Sie gewährleistet, dass Informationen vertraulich, unversehrt und jederzeit verfügbar sind. Und umfasst alle organisatorischen und technischen Maßnahmen zum umfassenden Schutz von Informationen jeglicher Art vor unbefugtem Zugriff, Verlust, Manipulation und Störung. Im Gegensatz zur IT-Sicherheit, die sich primär auf technische Systeme konzentriert, verfolgt die Informationssicherheit einen ganzheitlichen Ansatz.
Die drei Schutzziele der Informationssicherheit (CIA-Triade)
Vertraulichkeit (Confidentiality)
Informationen dürfen nur autorisierten Personen zugänglich sein. Dies betrifft sowohl den Zugriff auf gespeicherte Daten als auch die Übertragung von Informationen.
Beispiele für Vertraulichkeitsverletzungen:
- Ungeschützte Einsicht auf Bildschirme von Mitarbeitern in öffentlichen Bereichen
- Offene Aktenschränke mit Personaldokumenten
- Unverschlüsselte Datenübertragung über öffentliche Netzwerke
Integrität (Integrity)
Informationen müssen vollständig, korrekt und unverändert bleiben. Alle Änderungen müssen nachvollziehbar und autorisiert sein.
Schutzmaßnahmen:
- Digitale Signaturen
- Versionskontrolle
- Zugriffskontrollen
- Prüfsummen-Verfahren
Verfügbarkeit (Availability)
Berechtigte Nutzer müssen jederzeit und in angemessener Zeit auf benötigte Informationen zugreifen können.
Bedrohungen der Verfügbarkeit:
- Systemausfälle
- DDoS-Angriffe
- Naturkatastrophen
- Hardwaredefekte
Weitere Schutzziele sind, z. B. Authentizität (prüfbare Herkunft und Echtheit), Verbindlichkeit (Nichtabstreitbarkeit von Handlungen) und Zuverlässigkeit.
Teilbereiche der Informationssicherheit
Informationssicherheit ist ein übergeordnetes Konzept, das mehrere Teilbereiche umfasst:
| Bereich | Beschreibung | Typische Aufgaben |
| IT-Sicherheit | Schutz elektronischer Daten und Systeme (z. B. Server, Netzwerke, Endgeräte) | Firewall-Konfiguration, Virenschutz, Verschlüsselung, Netzwerküberwachung |
| Cyber-Sicherheit | Abwehr von Bedrohungen aus dem Internet (CyberAngriffe, Ransomware, Phishing) | Incident Response, Schwachstellenmanagement, Awareness-Schulung |
| Datenschutz | Schutz personenbezogener Daten gemäß gesetzlichen Vorgaben (z. B. DSGVO) | Datenschutz-Folgenabschätzung, Löschkonzepte, Auftragsverarbeitung |
| Datensicherheit | Sicherstellung, dass Daten nicht verloren gehen (Backup, Redundanz) | Datensicherung, Notfallwiederanlauf, Disaster Recovery |
| Organisatorische Sicherheit | Festlegung von Prozessen, Regeln und Zuständigkeiten innerhalb des Unternehmens | Sicherheitsrichtlinien, Zugriffsmanagement, Notfallpläne, Schulungen |
| Physische Sicherheit | Schutz vor physischen Gefahren (Einbruch, Wasserschaden, Feuer) | Zutrittskontrolle, Brandschutz, Videoüberwachung |
Informationssicherheit: IT-Sicherheit + Datensicherheit + Datenschutz
Aufgaben der Informationssicherheit
Technische Maßnahmen
- Zugangskontrollen: Authentifizierung und Autorisierung
- Verschlüsselung: Schutz von Daten in Übertragung und Speicherung
- Firewalls und Intrusion Detection: Netzwerksicherheit
- Backup-Systeme: Datensicherung und Wiederherstellung
- Antiviren-Software: Schutz vor Malware
Organisatorische Maßnahmen
- Risikoanalyse und -management: Identifizierung, Bewertung und Behandlung von Risiken für Unternehmensinformationen.
- Einführung und Pflege eines Informationssicherheits-Managementsystems (ISMS): Systematische und dokumentierte Vorgehensweise zur Sicherstellung der Informationssicherheit, z. B. nach ISO/IEC 27001
- Sicherheitsrichtlinien: Festlegung von Regeln und Verfahren
- Rollenkonzepte: Definition von Zugriffsrechten
- Notfallmanagement und Reaktion auf Sicherheitsvorfälle: Vorbereitung auf und Bewältigung von Störfällen und Angriffen
- Überwachung und Kontrolle: Kontinuierliche Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen, Durchführung von Audits und Penetrationstests
- Schulungen: Sensibilisierung der Mitarbeiter
- Compliance: Einhaltung gesetzlicher Vorgaben
Physische Sicherheit
- Gebäudesicherheit: Zutrittskontrollen und Überwachung
- Arbeitsplatzschutz: Clean-Desk-Policy
- Schutz vor Umwelteinflüssen: Brand-, Wasser- und Elementarschutz
- Sichere Entsorgung: Vernichtung sensibler Dokumente
Personelle Maßnahmen
- Hintergrundprüfungen: Überprüfung neuer Mitarbeiter in hochsensiblen Bereichen
- Vertraulichkeitserklärungen: Rechtliche Verpflichtungen
- Regelmäßige Schulungen: Awareness-Training und Simulationen
- Verantwortlichkeiten: Klare Rollendefinition
Rechtliche Grundlagen in Deutschland
Datenschutz-Grundverordnung (DSGVO)
Seit 2018 verpflichtet die DSGVO alle Unternehmen zu angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Verstöße können Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes nach sich ziehen.
IT-Sicherheitsgesetz 2.0
Das seit 2021 geltende Gesetz stärkt die Cybersicherheit in Deutschland und erweitert die Pflichten für Betreiber kritischer Infrastrukturen. Es wird 2025 durch das NIS2-Umsetzungsgesetz abgelöst.
NIS2-Richtlinie
Die neue EU-Richtlinie zur Netzwerk- und Informationssicherheit tritt 2025 in Deutschland in Kraft und erweitert den Kreis der verpflichteten Unternehmen erheblich. Rund 30.000 Unternehmen werden von den neuen Anforderungen betroffen sein.
Standards und Normen
ISO 27001
Die internationale Norm für Informationssicherheits-Managementsysteme (ISMS) ist der Goldstandard für systematische Informationssicherheit. Sie bietet einen strukturierten Rahmen für:
- Risikoanalyse und -bewertung
- Implementierung von Sicherheitsmaßnahmen
- Kontinuierliche Verbesserung
- Zertifizierung durch unabhängige Stellen
IT-Grundschutz (BSI)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit dem IT-Grundschutz einen pragmatischen Ansatz für die Umsetzung von Informationssicherheit in deutschen Unternehmen und Behörden.
Weiterführende Links/Quellen:
- Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz Informationssicherheit mit System
- ISO/IEC 27001:2022: ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection
- Daten 360Grad.digital – diverse Blog-Artikel zu Informationssicherheit: Blog von Daten 360Grad.digital
- Daten 360Grad.digital: CyberSecurity-Plattform
Fazit:
Sicherheit ist die Grundlage des digitalen Geschäftserfolgs. Informationssicherheit schützt Ihr Unternehmen vor Cyberangriffen, Datenverlust und rechtlichen Risiken – und sichert so Ihre Zukunftsfähigkeit. Starten Sie jetzt Ihre Sicherheitsoffensive.
