it-security-vs-information-security-dqs-modern office space with large monitor displaying analytics

IT-Si­cher­heit vs. In­for­ma­ti­ons­si­cher­heit - Was ist der Un­ter­schied?

André Säckel

DQS-Norm­ex­per­te In­for­ma­ti­ons­si­cher­heit
Nov. 12 , 2022
# Informationssicherheit versus IT-Sicherheit

Zwei Dinge, die oft mit­ein­an­der ver­wech­selt werden: die Si­cher­heit von In­for­ma­ti­ons­tech­nik (IT) und die Si­cher­heit von In­for­ma­tio­nen. In Zeiten der Di­gi­ta­li­sie­rung werden In­for­ma­tio­nen zwar meist mithilfe der IT ver­ar­bei­tet, ge­spei­chert oder trans­por­tiert – aber oftmals ist In­for­ma­ti­ons­si­cher­heit noch analoger als gedacht! Grundsätzlich sind IT-Si­cher­heit und In­for­ma­ti­ons­si­cher­heit durchaus eng mit­ein­an­der verknüpft. Für einen wirk­sa­men Schutz von ver­trau­li­chen In­for­ma­tio­nen sowie der IT bedarf es daher einer sys­te­ma­ti­schen Her­an­ge­hens­wei­se.

INHALT

IT-Sicherheit vs. Informationssicherheit

Informationssicherheit ist mehr als nur IT-Sicherheit. Sie legt den Fokus auf das gesamte Unternehmen. Denn die Sicherheit vertraulicher Informationen zielt eben nicht nur auf Daten, die mit elektronischen Systemen verarbeitet werden. Informationssicherheit umfasst alle zu schützenden Unternehmenswerte, auch auf analogen Datenträgern, wie beispielsweise Papier.

„IT-Sicherheit und In­for­ma­ti­ons­si­cher­heit sind zwei Be­grif­fe, die (noch) nicht aus­tausch­bar sind.“

Schutzziele der Informationssicherheit

Die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – gelten also auch für einen Brief mit wichtigen Vertragsunterlagen, der gänzlich analog, aber dennoch pünktlich, zuverlässig und unversehrt von einem Kurier transportiert bei seinem Empfänger ankommen muss. Und diese Schutzziele gelten gleichermaßen für ein DIN A4-Blatt, das vertrauliche Informationen enthält, aber für jedermann einsehbar auf einem unbeaufsichtigten Schreibtisch liegt oder im Kopierer frei zugänglich auf unbefugten Zugriff wartet.

Somit greift Informationssicherheit weiter als IT-Sicherheit. Die IT-Sicherheit hingegen bezieht sich „nur“ auf den Schutz von Informationen auf IT- Systemen.

IT-Sicherheit laut Definition

Was sagen offizielle Stellen? IT-Sicherheit ist „ein Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.“ So das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Informationssicherheit = IT-Sicherheit plus x

In der Praxis wird bisweilen ein anderer Ansatz verfolgt, und zwar mit der Faustformel „Informationssicherheit = IT-Sicherheit + Datenschutz“. Diese als Gleichung notierte Aussage ist allerdings recht plakativ. Zwar geht es beim Thema Datenschutz gemäß DSGVO um den Schutz der Privatsphäre, der von Verarbeitern personenbezogener Daten sowohl eine sichere IT als auch z.B. eine sichere Gebäudeumgebung verlangt  und damit ein physischer Zugriff auf Kundendatensätze ausgeschlossen ist. Jedoch bleiben dabei wichtige analoge Daten, die keinen personenbezogenen Schutz verlangen, außen vor. Beispielsweise Konstruktionspläne von Unternehmen und vieles mehr.

Der Begriff Informationssicherheit enthält grundlegende Kriterien, die über reine IT-Aspekte hinausgehen, diese aber immer einschließen. So werden vergleichsweise auch einfache technische bzw. organisatorische Maßnahmen im Rahmen der IT-Sicherheit immer vor dem Hintergrund angemessener Informationssicherheit ergriffen. Beispiele dafür können sein:

  • Sicherung der Stromversorgung der Hardware
  • Maßnahmen gegen Überhitzung der Hardware
  • Viren-Scans und sichere Programme
  • Organisation von Ordnerstrukturen
  • Einrichtung und Aktualisierung von Firewalls
  • Schulung von Mitarbeitern etc.

Es liegt auf der Hand, dass Rechner und komplette IT-Systeme für sich selbst genommen nicht geschützt werden müssten. Denn ohne Informationen, die man digital verarbeiten oder transportieren wollte, werden Hard- und Software sinnlos.

IT-Sicherheit per Gesetz

Thema KRITIS: Das IT-Sicherheitsgesetz hat kritische Infrastrukturen aus verschiedenen Sektoren im Blick, wie zum Beispiel Strom-, Gas- und Wasserversorgung, TransportFinanzen, Ernährung oder Gesundheit. Hier geht es vor allem um den Schutz der IT-Infrastruktur vor Cyber-Kriminalität, um die Verfügbarkeit und die Sicherheit von IT-Systemen aufrechtzuerhalten. Insbesondere die heute digital gesteuerten fernwirktechnischen Anlagen müssen geschützt werden.

Diese Schutzziele stehen dabei im Vordergrund (Auszug):

  • Betrachten von IT-Sicherheitsrisiken
  • Erstellen von IT-Sicherheitskonzepten
  • Erstellen von Notfallplänen
  • Treffen allgemeiner Sicherheitsvorkehrungen
  • Kontrolle der Internet-Sicherheit
  • Verwendung kryptografischer Methoden etc.

ISO 27001 – Die Norm für Informationssicherheit

Was sagt ISO 27001? Die weltweit anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS), mit ihren Derivaten ISO 27019, ISO 27017 und ISO 27701, heißt in der aktuellen deutschen Fassung:

ISO 27001 wurde einer Revision un­ter­zo­gen und am 25.10.2022 in eng­li­scher Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision ein­her­ge­gan­gen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Die be­stehen­de DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Der Titel dieser bedeutenden Norm macht deutlich, dass IT-Sicherheit heute eine große Rolle für die Informationssicherheit spielt und künftig weiter an Bedeutung gewinnen wird. Die Anforderungen, die in ISO 27001 gestellt werden, zielen aber nicht nur auf digitale IT-Systeme. Im Gegenteil:

In der ge­sam­ten DIN ISO/IEC 27001 wird aus­nahms­los übergreifend von „Information“ ge­spro­chen.

Es wird grundsätzlich nicht unterschieden, auf welche analoge oder digitale Art und Weise diese Informationen verarbeitet werden bzw. zu schützen sind.

Mehr wert­vol­les Wissen zu In­for­ma­ti­ons­si­cher­heit und der Möglichkeit einer Be­gut­ach­tung erhalten Sie unter ISO 27001 Zer­ti­fi­zie­rung.

Ein erfolgreich umgesetztes ISMS unterstützt eine ganzheitliche Sicherheitsstrategie: Es umfasst sowohl organisatorische Maßnahmen, ein sicherheitsbewusstes Personalmanagement, die Sicherheit eingesetzter IT-Strukturen als auch die Einhaltung von gesetzlichen Anforderungen.

iso 27001-whitepaper-fragen-antworten

„Die Neue“ für In­for­ma­ti­ons­si­cher­heit

Wert­vol­les Wissen: 44 Fragen und Ant­wor­ten zu ISO/IEC 27001:2022

Zu­sam­men­stel­lung wis­sens­wer­ter Details zur re­vi­dier­ten ISO 27001 von An­wen­dern und Ex­per­ten:

  • Was hat es mit den neuen Controls auf sich?
  • Wann sollen wir auf die neue Norm um­stei­gen?
  • und vieles anderes mehr
Fragenkatalog kostenfrei herunterladen

Informationssicherheit oft analoger als Gedacht

Wer wollte, könnte die Normanforderungen von ISO 27001 über ein komplett analoges System legen und hätte am Ende ebenso viel erreicht, wie jemand, der die Anforderungen auf ein durch und durch digitales System anwendet. Erst im Anhang A der bekannten ISMS-Norm, der Maßnahmenziele und Maßnahmen für Anwender enthält, tauchen Begriffe wie Telearbeit oder Mobilfunkgeräte auf. Doch auch die Maßnahmen in Anhang A der Norm erinnern daran, dass es in jedem Unternehmen nach wie vor analoge Vorgänge und Situationen gibt, die mit Blick auf Informationssicherheit berücksichtigt werden müssen.

Wer in der Öffentlichkeit, zum Beispiel in der Bahn, via Smartphone lautstark über sensible Themen referiert, nutzt zwar digitale Kommunikationswege, ist aber mit seinem Fehlverhalten in Wahrheit analog unterwegs. Und wer seinen Schreibtisch nicht aufräumt, sollte besser sein Büro abschließen, um die Vertraulichkeit zu wahren. Wenigstens ersteres wird als eine der wirksamsten Einzelmaßnahmen zum sicheren Schutz von Informationen in der Regel noch händisch vollzogen, noch …

IT-Sicherheit vs. Informationssicherheit – Fazit

IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind. Vielmehr ist IT-Security ein Bestandteil von Informationssicherheit, die ihrerseits auch analoge Sachverhalte, Vorgänge und Kommunikation einschließt – was im Übrigen auch heute noch vielfach Alltag ist. Durch die zunehmende Digitalisierung rücken diese Begriffe jedoch immer enger zusammen, sodass der Bedeutungsunterschied auf Sicht wohl marginaler werden wird.

Was Sie von uns erwarten können

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit unserer Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner rund um Informationssicherheit und Datenschutz.

gerber-hermsdorf-werner-korall-audit dqs

Sie haben Fra­gen?

Kon­tak­tie­ren Sie uns!Ganz un­ver­bind­lich und kos­ten­frei.

Jetzt Anfrage senden

Wir reden nicht von Fachkompetenz, wir haben sie: Bei all unseren DQS-Auditoren können Sie langjährige praktische Berufserfahrung voraussetzen. Gesammelt in Organisationen jeder Größe und jeder Branche. Bei dieser Vielfalt ist garantiert, dass sich der leitende DQS-Auditor in Ihre individuelle Unternehmenssituation und Führungskultur hineindenken wird. Unsere Auditoren kennen Managementsysteme aus eigener Erfahrung, d.h. sie haben selbst ISMS aufgebaut, betreut und weiterentwickelt – und sie kennen die täglichen Herausforderungen aus eigenem Erleben. Wir freuen uns auf das Gespräch mit Ihnen.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Weiterlesen
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Weiterlesen
Blog
Mixing console in a recording studio with sliders at different heights

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit

Weiterlesen

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns