IT-Informationssicherheitssystems ist es nicht getan, es handelt sich um einen kontinuierlichen Prozess, wobei die Mitarbeiter rechtzeitig informiert und geschult werden müssen. Eine laufende Kontrolle, ob die Strategien und Konzepte leistungsfähig und wirksam sind, ist unerlässlich, wenn nötig müssen sie verbessert werden. Vorgesetzte müssen ein Vorbild sein. Für Regelverstöße ist ein  klarer und gerechter Maßnahmenkatalog notwendig.

Bedrohungen der Informationssicherheit

Bedrohungen in Bezug auf Datenschutz und IT-Sicherheit gibt es viele und zwar nicht nur externe Hacker oder Industriespione. Hohe Schäden entstanden auch durch CEO-Fraud, auch "Fake President Angriff" genannt. Dabei gibt sich eine Person als Chef aus und verlangt eine Überweisung.

Manchmal lauern die Gefahren auch im eigenen Unternehmen, z.B. durch Unachtsamkeit, leicht zu knackende Passwörter. Immer wieder werden auch handfeste Delikte gegenüber dem Arbeitgeber über die IT-Systeme begangen, wie beispielsweise Veruntreuung, Abzug von Daten usw.

Eine weitere Gefahr ist das BYOD (Bring your own Device), d.h. die Angestellten benutzen ihre eigenen Geräte. Damit lassen sich Datenschutz und IT-Sicherheit nur schwer realisieren, weswegen Fachleute empfehlen, den Mitarbeitern Firmengeräte zur Verfügung zu stellen.

Wichtig: Die Regeln der Informationssicherheit und die Vorschriften über Datenschutz gelten nicht nur für den digitalen Bereich. Daten auf Papier sind ebenso sorgfältig zu schützen und Dokumente mit sensiblen Daten müssen verschlossen werden. Es geht nicht, dass geheime Papier im Büro herumliegen oder gar im Papierkorb landen.

Sensibilisierung für Informationssicherheit

Es ist notwendig, die Angestellten systematisch und regelmäßig über die Gefahren der Informationsicherheit und Schadenszenarien zu informieren, sowie über die Möglichkeiten und Methoden der Sicherung, der IT-Nutzungsrechte und –pflichten. Dazu gehören auch Informationen über relevante Programme und aktuelle Sicherungsmassnahmen und welche Kategorien von Informationen öffentlich, betriebsintern oder geheim sein sollen.

Auch über die juristischen Bestimmungen wie Datenschutz, Sicherung und Aufbewahrung der Daten sind regelmäßige Schulungen notwendig, die für die Angestellten, allenfalls auch für freie Mitarbeiter, verpflichtend sein müssen.

Nicht zuletzt müssen die Mitarbeiter über die betriebseigenen Regeln der IT-Sicherheit informiert werden und darüber, welche Konsequenzen Regelverstöße haben.

Informationssicherheit am Arbeitsplatz

  • Die Geschäftsleitung hat Regeln aufzustellen, wie mit den Firmengeräten und bei BYOD mit den eigenen Geräten umzugehen ist.
  • Um sensible Daten und Geschäftsgeheimnisse zu sichern werden solche am besten nur von bestimmten Personen bearbeitet und zwar an Computern in geschlossenen Räumen ohne Kontakt zum Internet und versiegelten USB-Zugängen. Werden geheime Informationen ausgedruckt, sind die Papiere verschlossen aufzubewahren.
  • Passwörtern müssen schwer zu knacken sein und stetig erneuert werden.
  • Vor bestimmten Aktionen, z.B. bei der Überweisung von höheren Beträgen, sollten Angestellte immer eine analoge Rückfrage stellen müssen. Der Befragte beantwortet diese am besten mit einem Sicherheitscodewort, das nur die Betroffenen kennen.
  • Nach Beendigung des Arbeitsverhältnisses müssen die Zugänge und Passwörter für die betreffende Person sofort gesperrt werden.
  • Geheimhaltungsverpflichtungen müssen auch nach Beendigung des Arbeitsverhältnisses gelten.
  • Wichtig: Daten, die geheim bleiben sollen, gehören nicht ins Internet!


News 06.02.2019 Informationssicherheit

Bedeuten Datenschutz und Informationssicherheit eigentlich das gleiche? Im Arbeitsleben werden sich solche Fragen ständig gestellt.mehr

no-content
News 29.01.2019 Datenschutz

Die wohl drei wichtigsten Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Anhand dieser Schutzziele kann man erkennen, inwieweit ein System die Informationssicherheit erreicht hat.mehr

no-content
News 18.04.2018 Cybersicherheit

In den letzten Jahren entwickelte sich eine zunehmende IT-Durchdringung und Vernetzung praktisch aller Lebensbereiche. Fast jedes Unternehmen ist heutzutage von dem Funktionieren der digitalen Infrastruktur abhängig.mehr

no-content
News 01.12.2017 IT-Sicherheit

Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten - diesen Risiken hat neben dem BSI nun auch die BaFin den Kampf angesagt.mehr

no-content
News 28.11.2017 Cyber-Security

Auch im Jahr 2017 bleibt die Lage der Sicherheit der digitalen Welt weiterhin angespannt. Hierzu tragen viele Faktoren bei. Mehr dazu im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI).mehr

no-content
News 20.10.2017 Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz modernisiert. Der erstmals 1994 eingeführte IT-Grundschutz soll Wirtschaft und Verwaltung eine Methodik an die Hand geben, um das Niveau der Datensicherheit zu erhöhen. In der jetzt vorgestellten Überarbeitung werden aktuelle Themen wie Cloud oder IoT behandelt und es wird insbesondere auf die KMU-Bedürfnisse eingegangen.mehr

no-content
News 01.02.2016 Kritische Infrastrukturen

Auf viele Unternehmen kommen zusätzliche Sicherungspflichten zu: Nachdem im letzten Sommer das neue nationale IT-Sicherheitsgesetz in Kraft getreten ist, gibt es nun mit einer europäischen Richtlinie zur gemeinsamen Netz- und Informationssicherheit eine weitere Vorgabe, mit der vor allem die IT-Sicherheit im Bereich kritischer Infrastrukturen verbessert werden soll.mehr

no-content
News 29.10.2015 Schulungsbedarf im Mittelstand

Der Sicherheitsmonitor Mittelstand 2015 zeigt ein erschreckendes Bild: Die IT-Sicherheit im Mittelstand fristet nach wie vor ein kümmerliches Dasein. Das Risiko, durch Cyberangriffe ernsthaft geschädigt zu werden, ist hoch. Das Bewusstsein, etwas dagegen tun zu müssen, ist gering.mehr

no-content
News 24.06.2015 ISO-Managementsysteme

Ob Qualität, Umwelt, Energie oder Informationssicherheit. Die Zahl der Unternehmen, die ihre Managementsysteme nach einem ISO-Standard zertifizieren lassen, wächst - z. T. rasant. Das gilt für Deutschland, Europa, aber auch weltweit.mehr

no-content
Serie 28.01.2015 IT-Sicherheit: Gefährdungen erkennen und minimieren

Typische Sicherheitsmängel wie veraltete Software und schwache Passwörter erhöhen das Risiko für Cyber-Angriffe erheblich. Im neuesten Bericht zur Lage der IT-Sicherheit in Deutschland werden weitere typische Sicherheitsmängel bei IT-Systemen genannt, keiner davon sollte in Unternehmen zu finden sein.mehr

no-content
News 05.12.2014 Datensicherheit

Die Entwicklung der Informationstechnologie und deren zunehmende Durchdringung aller Lebensbereiche führen zu neuen Anforderungen an die Informationssicherheit - auch in den Kommunen. Die kommunalen Spitzenverbände haben zu diesem Thema eine Handreichung veröffentlicht.mehr

no-content
News 22.08.2014 Mitarbeiter sensibilisieren

Sicherheitsrichtlinien helfen nur dann, wenn sie auch praktisch umgesetzt werden. Die Initiative "Deutschland sicher im Netz" und die DATEV haben einen Leitfaden für Verhaltensregeln zur Informationssicherheit zusammengestellt, der Mitarbeiter für das Thema sensibilisieren und konkrete Hilfestellungen geben soll.mehr

no-content
News 13.03.2013 IT-Gefahren

Vielen Unternehmen gelingt es nicht mehr, ihre Daten wirkungsvoll vor Angriffen zu schützen. Die Hacker-Attacken steigen. Und unachtsame Mitarbeiter stellen zusätzlich ein großes Risiko dar, zeigt eine Studie der Beratungsgesellschaft Ernst & Young GmbH in 64 Ländern.mehr

no-content