Informationssicherheit oder IT-Sicherheit?


Man würde denken, dass diese beiden Begriffe Synonyme sind – dreht es sich bei Informationssicherheit schließlich nicht immer um Computer?

Nicht wirklich. Der grundlegende Punkt ist, dass Sie vielleicht perfekte IT-Sicherheitsmaßnahmen eingerichtet haben, aber nur eine böswillige Handlung beispielsweise durch den Administrator legt das gesamte IT-System lahm. Dieses Risiko hat nichts mit Computern zu tun, sondern mit Menschen, Prozessen, Überwachung usw.

Außerdem könnten wichtige Information möglicherweise nicht einmal in digitaler Form vorliegen, sondern nur ausgedruckt – beispielsweise ein wichtiger Vertrag, der mit dem größten Kunden abgeschlossen wurde, persönliche Notizen des Geschäftsführers oder in einem Safe gelagerte ausgedruckte Administrator-Passwörter.

Deshalb pflege ich meinen Kunden gerne zu sagen – IT-Sicherheit entspricht 50 % der Informationssicherheit, weil Informationssicherheit immer auch physische Sicherheit, Personalmanagement, Rechtsschutz, Organisation, Prozesse usw. bedeutet. Der Zweck der Informationssicherheit besteht darin, ein System aufzubauen, dass sämtliche mögliche Risiken für die Informationssicherheit (IT-bezogen oder nicht IT-bezogen) berücksichtigt und umfassende Maßnahmen umsetzt, um alle Arten unzulässiger Risiken zu reduzieren.

Diese integrierte Herangehensweise für die Sicherheit von Informationen wird in ISO 27001 am besten definiert, der international führenden Norm für Informationssicherheits-Management. Kurzum ist eine Risikoeinschätzung für alle Vermögenswerte des Unternehmens erforderlich – einschließlich Hardware, Software, Dokumentation, Mitarbeiter, Lieferanten, Partner usw. Für eine Verringerung dieser Risiken sind entsprechende Maßnahmen auszuwählen.

ISO 27001 bietet 133 Maßnahmen in ihrem Anhang A. Ich habe diese Maßnahmen kurz analysiert und folgende Ergebnisse erhalten:

  • IT-bezogene Maßnahmen: 46 %
  • Maßnahmen im Zusammenhang mit Organisation / Dokumentation: 30%
  • Physische Sicherheitsmaßnahmen: 9%
  • Rechtsschutz: 6%
  • Maßnahmen im Zusammenhang mit Beziehungen zu Lieferanten und Käufern: 5%
  • Organisationsmaßnahmen im Personalwesen: 4%

Was bedeutet dies alles für die Informationssicherheit und Umsetzung der ISO 27001? Diese Art Projekt sollte nicht als IT-Projekt angesehen werden, denn als solches wäre es unwahrscheinlich, dass alle Teile der Organisation sich daran beteiligen möchten. Es sollte als unternehmensweites Projekt gesehen werden, an dem relevante Mitarbeiter aus allen Geschäftsbereichen teilnehmen sollten – leitendes Management, IT-Mitarbeiter, Rechtsexperten, Personalmanager, Sicherheitspersonal, Geschäftsbereiche des Unternehmens usw. Ohne eine solche Herangehensweise werden sie an der IT-Sicherheit arbeiten, ohne sich damit vor den größten Risiken zu schützen.

Weitere Informationen zur Informationssicherheit finden Sie in diesem kostenlosen Online-Training ISO 27001 Foundations Course.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.