Nun … was ist eigentlich Informationssicherheit?

Der Begriff muss etwas abgegrenzt werden, damit auchklar wird, was gemeint ist. In der Historie wurfden folgende Begriffe in fast demselben zusammenhang immer wieder benutzt – jedoch nicht ganz scharf voneinander abgegrenzt:

IT-Sicherheit (IT-Security)

Meint den Schutz von IT-Systemen. Hier werden hauptsächlich technische Maßnahmen mit gemeint, die das vorrangige Ziel haben elektronisch gespeicherte Informationen und deren Verarebeitung abzusichern. Es kommt oft zu einer identischen verwendung von Informationssicherheit und IT-Sicherheit

Datenschutz (data privacy)

Es geht hier um den Schutz persönlicher Daten. Und das meint nicht den technsichen Schutz, sondern die informationelle Selbstbestimmung. Der „Betroffene“ soll selbst bestimmen, was andere von ihm wissen! Hier steht der Schutz des Persönlichkeitsrrechts im Vordergrund.

Datensicherheit (data security)

Die Datnsicherheit legt nahe, dass Daten jeglicher Art in ausreichendem Maße geschützt sind. Datensicherheit ist in der Regel mit Informationssicherheit identisch.

Betriebssicherheit

Der einzelne soll durch die technische Sicherheit eines Objektes vor Schaden an Leib und Leben geschützt werden. Hier spielen z.B. Feuerlöscher, Brandschutzkonzepte, automatisierte Lenkung von Produktionseinheiten (Robotik) eine Rolle.

All das arbeitet heutzutage aber Hand-in-Hand. Die einzelne Betrachtung obiger Komponenten macht keinen Sinn mehr. Daher ist auch der Datenschutz eng mit der Informationssicherheit verbunden und ohne diesen eigentlich nicht wirksam durchzusetzen. In der Informationssicherheit gibt es zwei Systeme, nach denen man vorgehen kann. Zum einen gibt es die ISO 27001 Norm. Dies ist eine internationale Norm, nach der man die IT-Infrastruktur auf ein genormtes hohes Niveau aufbauen kann. In der Reel wird man sich bei der ISO 27001 aller dings in vielen Bereichen selbst Gedanekn machen müssen, wie man dieses Schutzniveau erreicht. Ganz anders ist es in dem zweiten System – dem BSI IT-Grundschutz. Hier werden in entsprechenden Komplexen Handlungsempfehlungen gegeben, die abgearbeitet werdfen können. Am Ende steht auh hier ein gleichermaßen hohes Schutzniveau.

Schutzniveau – Was soll den geschützt werden?

Grundätzlich geht es um Werte. Und was sind nun Werte?

Informationen, und damit verbundene Prozesse, Systeme, Netzwerke und Personal zu deren Verarbeitung, Handhabung und Schutz stellen in einer vernetzten Welt organisationseigene Werte dar, die genauso wie andere wichtige Unternehmensressourcen für die Geschäftsziele einer Organisation wichtig sind, und damit einen Schutz gegen unterschiedliche Gefährdungen verdienen oder erfordern.

DIN ISO/IEC 27002:2014-02

Werte sind:

  • Informationen in unterschiedlicher Form z.B. Akten, Dateien, Fach-/Wissen des Mitarbeiters.
  • Prozesse, die damit verbunden sind – also die Verarbeitungen im weitesten Sinne, z.B. das Speichern im Netzwerk, die Übermittlung von A nach B, das Ausdrucken.

Diese Werte müssen geschützt werden. Die Informatisonssicherheit kennt drei Haupt-Schutzzziele.

Vertraulichkeit

Informationen dürfen nur von autorisierten Benutzern gelesen und verändert werden. Das gilt für den Zugriff auf die Daten genauso wie für die Datenübermittlung

Integrität

Die Integrität stellt sicher, dass die Daten korrekt und vollständig sind. Veränderungen müssen nachvollziehbar sein und werden in der Regel durch entsprechende Systeme protokolliert.

Verfügbarkeit

Die Daten müssen vor Ausfall, bzw. nicht Vorhandensein geschützt werden. In der Regel wird dies über Datensicherungskonzepte, Notfallpläne und Wiederanlaufpläne sicher gestellt.

Es gibt noch einen erweiterten Satz an Schutzzielen. Hier spielt die Nicht-Abstreitbarkeit eine Rolle. D.h., dass weder die Herkunft, noch der Inhalt der Information abgestritten werden kann. Und das letzte Schutzziel ist die Authentizität. Sie stellt sicher, dass der Kommunikationpartner auch tatsächlich der ist, der er vorgibt zu sein. Diese Schutzziele kann man z.B. im E-Mail Verkehr durch Verschlüsselung und digitale Signaturen erreichen