Cybersicherheit & Informationssicherheit: Was ist der Unterschied?

Was genau ist Informationssicherheit?

Informationssicherheit gibt es schon viel länger als vermuten lässt. Alle Unternehmen verarbeiten vertrauliche Daten; es sollte also selbstverständlich sein, dass diese sicher aufbewahrt werden. 

Bei der Informationssicherheit geht es nämlich um sämtliche Informationen, über die ein Unternehmen verfügt. Darunter fallen Kundendaten, Personalakten und Finanzinformationen. Zwar werden die meisten dieser Daten heute in Computer-Datenbanken gespeichert und verarbeitet, doch auch nicht elektronisch verarbeitete Daten gibt es noch.

Für die Informationen, über die ein Unternehmen verfügt, sollte regelmäßig eine Risikobewertung durchgeführt werden. Nur so können Risiken mithilfe von Richtlinien und Programmen abgemildert werden.

Beispiel: Eine Bank kann ohne ordnungsgemäße Überprüfung keine Kontodaten herausgeben. Diese Überprüfung unterscheidet sich je nachdem, wie Kunden mit der Bank in Kontakt treten.

Wenn Kunden persönlich in die Filiale oder an den Bankautomaten kommen, müssen sie ihre Karte vorzeigen und/oder ihre PIN angeben. Am Telefon müssen Kunden Sicherheitsfragen beantworten. Auch Behörden können Sicherheitsüberprüfungen durchführen, um Informationen vor unberechtigtem Zugriff zu schützen.

Doch zurück zur Bank: Nicht alle Bankangestellten können auf alle Informationen zugreifen. Gewisse Anliegen der Kundschaft können nur Filialleitende erledigen. Solche Richtlinien existieren zum Schutz vertraulicher Daten.

Informationsassets sind für gute und schlechte Akteure wertvoll. Zu ihrem Schutz gibt es die Informationssicherheit.

Was ist Cybersicherheit?

Im digitalen Zeitalter werden immer mehr Informationen elektronisch gespeichert. Hier kommt die Cybersicherheit ins Spiel. 

Cybersicherheit ist ein Tool innerhalb der Informationssicherheit, das auf den Schutz von Daten in Computersystemen abzielt. Wesentliche Bestandteile der Cybersicherheit sind die Abwehr digitaler Bedrohungen und der Schutz von Netzwerken.

Netzwerkschutz und digitale Bedrohungen

Der Schutz von Netzwerken ist für alle Organisationen maßgeblich. Über interne Netzwerke können alle Computer eines Büros miteinander kommunizieren – doch auf diesen Computern sind vertrauliche Kunden- und Mitarbeiterinformationen gespeichert.

Daher ist es wichtig, dass Dritte nicht in Netzwerke eindringen können. Selbst wenn die Belegschaft von zu Hause arbeitet, müssen Maßnahmen zum Schutz der Daten bestehen. Digitale Bedrohungen kommen meist aus dem Internet, daher sind diese Maßnahmen zentral.

Anmeldedaten und Netzwerke ermöglichen außerdem Sicherheitsüberprüfungen für einzelne Abteilungen. Cybersicherheitsmaßnahmen steuern auch die Zugriffsrechte, damit Mitarbeiter nur diejenigen Informationen einsehen können, die für ihre Aufgaben relevant sind.

Aufklärung von Mitarbeitern

Dabei geht es um mehr als die YouTube-Nutzung der Mitarbeiter während der Arbeitszeit. Unternehmen müssen ihre Mitarbeiter über aktuelle Bedrohungen informieren. Betrügereien wie Phishing und Social Engineering werden üblicherweise über die E-Mail-Adressen von Mitarbeitern durchgeführt.

Außerdem müssen sich Mitarbeiter bewusst sein, wie viele Informationen sie bei sich haben. Wie sehr überschneiden sich berufliche und persönliche Informationen auf ihrem Computer? Verwenden sie das gleiche Passwort für Facebook, ihren privaten E-Mail-Account und ihren Arbeitscomputer?

Kleine Fehler können weitreichende Konsequenzen für die Cybersicherheit nach sich ziehen. Mit nur einem Fehltritt kann ein Unternehmen lahmgelegt werden. Wenn die Informationssicherheit eine Bedrohung erkennt, ergreift die Cybersicherheit die präemptiven Maßnahmen zu deren Bewältigung.

Cybersicherheit erfordert die Zusammenarbeit aller Mitarbeiter und wird durch die IT-Sicherheitsabteilung geleitet. Denn: Wenn alle an einem Strang ziehen, können digitale Bedrohungen verhindert werden. Das ist fast genauso wichtig wie ein raffiniertes Netzwerksicherheitssystem. 

Erfahren Sie hier mehr über die Rolle eines IT-Sicherheitsbeauftragten.

10 Schritte zur Cybersicherheit

2012 hat die britische Regierung ein Dokument mit dem Titel „10 Steps to Cybersecurity“ (10 Schritte zur Erlangung von Cybersicherheit) veröffentlicht – eine Schritt-für-Schritt-Anleitung mit praktischen Empfehlungen, die jedes Unternehmen umsetzen kann, um die Sicherheit seiner Netzwerke und Daten zu erhöhen.

Um der erhöhten Risikolage durch Cybergefahren Rechnung zu tragen und den Organisationen die wirksamsten Sicherungsmaßnahmen an die Hand zu geben, wurden diese „10 Schritte zur Erlangung von Cybersicherheit“ für 2022 aktualisiert.

In jedem Unternehmen, das sich in irgendeiner Weise auf Digitaltechnologien stützt, ist Cybersicherheit essenziell. Wenn Sie sich fragen, wie Sie die nötige Absicherung am besten erlangen können, geben die nachfolgenden 10 Schritte wertvolle Anhaltspunkte.

1. Risikomanagement

Im Kontext der Cybersicherheit hilft Risikomanagement bei der Absicherung der Technologien, Systeme und Daten einer Organisation, indem es dafür sorgt, dass diese Absicherung, in der am besten geeigneten Weise erfolgt. Außerdem trägt Risikomanagement dazu bei, dass die Ressourcen auf die wesentlichen Bereiche des Unternehmens fokussiert werden.

Eine wirksame Strategie für das Risikomanagement ist engmaschig in das Netzwerk der Organisation eingewoben und geht Hand in Hand mit den Maßnahmen, die zur Kontrolle anderer Gefahren eingesetzt werden.

Damit die Strategie wirkt, gilt es im Vorfeld zu überlegen, in welchem größeren Kontext die Cyberrisiken gemanagt werden sollen und wo es sinnvoll ist, Cyberrisikomanagement zu betreiben und wo nicht. Anschließend muss hierfür ein Risikomanagement-Ansatz ausgewählt werden, der zum Unternehmen passt, und dieser effektiv an alle von ihm Betroffenen kommuniziert werden.

2. Einbindung und Schulung

Im Zentrum jeder Cybersicherheitsrichtlinie sollte stets der Mensch stehen. Gute Sicherheitspraktiken berücksichtigen immer auch die Arbeitsweise der Belegschaft und behindern diese nicht. Ihre Belegschaft ist Ihr effektivster Abwehrschild (oder im Ernstfall Ihr wichtigster Detektor) bei Bedrohungen, vorausgesetzt, sie wird adäquat eingebunden. Sie sollten eine starke Cybersicherheitskultur entwickeln, die zum Melden von Verdachtsfällen und Problemen ermutigt. Mittels Bewusstseinsschärfung oder Schulungen kann sich die Belegschaft die nötigen Kenntnisse aneignen, um ihre Aufgaben effizient und dennoch sicher auszuführen. Abgesehen davon, dass dies das Unternehmen schützt, vermittelt ein solches Vorgehen Wertschätzung gegenüber den Mitarbeitenden und ihrem Beitrag, den sie im Unternehmen leisten.

Wichtig ist, das höhere Management zu ermutigen, mit gutem Beispiel voranzugehen und eine effektive Kommunikation zu allen Teammitgliedern aufzubauen. Eine gute Strategie ist, interne Kampagnen durchzuführen, die das Bewusstsein für Sicherheitsbedrohungen schärfen, und die Cybersicherheitstrainings auf die spezifischen Gegebenheiten im Unternehmen anzupassen.

3. Asset-Management

Das Asset-Management, also die Verwaltung der „Vermögenswerte“ im weitesten Sinne, ist der Vorgang, mit dem alle nötigen Informationen zu vorhandenen Assets erfasst und aufbewahrt werden. Natürlicherweise neigen Systeme über längere Zeiträume dazu sich auszudehnen. Dies erschwert, alle Ressourcen einer Umgebung immer auf dem neuesten Stand zu halten.

Services, bei denen die Patches fehlen, Konten für Cloudspeicher, deren Zugangsdaten nicht mehr sicher sind, oder falsch klassifizierte Dokumente sind alles Beispiele für Umgebungen, in denen Zwischenfälle auftreten können, weil die Umgebung nicht gründlich im Blick behalten werden kann. Es ist aber essenziell, diese Assets alle im Blick zu haben, um die mit ihnen verbundenen Risiken abschätzen und mindern zu können. Sie müssen beispielsweise wissen, wann ein Anbieter die vorhandenen Softwaresysteme nicht mehr unterstützt, damit Sie nicht plötzlich mit Legacy-Systemen arbeiten, die mehr und mehr Einfallstore bieten.

Die Lösung: Sie integrieren Asset-Management in Ihre Systeme. Hierzu ermitteln Sie zunächst, welche Services und Funktionen innerhalb der Umgebung kritisch sind. Damit Sie diese priorisieren können, sehen Sie sich an, welche Daten zu ihnen gehören und zu welchen Technologien Abhängigkeiten bestehen. Ständige Wissenserweiterung sollte ebenso Bestandteil sein wie das Aufräumen – behalten Sie nur die Daten, die Sie benötigen.

4. Architektur und Konfiguration

Wir leben in einer Welt, die sich ständig ändert, insbesondere im Hinblick auf Technologien und Cybersicherheit. Unternehmenssysteme müssen daher von Anfang an mit solider Cybersicherheit ausgestattet werden und auch mit neuen Gefahren und Bedrohungen mithalten können. Dies bedeutet, dass sie ständig aktualisiert und auf dem neuesten Stand gehalten werden müssen.

Machen Sie sich zunächst klar, welche Art von System Sie aufbauen wollen und zu welchem Zweck. Gestalten Sie das System so, dass es sich leicht aktuell halten lässt, aber nur schwer kompromittierbar oder angreifbar ist. Sollte es zu einem Zwischenfall kommen, muss es leicht gehen, Ursachen oder Einfallstore aufzudecken und sie genauer zu untersuchen.

5. IT-Schwachstellenmanagement

Hacker nutzen öffentlich bekannte IT-Schwachstellen oder Systemfehler aus, um sich Zugang zu Systemen und Netzwerken zu verschaffen. Sobald eine Schwachstelle publik wird, werden Angreifer versuchen sie auszunutzen, meistens wahllos. Daher ist es für die Sicherheit von Unternehmenssystemen absolut kritisch, Sicherheitsupdates unmittelbar nach ihrer Veröffentlichung zu installieren.

Gleiches gilt für alle Systeme, die über das Internet angegriffen werden könnten. Manche Schwachstellen sind schwerer zu beheben als andere. Die Kritischsten haben Priorität. Zu wissen, welche dies sind, gehört zu einer starken IT-Schwachstellenmanagement-Strategie.

Diese drei Dinge sollten Sie auf jeden Fall tun:

1. Halten Sie Ihre Systeme aktuell.
2. Entwickeln Sie einen Prozess für das IT-Schwachstellenmanagement.
3. Behalten Sie ein Auge auf Ihre Legacy-Systeme.

6. Identitäts- und Zugriffsmanagement

Der Zugriff auf Systeme und Dienste muss geschützt sein. Genauso wichtig ist zu definieren, wer oder was unter welchen Umständen Zugriff benötigt und erhält. Damit eine effektive Zugangskontrolle möglich ist, müssen Anwender, Geräte oder Systeme zuverlässig identifiziert und ihre Berechtigung nachgewiesen werden können. Mit einer wirksamen Strategie für das Identitäts- und Zugriffsmanagement haben Angreifer es schwer; berechtigte Nutzer können hingegen sehr unproblematisch auf benötigte Ressourcen zugreifen.

Es gibt einige Dinge zu beachten, wenn es um die Einrichtung von Richtlinien und Prozessen für das Identitäts- und Zugriffsmanagement geht. Multi-FaktorAuthentifizierung (MFA) für alle Benutzerkonten sollte ebenso dazugehören wie MFA plus zusätzliche Zugangskontrollen für privilegierte Konten. Außerdem sollte die Umgebung ständig auf potenzielles böswilliges Verhalten hin überwacht werden, um nur einige wenige zu nennen.

7. Datensicherheit

Daten zu schützen bedeutet, dass niemand sie ohne die entsprechenden Schreibrechte verändern oder löschen kann. Dies schließt ein, dass die Daten auch während ihrer Übertragung oder im Ruhezustand sicher geschützt sind und am Ende ihres produktiven Lebens sicher aus dem Verkehr gezogen werden (durch sicheres Löschen bzw. Zerstörung des Mediums, auf dem sie gespeichert waren).

Da Sie möglicherweise keine absolute Kontrolle über die Daten haben, sollten Sie sich Schutzmechanismen überlegen, die Sie einführen könnten, genauso auch Garantien, die Sie möglicherweise in unterschiedlichen Szenarien von Dritten benötigen.

Eine weitere wichtige Sicherheitsvorkehrung sind Backups. Sie sollten stets aktuell sein, getrennt und offline aufbewahrt werden (3-2-1-Regel) und alle wichtigen Daten enthalten. Denn Ransomware-Angriffe nehmen zu und werden immer gezielter.

8. Protokollierung und Überwachung

Wenn Sie ein klares Bild gewinnen möchten, wie Ihre Systeme genutzt werden, müssen Sie alle Aktivitäten fortlaufend protokollieren. Sagen wir mal, Sie haben einen Sicherheitsvorfall oder Verdacht. Gute Protokollierungspraktiken erlauben Ihnen in einem solchen Fall, Einsicht in den Hergang zu nehmen und zu analysieren, welche Auswirkungen er auf Ihr Unternehmen hatte oder noch hat.

Durch aktives Überwachen („Monitoring“) der Protokolle lassen sich Warnzeichen, wie bekannte Angriffsmuster oder ungewöhnliches Systemverhalten, erkennen. Bei Auffälligkeiten, die auf einen Sicherheitsvorfall hindeuten, können Sie zügig Abwehrmaßnahmen einleiten, um die Auswirkungen möglichst gering zu halten. Das ist hier mit Überwachung der Sicherheit gemeint.

Sie können aus Ihren Protokollen Erkenntnisse ziehen und daraus Pläne zur Vorfallserkennung und -behandlung ableiten, um sich gezielt auf Vorfälle vorzubereiten, was in der Zukunft sehr nützlich sein könnte. Nutzen Sie intelligente Funktionen zur Erkennung von Sicherheitsgefahren, um Ihre Cybersicherheit möglichst wasserdicht zu machen.

9. Vorfallsmanagement

Infolge eines IT-Vorfalls („Incident“) können Unternehmen viel verlieren: Zeit, Geld oder Ansehen. Gutes Vorfallsmanagement kann die Schäden eines Vorfalls gering halten. Wird sein Auftreten sofort erkannt und schnellstmöglich mit geeigneten Maßnahmen gebannt, lassen sich die finanziellen und betrieblichen Auswirkungen reduzieren.

Ein Imageschaden fällt geringer aus, wenn die Situation aus Sicht der Presse richtig gehandhabt wurde. Wenn Sie dann auch noch das aus einem Vorfall Gelernte in die Praxis umsetzen, sind Sie zukünftig auf ähnliche Situationen wesentlich besser vorbereitet.

Um wirklich auf jeden Fall der Fälle vorbereitet zu sein, müssen Sie Ihre definierten Abwehrmaßnahmen mit Ihrer Belegschaft eintrainieren und proben und das daraus Gelernte zur organisatorischen Verbesserung mit einfließen lassen.

10. Sicherheit innerhalb der Lieferkette

Ein Großteil der Unternehmen bezieht Produkte, Systeme und Services von Anbietern oder Zulieferern, die direkt in die Lieferkette eingebunden sind. Ist einer dieser Lieferanten Ziel eines Cyberangriffs, kann sich dies in gleicher Weise auf das Unternehmen auswirken, so als wäre es selbst das Angriffsziel. Umfangreiche oder komplexe Lieferketten abzusichern ist nicht immer so leicht, da in jedem Glied innerhalb dieser Kette eine IT-Schwachstelle auftreten oder ausgenutzt werden könnte.

Daher besteht der erste Schritt darin, die Lieferkette nachzuvollziehen. Zu ihr gehören allgemeine Dienstleister wie Cloud-Serviceprovider genauso wie Lieferanten, mit denen Sie Einzelverträge geschlossen haben. Sicherer machen Sie Ihre Lieferkette, wenn Sie Kontrolle über sie haben und sie fortlaufend verbessern.

Cyberangriffe sind eine zunehmende Bedrohung für Unternehmen aller Größen. Sie können zu erheblichen finanziellen Verlusten, Reputationsschäden und sogar zu Betriebsunterbrechungen führen.

Durch die Ergreifung von geeigneten Sicherungsmaßnahmen können Sie das Risiko eines Cyberangriffs jedoch deutlich verringern. Außerdem können Sie die Auswirkungen eines Angriffs minimieren, falls er doch einmal erfolgt. 

Informationssicherheit und Cybersicherheit im Vergleich

Sicherheit lässt sich in physische Sicherheit und Informationssicherheit einteilen. Unter die Informationssicherheit fällt auch die Cybersicherheit. 

Im Mittelpunkt der Informationssicherheit stehen Richtlinien und Risikobeurteilungen. Ziel der Erstellung von Richtlinien ist der bestmögliche Schutz vertraulicher Daten. Sowohl digitale als auch nicht elektronisch verarbeitete Daten fallen unter Informationssicherheit.

Der Unterschied zwischen Cybersicherheit und Informationssicherheit ist eine Frage des Umfangs. Dies stellen wir kurz gefasst in der untenstehenden Tabelle dar:

Cyberangriffe kommen immer häufiger vor. Bei der Beseitigung von Schwachstellen spielt die Cybersicherheit eine große Rolle. Ihre Aufgabe ist es, Angriffspunkte im System zu finden und diese zu beseitigen oder Maßnahmen zu deren Beseitigung vorzuschlagen.

Wo überschneiden sich Informationssicherheit und Cybersicherheit?

Es geht nicht darum, sich zwischen Informationssicherheit und Cybersicherheit zu entscheiden. Für den Erfolg im digitalen Zeitalter sind beide unentbehrlich.

Die Schnittmenge zwischen Informationssicherheit und Cybersicherheit ist der Schutz von Daten. Beide Bereiche sind dafür zuständig, für die Einhaltung von Richtlinien zu sorgen, um so die Risiken für Informationsassets abzumildern.

Heute werden Informationen eher auf Festplatten verwahrt als in Aktenschränken. Dies führt zu einer Verwischung der Grenzen zwischen den beiden Bereichen. Die wichtigsten Unterschiede bestehen weiterhin, aber der Wert der Informationen steht für beide im Vordergrund. 

Die beiden Bereiche sind eng miteinander verzahnt, um Cyberangriffen und Datendiebstahl vorzubeugen. Außerdem führen sie zum Schutz der Unternehmensdaten regelmäßige Risikobewertungen durch.

Ziel beider Bereiche ist der Schutz von Informationen. Besonders heute, im Zeitalter der Digitalisierung, gehört ein immer größerer Teil der Informationssicherheit zur Cybersicherheit.

Was ist die ISO 27001-Norm?

ISO 27001 ist das wichtigste Rahmenwerk für den Schutz von Informationsassets. Dieses vielseitig einsetzbare Regelwerk wird in Organisationen jeglicher Größe mit großem Erfolg angewandt.

Die Norm ist ein Werkzeug für das Informationssicherheits-Management. Ihr Ziel ist der Schutz von Informationen. So unterstützt ISO 27001 Unternehmen bei der Erreichung ihrer Ziele in den Bereichen Informations- und Cybersicherheit.

Die ISO 27001-Maßnahmen (ISO 27001 Controls) stellen u. a. sicher, dass niemand unberechtigt Informationen einsehen und bearbeiten kann. Außerdem sorgen sie dafür, dass die berechtigten Nutzer – und nur diese – einfach auf Informationen zugreifen können. Außerdem hilft ISO 27001 Unternehmen bei der Erstellung von Richtlinien, bei der Erkennung von Risiken sowie bei der Ergreifung von Maßnahmen zum Umgang mit diesen.

Da die Norm definiert, wer in der Organisation welche Zugangsberechtigungen erhält, entbindet sie außerdem die IT-Abteilung von vielen manuellen Entscheidungen. Sie beugt Fehlern vor und vereinfacht die Einhaltung rechtlicher Anforderungen.

Sie können Ihr Unternehmen nach ISO 27001 zertifizieren lassen und Ihrer Kundschaft so zeigen, dass ihre Daten bei Ihnen sicher sind. Das wiederum steigert das Kundenvertrauen.

Wie stärkt ISO 27001 die Cybersicherheit?

Durch eine Umsetzung von ISO 27001 sinken die digitalen Risiken erheblich. Doch wie?

Die ISO 27001-Norm umfasst sowohl Maßnahmen für die Informations- als auch die Cybersicherheit. Sie unterstützt die Ausarbeitung von Richtlinien und die Durchführung von Risikobewertungen, welche zum Schutz der Unternehmens- und Kundendaten beitragen. Außerdem bietet sie im Ernstfall Hilfestellung beim Vorfallsmanagement.

Risikobewertung bei Cyberangriffen

Zur systematischen Erkennung von Schwachstellen führt die ISO 27001 Ransomware- und DDoS-Bewertungen ein. Dies kann die Risiken der häufigsten Cyberangriffe abmildern. 

Ransomware ist schädliche Software, die berechtigte Nutzer durch Verschlüsselung am Zugriff auf wichtige Dateien hindert. Im Austausch gegen den Kodierungsschlüssel fordern die Angreifer Lösegeld (auf English „ransom money“). Diese gemeinen Angriffe sind nicht nur teuer, sondern auch gefährlich.

DDoS-Angriffe sind weit verbreitete und kostspielige Netzwerkangriffe. Im Kern geht es um die Überlastung eines Systems durch Abfragen, wodurch das gesamte System für die rechtmäßigen Nutzer verlangsamt wird. Ein DDoS-Angriff während einer Transaktion kann beispielsweise zu einer langen Bearbeitungsdauer führen. Kunden brechen dann den Kaufvorgang ab, da sie nicht warten wollen, bis die Website wieder funktioniert.

Die Durchführung von DDoS-Angriffen ist einfach und sogar ein Twitch-Streamer mit vielen Followers kann versehentlich eine Website lahmlegen. Absichtliche DDoS-Attacken können folgende Konsequenzen haben:

• Erpressung: Der Angreifer verlangt Geld dafür, dass die Attacken aufhören.

• Ruf- und Imageschäden für die Marke: Kunden verlieren das Vertrauen in das Sicherheitsversprechen des Unternehmens.

• Rechtliche Probleme: Die Angriffe führen zu Vertragsbrüchen.

Durch regelmäßige Risikobewertungen bzw. Cyberangriffbewertungen können Unternehmen viel Geld sparen und peinliche Fehler vermeiden. Denn eine einzige Cyberattacke kann ein ganzes Jahr ruinieren.

Sicherheits- und Schwachstellenbewertung

Diese Bewertungen werden systematisch durchgeführt, um mögliche Risiken in einem System zu erkennen. Daraufhin wird jedem Risiko eine Risikostufe zugewiesen, die anzeigt, wie schwerwiegend es ist. Danach werden Empfehlungen zur Vermeidung der Risiken abgegeben. 

Übernehmen Sie die Verantwortung für Ihre Informationssicherheit!

Nehmen Sie die Sicherheit Ihrer Informationsassets nicht auf die leichte Schulter! Unternehmen, die den Unterschied zwischen Informationssicherheit und Cybersicherheit kennen, haben einen klaren Wettbewerbsvorteil. 

Wenn Sie weitere Fragen haben stehen wir Ihnen gerne zur Verfügung! Ein erstes Gespräch ist bei uns immer kostenlos.