.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

IT-Sicherheit vs. Informationssicherheit - Was ist der Unterschied?

André Säckel

DQS-Normexperte Informationssicherheit
Nov. 12 , 2022
# Informations­sicherheit versus IT-Sicherheit

Zwei Dinge, die oft miteinander verwechselt werden: die Sicherheit von Informationstechnik (IT) und die Sicherheit von Informationen. In Zeiten der Digitalisierung werden Informationen zwar meist mithilfe der IT verarbeitet, gespeichert oder transportiert – aber oftmals ist Informationssicherheit noch analoger als gedacht! Grundsätzlich sind IT-Sicherheit und Informationssicherheit durchaus eng miteinander verknüpft. Für einen wirksamen Schutz von vertraulichen Informationen sowie der IT bedarf es daher einer systematischen Herangehensweise.

INHALT

IT-Sicherheit vs. Informationssicherheit

Informationssicherheit ist mehr als nur IT-Sicherheit. Sie legt den Fokus auf das gesamte Unternehmen. Denn die Sicherheit vertraulicher Informationen zielt eben nicht nur auf Daten, die mit elektronischen Systemen verarbeitet werden. Informationssicherheit umfasst alle zu schützenden Unternehmenswerte, auch auf analogen Datenträgern, wie beispielsweise Papier.

„IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind.“

Schutzziele der Informationssicherheit

Die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – gelten also auch für einen Brief mit wichtigen Vertragsunterlagen, der gänzlich analog, aber dennoch pünktlich, zuverlässig und unversehrt von einem Kurier transportiert bei seinem Empfänger ankommen muss. Und diese Schutzziele gelten gleichermaßen für ein DIN A4-Blatt, das vertrauliche Informationen enthält, aber für jedermann einsehbar auf einem unbeaufsichtigten Schreibtisch liegt oder im Kopierer frei zugänglich auf unbefugten Zugriff wartet.

Somit greift Informationssicherheit weiter als IT-Sicherheit. Die IT-Sicherheit hingegen bezieht sich „nur“ auf den Schutz von Informationen auf IT- Systemen.

IT-Sicherheit laut Definition

Was sagen offizielle Stellen? IT-Sicherheit ist „ein Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.“ So das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Informationssicherheit = IT-Sicherheit plus x

In der Praxis wird bisweilen ein anderer Ansatz verfolgt, und zwar mit der Faustformel „Informationssicherheit = IT-Sicherheit + Datenschutz“. Diese als Gleichung notierte Aussage ist allerdings recht plakativ. Zwar geht es beim Thema Datenschutz gemäß DSGVO um den Schutz der Privatsphäre, der von Verarbeitern personenbezogener Daten sowohl eine sichere IT als auch z.B. eine sichere Gebäudeumgebung verlangt  und damit ein physischer Zugriff auf Kundendatensätze ausgeschlossen ist. Jedoch bleiben dabei wichtige analoge Daten, die keinen personenbezogenen Schutz verlangen, außen vor. Beispielsweise Konstruktionspläne von Unternehmen und vieles mehr.

Der Begriff Informationssicherheit enthält grundlegende Kriterien, die über reine IT-Aspekte hinausgehen, diese aber immer einschließen. So werden vergleichsweise auch einfache technische bzw. organisatorische Maßnahmen im Rahmen der IT-Sicherheit immer vor dem Hintergrund angemessener Informationssicherheit ergriffen. Beispiele dafür können sein:

  • Sicherung der Stromversorgung der Hardware
  • Maßnahmen gegen Überhitzung der Hardware
  • Viren-Scans und sichere Programme
  • Organisation von Ordnerstrukturen
  • Einrichtung und Aktualisierung von Firewalls
  • Schulung von Mitarbeitern etc.

Es liegt auf der Hand, dass Rechner und komplette IT-Systeme für sich selbst genommen nicht geschützt werden müssten. Denn ohne Informationen, die man digital verarbeiten oder transportieren wollte, werden Hard- und Software sinnlos.

praxistag-isms-dqs-menschengruppe mit digitalen Zahlenanzeigen

DQS Praxistag ISO 27001:2022 #simplyISMS

Mit der Überarbeitung der Norm im Oktober 2022 erhielt ISO/IEC 27001:2022 einen neuen Maßnahmenkatalog, um aktuellen Cyberbedrohungen zeitgemäß begegnen zu können. Erhalten Sie tiefe Einblicke in die revidierte Norm - praxisnah vermittelt!

Aus dem Inhalt:

  • #groundcontrol-to-ISMS – bitte anschnallen: ISO/IEC 27001:2022 im Überblick
  • #controls – 11 neue und 24 zusammengeführte Informationssicherheitsmaßnahmen aus dem Anhang A der 2022er Revision kennenlernen und einordnen
  • #cybersecurity – Ein Buzzword wird normiert: Wie sieht die Strukturierung und Anordnung der konkreten Cybersecurity-Maßnahmen aus? 

Und natürlich ein ausführliches #Q&A – Sie fragen, unsere Experten antworten. 

Jetzt informieren und anmelden!

IT-Sicherheit per Gesetz

Thema KRITIS: Das IT-Sicherheitsgesetz hat kritische Infrastrukturen aus verschiedenen Sektoren im Blick, wie zum Beispiel Strom-, Gas- und Wasserversorgung, TransportFinanzen, Ernährung oder Gesundheit. Hier geht es vor allem um den Schutz der IT-Infrastruktur vor Cyber-Kriminalität, um die Verfügbarkeit und die Sicherheit von IT-Systemen aufrechtzuerhalten. Insbesondere die heute digital gesteuerten fernwirktechnischen Anlagen müssen geschützt werden.

Diese Schutzziele stehen dabei im Vordergrund (Auszug):

  • Betrachten von IT-Sicherheitsrisiken
  • Erstellen von IT-Sicherheitskonzepten
  • Erstellen von Notfallplänen
  • Treffen allgemeiner Sicherheitsvorkehrungen
  • Kontrolle der Internet-Sicherheit
  • Verwendung kryptografischer Methoden etc.

ISO 27001 – Die Norm für Informationssicherheit

Was sagt ISO 27001? Die weltweit anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS), mit ihren Derivaten ISO 27019, ISO 27017 und ISO 27701, heißt in der aktuellen deutschen Fassung:

ISO/IEC 27001:2022-10 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements

Die überarbeitete ISO-Norm wurde am 25.10.2022 in englischer Sprache veröffentlicht. Die deutsche DIN-Norm wird in 2023 erwartet. Die bestehende DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Der Titel dieser bedeutenden Norm macht deutlich, dass IT-Sicherheit heute eine große Rolle für die Informationssicherheit spielt und künftig weiter an Bedeutung gewinnen wird. Die Anforderungen, die in ISO 27001 gestellt werden, zielen aber nicht nur auf digitale IT-Systeme. Im Gegenteil:

In der gesamten DIN ISO/IEC 27001 wird ausnahmslos übergreifend von „Information“ gesprochen.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

<p>DQS-Normexperte Informationssicherheit</p>