Zwei Dinge, die oft miteinander verwechselt werden: die Sicherheit von Informationstechnik (IT) und die Sicherheit von Informationen. In Zeiten der Digitalisierung werden Informationen zwar meist mithilfe der IT verarbeitet, gespeichert oder transportiert – aber oftmals ist Informationssicherheit noch analoger als gedacht! Grundsätzlich sind IT-Sicherheit und Informationssicherheit durchaus eng miteinander verknüpft. Für einen wirksamen Schutz von vertraulichen Informationen sowie der IT bedarf es daher einer systematischen Herangehensweise.

Loading...

IT-Sicherheit vs. Informationssicherheit

Informationssicherheit ist mehr als nur IT-Sicherheit. Sie legt den Fokus auf das gesamte Unternehmen. Denn die Sicherheit vertraulicher Informationen zielt eben nicht nur auf Daten, die mit elektronischen Systemen verarbeitet werden. Informationssicherheit umfasst alle zu schützenden Unternehmenswerte, auch auf analogen Datenträgern, wie beispielsweise Papier.

„IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind.“

Schutzziele der Informationssicherheit

Die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – gelten also auch für einen Brief mit wichtigen Vertragsunterlagen, der gänzlich analog, aber dennoch pünktlich, zuverlässig und unversehrt von einem Kurier transportiert bei seinem Empfänger ankommen muss. Und diese Schutzziele gelten gleichermaßen für ein DIN A4-Blatt, das vertrauliche Informationen enthält, aber für jedermann einsehbar auf einem unbeaufsichtigten Schreibtisch liegt oder im Kopierer frei zugänglich auf unbefugten Zugriff wartet.

Somit greift Informationssicherheit weiter als IT-Sicherheit. Die IT-Sicherheit hingegen bezieht sich „nur“ auf den Schutz von Informationen auf IT- Systemen.

IT-Sicherheit laut Definition

Was sagen offizielle Stellen? IT-Sicherheit ist „ein Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.“ So das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Informationssicherheit = IT-Sicherheit plus x

In der Praxis wird bisweilen ein anderer Ansatz verfolgt, und zwar mit der Faustformel „Informationssicherheit = IT-Sicherheit + Datenschutz“. Diese als Gleichung notierte Aussage ist allerdings recht plakativ. Zwar geht es beim Thema Datenschutz gemäß DSGVO um den Schutz der Privatsphäre, der von Verarbeitern personenbezogener Daten sowohl eine sichere IT als auch z.B. eine sichere Gebäudeumgebung verlangt  und damit ein physischer Zugriff auf Kundendatensätze ausgeschlossen ist. Jedoch bleiben dabei wichtige analoge Daten, die keinen personenbezogenen Schutz verlangen, außen vor. Beispielsweise Konstruktionspläne von Unternehmen und vieles mehr.

Der Begriff Informationssicherheit enthält grundlegende Kriterien, die über reine IT-Aspekte hinausgehen, diese aber immer einschließen. So werden vergleichsweise auch einfache technische bzw. organisatorische Maßnahmen im Rahmen der IT-Sicherheit immer vor dem Hintergrund angemessener Informationssicherheit ergriffen. Beispiele dafür können sein:

  • Sicherung der Stromversorgung der Hardware
  • Maßnahmen gegen Überhitzung der Hardware
  • Viren-Scans und sichere Programme
  • Organisation von Ordnerstrukturen
  • Einrichtung und Aktualisierung von Firewalls
  • Schulung von Mitarbeitern etc.

Es liegt auf der Hand, dass Rechner und komplette IT-Systeme für sich selbst genommen nicht geschützt werden müssten. Denn ohne Informationen, die man digital verarbeiten oder transportieren wollte, werden Hard- und Software sinnlos.

IT-Sicherheit per Gesetz

Thema KRITIS: Das IT-Sicherheitsgesetz hat kritische Infrastrukturen aus verschiedenen Sektoren im Blick, wie zum Beispiel Strom-, Gas- und Wasserversorgung, TransportFinanzen, Ernährung oder Gesundheit. Hier geht es vor allem um den Schutz der IT-Infrastruktur vor Cyber-Kriminalität, um die Verfügbarkeit und die Sicherheit von IT-Systemen aufrechtzuerhalten. Insbesondere die heute digital gesteuerten fernwirktechnischen Anlagen müssen geschützt werden.

Diese Schutzziele stehen dabei im Vordergrund (Auszug):

  • Betrachten von IT-Sicherheitsrisiken
  • Erstellen von IT-Sicherheitskonzepten
  • Erstellen von Notfallplänen
  • Treffen allgemeiner Sicherheitsvorkehrungen
  • Kontrolle der Internet-Sicherheit
  • Verwendung kryptografischer Methoden etc.

ISO 27001 – Die Norm für Informationssicherheit

Was sagt ISO 27001? Die weltweit anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS), mit ihren Derivaten ISO 27019, ISO 27017 und ISO 27701, heißt in der aktuellen deutschen Fassung:

ISO 27001 wurde einer Revision unterzogen und am 25.10.2022 in englischer Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision einhergegangen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Die bestehende DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Der Titel dieser bedeutenden Norm macht deutlich, dass IT-Sicherheit heute eine große Rolle für die Informationssicherheit spielt und künftig weiter an Bedeutung gewinnen wird. Die Anforderungen, die in ISO 27001 gestellt werden, zielen aber nicht nur auf digitale IT-Systeme. Im Gegenteil:

In der gesamten DIN ISO/IEC 27001 wird ausnahmslos übergreifend von „Information“ gesprochen.

Es wird grundsätzlich nicht unterschieden, auf welche analoge oder digitale Art und Weise diese Informationen verarbeitet werden bzw. zu schützen sind.

Mehr wertvolles Wissen zu Informationssicherheit und der Möglichkeit einer Begutachtung erhalten Sie unter ISO 27001 Zertifizierung.

Ein erfolgreich umgesetztes ISMS unterstützt eine ganzheitliche Sicherheitsstrategie: Es umfasst sowohl organisatorische Maßnahmen, ein sicherheitsbewusstes Personalmanagement, die Sicherheit eingesetzter IT-Strukturen als auch die Einhaltung von gesetzlichen Anforderungen.

whitepaper-dqs-iso-27001-leitfaden
Loading...

Wertvolles Wissen: DQS-Auditleitfaden

Unser Auditleifaden ISO 27001 – Annex A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen. Der Leitfaden basiert auf DIN EN ISO/IEC 27001:2017. Die überarbeitete Fassung wurde am 25. Oktober 2022 veröffentlicht. Wir werden Informationen über die Änderungen hinzufügen, sobald sie verfügbar sind.  

Informationssicherheit oft analoger als Gedacht

Wer wollte, könnte die Normanforderungen von ISO 27001 über ein komplett analoges System legen und hätte am Ende ebenso viel erreicht, wie jemand, der die Anforderungen auf ein durch und durch digitales System anwendet. Erst im Anhang A der bekannten ISMS-Norm, der Maßnahmenziele und Maßnahmen für Anwender enthält, tauchen Begriffe wie Telearbeit oder Mobilfunkgeräte auf. Doch auch die Maßnahmen in Anhang A der Norm erinnern daran, dass es in jedem Unternehmen nach wie vor analoge Vorgänge und Situationen gibt, die mit Blick auf Informationssicherheit berücksichtigt werden müssen.

Wer in der Öffentlichkeit, zum Beispiel in der Bahn, via Smartphone lautstark über sensible Themen referiert, nutzt zwar digitale Kommunikationswege, ist aber mit seinem Fehlverhalten in Wahrheit analog unterwegs. Und wer seinen Schreibtisch nicht aufräumt, sollte besser sein Büro abschließen, um die Vertraulichkeit zu wahren. Wenigstens ersteres wird als eine der wirksamsten Einzelmaßnahmen zum sicheren Schutz von Informationen in der Regel noch händisch vollzogen, noch …

IT-Sicherheit vs. Informationssicherheit – Fazit

IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind. Vielmehr ist IT-Security ein Bestandteil von Informationssicherheit, die ihrerseits auch analoge Sachverhalte, Vorgänge und Kommunikation einschließt – was im Übrigen auch heute noch vielfach Alltag ist. Durch die zunehmende Digitalisierung rücken diese Begriffe jedoch immer enger zusammen, sodass der Bedeutungsunterschied auf Sicht wohl marginaler werden wird.

Was Sie von uns erwarten können

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit unserer Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner rund um Informationssicherheit und Datenschutz.

gerber-hermsdorf-werner-korall-audit dqs
Loading...

Sie haben Fragen?

Kontaktieren Sie uns!
Ganz unverbindlich und kostenfrei.

Wir reden nicht von Fachkompetenz, wir haben sie: Bei all unseren DQS-Auditoren können Sie langjährige praktische Berufserfahrung voraussetzen. Gesammelt in Organisationen jeder Größe und jeder Branche. Bei dieser Vielfalt ist garantiert, dass sich der leitende DQS-Auditor in Ihre individuelle Unternehmenssituation und Führungskultur hineindenken wird. Unsere Auditoren kennen Managementsysteme aus eigener Erfahrung, d.h. sie haben selbst ISMS aufgebaut, betreut und weiterentwickelt – und sie kennen die täglichen Herausforderungen aus eigenem Erleben. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Loading...