77Lookup – Informationssicherheit

Informationssicherheit und IT-Sicherheit

Informationssicherheit umschreibt Ziele und Maßnahmen zum Schutz von technischen und nicht-technischen Systemen zur Informationsverarbeitung (im weiten Sinne). In der Regel stehen jedoch die Sicherheit von informationstechnischen Systemen und Netzwerken und damit die IT-Sicherheit im Vordergrund der Betrachtung.

Informations- bzw. IT-Sicherheit und digitale Integrität sind eng miteinander verknüpft. Digitale Integrität bezieht sich in diesem Zusammenhang auf die Unveränderlichkeit und Authentizität von digitalen Daten. Dies bedeutet, dass Daten nicht unbemerkt manipuliert werden können und ihre Echtheit verifizierbar ist. Ebenso gehören dazu die Aspekte Vertraulichkeit und Verfügbarkeit. Digitale Integrität ist entscheidend für das Vertrauen in digitale Systeme und Prozesse, sowohl in der öffentlichen Verwaltung, als auch in der Wirtschaft.

Klassische Schutzziele der Informations- und IT-Sicherheit

Betrachtungen der Gefährdung von Informationen und Systemen sowie die Gestaltung von Art und Umfang von Maßnahmen zur Abwehr von Gefahren werden zumeist anhand der klassischen Schutzziele der Informations- bzw. IT-Sicherheit strukturiert:

Verfügbarkeit

Informationen und IT-Systeme sollen jederzeit und zuverlässig verfügbar sein, wann immer sie benötigt werden. Dies schützt vor Systemausfällen und gewährleistet, dass Dienste stets erreichbar sind.

Vertraulichkeit

Informationen sollen nur von autorisierten Personen gelesen oder genutzt werden können. Dies verhindert unbefugten Zugriff und schützt sensible Daten vor Missbrauch.

Integrität

Informationen und Systeme sollen unverändert und zuverlässig bleiben. Dies bedeutet, dass Daten nur durch befugte Personen verändert werden können und alle Änderungen nachvollziehbar sind.

Bisweilen werden auch die englischen Begriffe Confidentiality, Integrity und Availability (deutsch: Vertraulichkeit, Integrität, Verfügbarkeit) verwendet und als „C.I.A.-Prinzip“ bezeichnet.

Weitere Aspekte der Informations- und IT-Sicherheit

Sicherer und kompetenter Umgang mit digitalen Medien

Fehler von Nutzern sind die häufigste Ursache für Sicherheitsprobleme. Bedrohungen der IT-Sicherheit zielen daher zunehmend auf die Nutzer und deren Schwächen ab, anstatt direkt auf technische Systeme. Angreifer nutzen Methoden wie Phishing, Social Engineering und andere Täuschungstaktiken, um persönliche Informationen oder Zugangsdaten von ahnungslosen Nutzern zu erlangen. Diese menschlichen Schwächen werden ausgenutzt, weil sie oft leichter zu manipulieren sind als technische Sicherheitsvorkehrungen.

Ein sicherer und verantwortungsvoller Umgang mit digitalen Medien und dem Internet setzt daher gewisse Fähigkeiten und Kenntnisse voraus – dies wird allgemein als Medienkompetenz oder digitale Kompetenz bezeichnet. Hierzu gehören auch das Bewusstsein und Wissen über Cyber-Bedrohungen und die Maßnahmen, die zur Vermeidung solcher Bedrohungen ergriffen werden können. Digitale Selbstverteidigung betont die Initiativen, die Einzelpersonen ergreifen können, um sich selbst vor digitalen Bedrohungen zu schützen.

Festlegen von Regeln und Standards – Governance

Das Festlegen von Regeln und Standards ist über die rechtlichen Vorschriften hinaus ein wesentlicher Bestandteil der IT-Sicherheit. Standards und bewährte Verfahren (best practices) bieten einen strukturierten Ansatz zur praktischen Umsetzung und Aufrechterhaltung von Informationssicherheit. Verwaltungen und Unternehmen orientieren sich hierbei zumeist an nationalen oder internationalen Standards.

Unternehmen erstellen und dokumentieren IT-Sicherheitsrichtlinien, um konsistente und nachvollziehbare Maßnahmen zur Aufrechterhaltung der Sicherheit zu gewährleisten. In den Richtlinien werden zumeist klare Regeln und Verantwortlichkeiten beschrieben, Arbeitsabläufe festgelegt und deren Einhaltung kontrolliert, damit Risiken frühzeitig erkannt und bewältigt werden. Diese Festlegung eines rechtlichen und faktischen Ordnungsrahmens für die Leitung und Überwachung eines Unternehmens wird als Governance bezeichnet.

Ein für Private und Kleinunternehmen leicht umsetzbarer Ansatz kann das verbindliche Festlegen und Dokumentieren der wichtigsten Regeln in Form eines Merkblattes sein, das allen bekannt und jederzeit gut zugänglich ist. Die Befolgung der Regeln sollte ein Maß an Aufwand nach sich ziehen, das jede(r) jederzeit aufzubringen bereit ist. Zu komplexe Vorschriften führen eher dazu, dass instinktiv nach Auswegen, sie zu umgehen, gesucht wird. Die Disziplin bei der Einhaltung von eher wenigen Regeln ist wichtiger und erzeugt letztlich ein höheres Maß an Sicherheit, als Umfang und Komplexität der Regeln. Ein Beispiel finden Sie hier.

Einhalten von Regeln und Vorschriften – Compliance

Die Rechtmäßigkeit des Handelns ist entscheidend, um sicherzustellen, dass alle Sicherheitsmaßnahmen und -praktiken im Einklang mit geltenden Gesetzen und Vorschriften stehen. Dies schützt Private und Organisationen gleichermaßen vor rechtlichen Konsequenzen und Strafen. Beispiele hierfür sind

  • Urheberrecht –  Die Nutzung von Software und digitalen Inhalten, vor allem von Bildern, Grafiken und Videos muss im Einklang mit den Lizenzbedingungen und dem Urheberrecht stehen, um Rechtsverletzungen zu vermeiden. Diese führen zuweilen zu immensen Schadenersatzforderungen, auch für Private.
  • Schutz der Privatsphäre – Vor allem öffentliche Verwaltungen und Unternehmen müssen sicherstellen, dass sie personenbezogene Daten rechtmäßig, fair und transparent verarbeiten. Bei Verstößen gegen Datenschutzbestimmungen besteht jedoch auch für Private ein ernst zu nehmendes rechtliches Risiko.

In Verwaltung und Wirtschaft wird für das Prinzip der Einhaltung gesetzlicher Bestimmungen, interner Richtlinien und ethischer Standards in diesem Zusammenhang der Begriff Compliance verwendet.

Nutzen- / Aufwandbetrachtung – Wirtschaftlichkeit

Wichtige Daten müssen vor Verlust geschützt werden. Dazu werden diese in der Regel nach einem festgelegten System vervielfältigt, an verschiedenen Orten gelagert und regelmäßig aktualisiert. Dieses Vorgehen wird als Datensicherung (engl.: „backup“) bezeichnet.

Die Verknüpfung von IT-Sicherheit und einer Abwägung von Aufwand und Nutzen spielt sowohl für Verwaltungen und Unternehmen als auch für private Nutzer eine wichtige Rolle. Effektive IT-Sicherheit kann nicht isoliert von dem Aufwand, sei es finanzieller oder zeitlicher Natur, betrachtet werden, die sie verursacht. Hier sind einige wesentliche Bezüge und Aspekte, die zeigen, wie IT-Sicherheit unter Beachtung der Wirtschaftlichkeit umgesetzt werden kann:

Kosten-Nutzen-Betrachtung

Hier wird abgewogen, welche Investitionen in Sicherheitsmaßnahmen gerechtfertigt sind, basierend auf dem potenziellen Risiko und den möglichen Verlusten bei Sicherheitsvorfällen. Für private Nutzer bedeutet dies, dass sie nicht unbedingt die teuersten Sicherheitslösungen benötigen, sondern solche, die ein angemessenes Schutzniveau für ihre spezifischen Risiken bieten.

Verhältnismäßigkeit der Sicherheitsmaßnahmen

Sicherheitsmaßnahmen müssen in einem vernünftigen Verhältnis zu den tatsächlichen Bedrohungen und dem Wert der zu schützenden Daten stehen. Übermäßige Sicherheitsmaßnahmen können unnötige Kosten verursachen, ohne zusätzlichen Nutzen zu bieten. Schwer zu verstehende oder zu enge Vorschriften führen eher dazu, dass unwillkürlich nach Auswegen, sie zu umgehen, gesucht wird. Private Nutzer sollten daher Maßnahmen wählen, die sowohl wirksam als auch kosteneffizient sind, z.B. integrierte Schutzfunktionen der Betriebssysteme und regelmäßige Backups, anstatt in teure, unternehmensorientierte Lösungen zu investieren.

Erweiterbarkeit und Flexibilität

IT-Sicherheitslösungen sollten erweiterbar und flexibel sein, um sich an verändernde Anforderungen und Bedrohungslandschaften anpassen zu können, ohne dass ständig komplett neue Systeme implementiert werden müssen. Für private Nutzer bedeutet dies, Lösungen zu wählen, die Updates und Anpassungen ohne großen zusätzlichen Aufwand ermöglichen.

Vorbeugen ist billiger als reparieren

Wirtschaftliche Prinzipien in der IT-Sicherheit betonen oft die Bedeutung der Vorbeugung von Schadensfällen (Prävention). Investitionen in präventive Maßnahmen sind in der Regel sowohl von den Kosten als auch vom Zeitaufwand her weniger aufwändig als die Behebung von Schäden nach einem Sicherheitsvorfall. Nicht zu unterschätzen ist für Verwaltungen und Unternehmen der Verlust an Reputation. Der Verlust von Kundendaten kann zu Vertrauensverlust und schlechter öffentlicher Wahrnehmung führen, was langfristige Schäden für die Marke eines Unternehmens oder das Vertrauen der Bevölkerung in die öffentliche Verwaltung nach sich ziehen kann.

Für private Nutzer bedeutet das, dass es besser ist, Zeit und Geld in ein sinnvolles, dem Bedarf angemessenes Sicherheitskonzept und regelmäßige Backups zu investieren, als die Kosten und den Zeitaufwand für den Verlust oder die Wiederherstellung von Daten nach einem Angriff zu tragen.

Bewusstsein und Schulung

Für Verwaltungen und Unternehmen ist das Bewusstsein und die Schulung der Nutzer ein wichtiger Aspekt der Kosteneffizienz in der IT-Sicherheit, denn Bedienungsfehler sind die häufigste Ursache für Sicherheitsprobleme.  Investitionen in die Schulung und das Bewusstsein können daher sehr kosteneffektiv sein.

Quellen: