Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 551 000
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Wenn Daten verloren gehen, nicht abrufbar sind oder in falsche Hände geraten, müssen Unternehmen mit finanziellen Schäden, Imageverlusten und ggf. rechtlichen Konsequenzen rechnen. Mit der Datenmenge und dem technischen Fortschritt steigen auch die Anforderungen an deren Schutz.

In der Informationssicherheit geht es darum, die Daten und Unternehmenswerte bestmöglich zu schützen – damit es weder zu ungewollten, selbst verschuldeten Störfällen noch zu erfolgreichen Hackerangriffen von außen kommen kann.

Das Wichtigste in Kürze

  • Informationssicherheit wird oftmals im Zusammenhang mit Datenschutz genannt, dabei sind sie allerdings grundlegend zu unterscheiden. 
  • Im Gegensatz zum Datenschutz verfolgt die Informationssicherheit das Ziel, Unternehmenswerte (Assets) zu schützen.
  • Im Vordergrund der Informationssicherheit stehen die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Das dahinterstehende Prinzip ist das sogenannte CIA-Prinzip.
  • IT-Sicherheit oder Cybersecurity werden oft als Synonyme für Informationssicherheit verwendet. Allerdings sind dies drei unterschiedliche Sicherheitsproblem-Ansätze, die sich lediglich gegenseitig ergänzen, jedoch nicht ersetzen können. 
  • Informationssicherheit lässt sich in einem Informationssicherheits-Managementsystem (ISMS) verwalten. Der Standard für für ein solches ISMS ist die ISO 27001. 
  • Zu den größten Gefahren der Informationssicherheit zählen neben physischen Gefahren insbesondere Ransomware-Angriffe und Cyberattacken. 

In diesem Beitrag

 

Was ist Informationssicherheit?

Informationssicherheit (kurz: InfoSec) umfasst alle Maßnahmen, die Unternehmen zum Schutz von Informationen ergreifen. 

Der Schutz von Informationswerten erfolgt dabei nach mindestens drei Schutzzielen:

  • Vertraulichkeit: Informationen sind nur berechtigten Personen zugänglich
  • Integrität: Informationen sind vor unrechtmäßiger oder außerplanmäßiger Veränderung gesichert
  • Verfügbarkeit: Informationen sind zu jeder Zeit verfügbar und können bei Problemen wiederhergestellt werden

 

 

Bezüglich der Verfügbarkeit von Informationen kann eine geeignete Backup-Strategie ein echter Vorteil sein. Diese hilft Ihnen im Fall von Datenverlusten oder Server-Ausfällen Daten und Informationen schnellstmöglich wieder herzustellen oder zu retten. Mehr dazu im Artikel über Datensicherung und Datenrettung. 

Zwar gibt es internationale Standards und Normen, die Anforderungen an die Informationssicherheit und Maßnahmen zur Umsetzung definieren, allerdings existiert kein festgelegter rechtlicher Rahmen.

Die Maßnahmen der Informationssicherheit folgen eher einem risikobasierten Ansatz. Sie richten sich also nicht nach absoluten Vorgaben aus und streben auch keine hundertprozentige Sicherheit anStattdessen werden die Risiken für die Informationssicherheit, deren Eintrittswahrscheinlichkeit und Schadenpotentiale sorgfältig abgewogen.

Risiko, Schadenpotenzial und risikominimierende Maßnahmen müssen von jedem Unternehmen in ein individuell optimales Verhältnis gebracht werden. 

 

Was sind Informationswerte? 

Als Informationswerte (im Kontext der Informationssicherheit) gelten alle Daten, Informationen und Gegenstände, die einen Mehrwert für die Funktionen einer Organisation darstellen und dadurch die Erfüllung der Geschäftsanforderungen ermöglichen. Informationswerte haben einen geschäftlichen Wert – daher auch ihr Name.

Beispiele umfassen:

  • Hardware, Software, Daten, Datenbanken, Prozesse und Anwendungen innerhalb eines Informationssystems
  • Geräte, Clouds und andere Komponente der IT-Umgebung, die Informationen verarbeiten
  • Anwendungen, ein GSS (General Support System), Personal, Ausrüstungen und kollektive Gruppen von Systemen 

 

 

Warum Informationssicherheit wichtig ist und immer wichtiger wird

In den letzten Jahren wurden zahlreiche Gesetze auf den Weg gebracht bzw. aktualisiert, die sich direkt mit  der Informationssicherheit befassen. Das liegt mitunter an dem rasanten technischen Fortschritt, der Digitalisierung und den damit einhergehenden Risiken.

Zu den wichtigsten Gesetzen gehören: das IT-Sicherheitsgesetz bzw. das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz), die Verordnung zur Bestimmung Kritischer Infrastrukturen (KRITIS-Verordnung), das Geschäftsgeheimnisschutzgesetz und das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).

Auch das Bewusstsein von Verbrauchern, B2B-Kunden, Investoren, Mitarbeitern und anderen Stakeholdern wächst. Investoren unterziehen Unternehmen eingehenden Due-Diligence-Prüfungen, bei denen die Informationssicherheit genau unter die Lupe genommen wird. Vermehrt spielen auch Zertifizierungen – zum Beispiel nach ISO 27001 und TISAX® – eine große Rolle im Kampf um Vertriebspartner und Kunden.  

 

Für diese Branchen spielt Informationssicherheit eine besondere Rolle

Jedes Unternehmen sollte sich mit Informationssicherheit auseinandersetzen – unabhängig von der Branche, unabhängig von der Betriebsgröße. Besonders wichtig ist das Thema für stark softwaregetriebene und digitale Unternehmen. Hinzu kommen Firmen aus Industrien mit hoher Regulierungsnotwendigkeit.

Beispiel Gesundheitsmarkt: Hier sind bei der Informationssicherheit von Haus aus strenge Mindeststandards einzuhalten – etwa um die ärztliche Schweigepflicht zu gewährleisten.  

In der Automotive-Branche liegt der besondere Fokus auf Informationssicherheit eher am Produkt: Es ist so komplex und wird von so vielen Beteiligten hergestellt, dass stark regulierte Freigabeprozesse zu absolvieren sind, bis ein Fahrzeug auf die Straße darf. Deshalb müssen alle an der Supply Chain beteiligten Player die Anforderungen erfüllen – ohne Ausnahme. 

 

TISAX Assessment Checkliste

 

Schutzziele der Informationssicherheit – das CIA-Prinzip

Die drei Schutzziele der Informationssicherheit sind:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Vielleicht haben Sie schon mal von dem CIA-Prinzip oder der CIA-Triade gehört. Die drei Buchstaben gehen auf Anfangsbuchstaben der englischen Begriffe „Confidentiality, Integrity und Accessibility“ zurück.

Wenn Sie Maßnahmen zur Informationssicherheit implementieren, sollten diese immer mindestens eines dieser Ziele verfolgen.

 

Schutzziel

Beschreibung

Maßnahmen, die dem Schutzziel dienen

Vertraulichkeit

Informationen müssen vor dem unbefugten Zugriff Dritter geschützt werden. Dafür muss klar sein, wer zu dem Kreis befugter Personen gehört.

  • Verschlüsselung von Daten
  • Zugangssteuerung
  • Physische Sicherheit und Umgebungssicherheit
  • Betriebssicherheit
  • Kommunikationssicherheit

Integrität

Daten dürfen sich nicht unbemerkt oder unzulässig verändern lassen. Dabei meint Integrität vor allem den Schutz vor unbemerkten Veränderungen. Oft passiert dieser weniger durch Menschen und mehr durch fehlerhafte Systeme und Prozesse.  

  • Zugangssteuerung
  • Management der Werte
  • Anschaffung, Entwicklung und Instandhalten von Systemen 

Verfügbarkeit

Es muss eine technologische Infrastruktur aufgebaut werden, die Daten und Informationen verfügbar macht, alsoSystemausfälle verhindert. Gehen Daten verloren, muss der Betriebszustand so schnell wie möglich wieder hergestellt werden.

  • Risikoanalyse
  • Anschaffung, Entwicklung und Instandhalten von Systemen 
  • Management von Informationssicherheitsvorfällen 
  • Betriebliches Kontinuitätsmanagement (BCM)

 

Unterschied zwischen Datenschutz und Informationssicherheit 

In der Informationssicherheit geht es wie beschrieben um den Schutz von Informationen und Unternehmenswerten. Ein rechtlicher Rahmen existiert nur für bestimmte Spezialfälle.

Datenschutz hingegen bezieht sich auf den Schutz personenbezogener Daten. Anders als bei der Informationssicherheit geht es weniger darum, Informationen an sich zu schützen, sondern eher die Menschen hinter den Daten. Seit Mai 2018 ist die EU-DSGVO neben dem Bundesdatenschutzgesetz (BDSG) die rechtliche Grundlage für den Datenschutz in Europa.   

Trotz der grundlegend unterschiedlichen Perspektive, mit der InfoSec und Datenschutz auf den Schutz von Informationen blicken, haben die beiden Konzepte sehr viel gemeinsam. Und wer die Synergien kennt und zu nutzen weiß, spart sich viel Zeit und Arbeit.

In unserem Artikel „Informationssicherheit und Datenschutz: gemeinsam effizienter arbeiten“ verraten wir, wo sich Datenschutz und Informationssicherheit ergänzen können und warum ein effizientes Zusammenspiel immer wichtiger wird.  

 

Informationssicherheit vs. IT-Sicherheit vs. Cybersecurity  

Der Begriff der IT-Sicherheit wird hin und wieder irreführender Weise mit dem der Informationssicherheit oder Cybersecurity gleichgesetzt. Hier eine Abgrenzung:  In der Informationssicherheit geht es um den Schutz von Informationen. Die Information selbst ist der eigentliche Wert, sie existiert unabhängig von der IT oder dem Cyberspace und muss in allen Erscheinungsformen geschützt werden. 

Zum Beispiel in Form einer Akte voller bedruckter Seiten oder in Form unternehmensspezifischen Wissens in den Köpfen der Mitarbeitenden.  IT-Sicherheit bezieht sich auf die IT-Infrastruktur: Computer, Server, Clouds, Leitungen usw. müssen sicher und vor Zugriffen durch unberechtigte Dritte geschützt sein. Die IT transportiert und verarbeitet Information, das ist ihr Zweck.

 

Sie möchten mehr zum Thema IT-Sicherheit und den Aufbau eines IT-Sicherheitskonzeptes lernen? Hier finden Sie unseren Leitfaden.

 

Cybersecurity ist als Teilbereich der IT-Sicherheit zu verstehen. Es geht um den Schutz von Informationen im Cyberspace, also um Informationssicherheit in Verbindung mit dem Internet.

 

Jede Maßnahme der IT-Sicherheit trägt zur Informationssicherheit bei, aber nicht jeder Aspekt der Informationssicherheit hat etwas mit IT-Sicherheit zu tun 

 

 

 

Gefahren für die Informationssicherheit

Geht es um Gefahren, denen Informationswerte ausgesetzt sind, denken die meisten zuerst an Cyber-Attacken, organisierte Kriminalität und Spionage. Und es stimmt: Kriminelle Attacken – gerade auf digitale Systeme – sind eine große Gefahr mit weitreichenden Folgen: 

Im Jahr 2020/2021 entstanden deutschen Unternehmen Schäden von 223 Milliarden Euro durch Diebstahl, Spionage oder Sabotage. 2018/2019 waren es noch 103 Milliarden Euro. Neun von zehn Unternehmen waren nach Angaben der Bitkom direkt von Cyber-Angriffen betroffen.

Aber Informationen werden nicht nur von Angreifern mit böswilligen Absichten bedroht. Auch die eigenen Mitarbeiter können – mutwillig oder versehentlich ­­– eine Gefahr für die Informationssicherheit darstellen. Ebenso fehlerhafte Systeme, Prozesse und physische Bedrohungen durch Naturgewalten.

 

Die Gefahren für die Informationssicherheit umfassen:

  1. Physische Gefahren wie der Brand eines Rechenzentrums
  2. Gefahren durch eigene Mitarbeiter wie mutwilliger Datenklau oder durch fahrlässiges Handeln
  3. Gefahren durch Prozesse und Systeme wie veraltete Software ohne notwendige Sicherheitsupdates oder falsch konfigurierte bzw. fehlerhaft integrierte IT-Systeme
  4. Gefahren durch Cyberkriminalität wie Ransomware-Attacken, Phishing-Mails und Social Engineering

 

Einen ausführlichen Überblick über die Einfallstore und Gegenmaßnahmen von Cyber-Attacken auf Unternehmen finden Sie hier.

 

Informationssicherheit umsetzen mit einem ISMS nach ISO 27001

Wenn Sie sich vor den beschriebenen Gefahren schützen wollen, müssen Sie nicht von Null beginnen und sich Maßnahmen zum Schutz Ihrer Informationswerte selbst überlegen. Stattdessen können Sie gewissen bestehenden Best Practices folgen. In der Informationssicherheit beschreibt diese die internationale Norm ISO 27001. Sie gibt eine Art Blaupause für den Aufbau eines Informationssicherheits-Managementsystem (ISMS) vor. Dieses sorgt in puncto Informationssicherheit für Transparenz und vorhersagbare Prozesse und macht die Informationssicherheitsrisiken für Unternehmen kalkulierbar und beherrschbar. 

Die ISO 27001 hat das Ziel, auf jedes Unternehmen anwendbar zu sein. Dadurch bleibt die Norm sehr abstrakt und allgemein und bedarf einer individuellen Interpretation und Übersetzung in konkrete Maßnahmen durch einen Experten, zum Beispiel einen Chief Information Security Officer (CISO) oder Informationssicherheitsbeauftragten (ISB).

Für die Einführung eines ISMS gibt es viele gute Gründe. Wer zum Beispiel in einem noch wenig regulierten Markt unterwegs ist, kann bei seinen Kunden mit hohen Standards in der Informationssicherheit punkten und seine Wettbewerbssituation verbessern. In jedem Fall steigert ein ISMS den Wert von Organisationen, dennerst ein ISMS verschafft einen genauen Überblick über die Prozesse und Informationswerte im eigenen Unternehmen. Bei der Suche nach möglichen Investoren zahlt sich ein ISMS daher unmittelbar aus: Fehlt es, ist eine Due-Diligence-Prüfung nur eingeschränkt möglich.  

Einen ausführlichen Beitrag mit praktischen Tipps und Hinweisen zum Aufbau eines Informationssicherheits-Managementsystems finden Sie hier. 

Wenn Sie Ihr ISMS nach ISO 27001 zertifizieren und den hohen Standard der Informationssicherheit in Ihrem Unternehmen nach außen kommunizieren möchten, verraten wir Ihnen hier, worauf es ankommt. 

Sie sind in der Automobilbranche tätig oder Zulieferer oder Dienstleister für ein Automobilunternehmen? Dann gilt für Sie statt der ISO 27001 die TISAX® als Standard. Alle Informationen rund um die TISAX® finden Sie hier. 

 

Verantwortlichkeiten für die Informationssicherheit

Ein ISMS lässt sich nur erfolgreich umsetzen, wenn die Unternehmensleitung hinter dem Konzept steht unddie nötigen Ressourcen zur Verfügung stelltAußerdem müssen die Verantwortlichkeiten klar geklärt sein. In größeren Unternehmen fallen der Aufbau und die kontinuierliche Verbesserung eines ISMS in den Verantwortungsbereich des Chief Information Security Officers (CISO) oder des Informationssicherheitsbeauftragten (ISB).

Zu den Aufgaben eines CISO bzw. ISB gehören:  

  • Implementierung der IT-Sicherheit, Aufbau eines ISMS
  • Zertifizierung des ISMS nach ISO 27001 bzw. TISAX® 
  • Bearbeitung von und Umgang mit Informationssicherheitsvorfällen sowie der Aufbau eines Business Continuity Managements (BCM)
  • Auswahl geeigneter Methoden und Tools  
  • Mitarbeiterschulungen und Sensibilisierungsmaßnahmen
  • Risikomanagement und Beratung der Geschäftsführung 
  • Abteilungsübergreifende Kommunikation 

Wer es in die Position eines Information Security Analysts, eines Information Security Officers oder einen ähnlichen Job geschafft kann, kann sich über hohes Ansehen im Unternehmen und schnell ein sechsstelliges Jahresgehalt freuen.

Je nach Anforderungen des Unternehmens kann die Stelle des CISO durch einen internen Mitarbeiter oder einen externen Dienstleister besetzt werden.

Mehr zur Rolle des ISB oder CISO finden Sie hier. 

Informationssicherheit outsourcen

Nicht jedes Unternehmen kann oder will die Informationssicherheit mit internen Ressourcen umsetzen und managen. Oder aber das interne Team ist überlastet, kommt mit dem Dokumentationsaufwand nicht hinterher, besitzt nicht die nötige Expertise für ein bestimmtes Projekt, fällt durchs Audit … Dann bietet sich ein externer Dienstleister an, der gezielt beraten kann.  

Der Vorteil: Externe Services können schnell eingekauft werden und erfordern dank dem Erfahrungsschatz der Dienstleister kein langes Onboarding. Ein guter Anbieter teilt seinen Kunden einen persönlichen Ansprechpartner zu, der sich mit den aktuellen Herausforderungen des Kunden auskennt, und diese schon an anderer Stelle meistern konnte.

Auch die Kosten für einen externen Dienstleister liegen deutlich unter denen für eine Vollzeitstelle. Bei DataGuard zahlen Kunden zwischen 500 und 2.000 € pro Monat – je nach Komplexität.

Zurück zur Übersicht

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close