Informationssicherheit

„Freiheit kann sich nur entfalten auf der Basis von Sicherheit“ (W. von Humboldt)

Die zunehmende Digitalisierung hat zur Folge, dass Informationssicherheit in Unternehmen einen immer höheren Stellenwert einnimmt. Unter dem Begriff Cybercrime sind alle Straftaten zu subsumieren, die unter Ausnutzung der Informations- und Kommunikationstechnik und der damit verarbeiteten Daten begangen werden. Dazu zählen unter anderem:

• Computerbetrug
  Dieser liegt vor, wenn Computertechnologie verwendet wird, um betrügerische Handlungen zu begehen, beispielsweise durch Manipulation digitaler Daten, um finanzielle Vorteile zu erzielen.
  
  
• Ausspähen/Abfangen von Daten
  Darunter fällt das unautorisierte Erlangen von Daten, die nicht für die betreffende Person bestimmt sind, oder das Eindringen in Datenschutzsysteme.
  
  
• Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung
  Hierbei werden Daten so manipuliert, dass sie in rechtlichen Kontexten irreführend wirken oder falsche Beweise liefern.
  
  
• Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten
  Dies umfasst den unrechtmäßigen Erwerb und Gebrauch von Berechtigungen, um sich Zugang zu Kommunikationsdiensten zu verschaffen.
  
  
• Datenveränderung/Datensabotage
  Dazu zählt das unautorisierte Verändern oder Löschen von Daten, um Schaden zu verursachen oder den rechtmäßigen Betrieb von IT-Systemen zu beeinträchtigen.

„Sicherheit bezeichnet einen Zustand, der frei von unvertretbaren Risiken der Beeinträchtigung ist oder als gefahrenfrei angesehen wird.“

Informationssicherheit
... ist der Schutz von Informationen und Informationsressourcen vor

•    Zerstörung
•    Enthüllung
•    Modifizierung
•    nichtauthentifizierter Benutzung

sowie die Sicherstellung der Wiederherstellbarkeit, sofern sich das erstgenannte Ziel nicht erreichen lässt ... und umfasst die Bereiche wie

•    Kommunikation
•    Personal
•    Prozesse
•    Recht und Verträge
•    Pflege und Service
•    Werte und Objekte
•    Sicherheitsmanagement

IT-Sicherheit umfasst die Bereiche

•    Computer
•    Netzwerke
•    Zutritt/Zugriff

Datensicherheit
Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet.

Datenschutz
Mit Datenschutz wird der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet.

Die Bedeutung der Informationssicherheit in der heutigen Geschäftswelt kann nicht hoch genug eingeschätzt werden. In einer Ära, in der Informationen zu einem der wertvollsten Vermögenswerte eines Unternehmens geworden sind, stellt die Sicherheit dieser Informationen eine grundlegende Voraussetzung für den Geschäftserfolg dar.

• Vertrauen und Zufriedenheit der Kundschaft
  In einer digital vernetzten Welt, in der persönliche und sensible Daten täglich online ausgetauscht werden, ist das Vertrauen der Kunden in die Fähigkeit eines Unternehmens, diese Informationen zu schützen, entscheidend. Datenschutzverletzungen können das Vertrauen erheblich untergraben und zu einem Verlust von Kunden führen.
  
  
• Gesetzliche Anforderungen
  In vielen Ländern wurden umfassende Datenschutzgesetze verabschiedet, um die Sicherheit persönlicher Daten zu gewährleisten. In der Europäischen Union beispielsweise schreibt die Datenschutz-Grundverordnung (DSGVO) vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen treffen müssen, um die Sicherheit personenbezogener Daten zu gewährleisten.
  
  
• Betriebliche Kontinuität
  Informationssicherheit ist auch für die Aufrechterhaltung der betrieblichen Kontinuität von entscheidender Bedeutung. Cyberangriffe, Datenverluste oder Systemausfälle können zu erheblichen Betriebsunterbrechungen führen, die finanzielle Verluste und Schäden an der Markenreputation nach sich ziehen.

• Prävention
  Unternehmen müssen proaktive Maßnahmen ergreifen, um potenzielle Sicherheitslücken zu identifizieren und zu schließen, bevor sie ausgenutzt werden können.
  
  
• Detektion
  Es ist wichtig, Systeme und Netzwerke kontinuierlich zu überwachen, um verdächtige Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können.
  
  
• Reaktion
  Im Falle eines Sicherheitsvorfalls müssen Unternehmen in der Lage sein, schnell und effektiv zu handeln, um den Schaden zu begrenzen und die betroffenen Systeme wiederherzustellen.
  
  
• Compliance
  Die Einhaltung relevanter Gesetze, Vorschriften und Standards ist ein wesentlicher Bestandteil der Informationssicherheit. Unternehmen müssen sich über die für sie geltenden Anforderungen im Klaren sein und diese erfüllen.

• Personalausfall
  Notfallpläne und Vertretungsregelungen können helfen, den Ausfall von Personal durch Unfälle, Krankheit, Streik oder Tod abzufedern.
  
  
• Ausfall der IT-Systeme
  Investitionen in Schutzvorkehrungen gegen physische Schäden durch Blitz, Feuer, Wasser oder Kabelbrand sind unerlässlich.

• Informationssicherheitsmanagement
  Die Implementierung eines robusten ISM ist entscheidend für die proaktive Verwaltung der Informationssicherheit.
  
  
• Regelungen zur IT-Sicherheit
  Klare und bekannte Richtlinien für die IT- bzw. Informationssicherheit müssen etabliert und kommuniziert werden.
  
  
• Zuständigkeiten
  Eine transparente Zuweisung von Verantwortlichkeiten verhindert Unsicherheiten im Krisenfall.
  
  
• Wartungsarbeiten
  Regelmäßige und professionelle Wartung der IT-Systeme schützt vor Ausfällen und Sicherheitslücken.
  
  
• Zutritts-, Zugangs- und Zugriffsberechtigungen
  Die Überwachung und Kontrolle dieser Berechtigungen schützt vor unberechtigtem Zugriff.
  
  
• Notfallvorsorge
  Ein Notfallplan sollte vorhanden sein, um auf verschiedene Krisensituationen vorbereitet zu sein.

• Versorgungsnetze
  Redundante Systeme und Notfallgeneratoren können bei einem Ausfall der Strom- oder Telefonversorgung zum Einsatz kommen.
  
  
• Defekte IT-Systeme
  Eine regelmäßige Überprüfung und Wartung der Hard- und Software ist essenziell, um technisches Versagen zu minimieren.
  
  
• Fehlerhafte Software
  Software-Upgrades und Patches sollten stets aktuell gehalten werden, um bekannte Sicherheitslücken zu schließen.

• Fehlbedienung der IT-Systeme
  Schulungen und klare Anweisungen für die Bedienung von IT-Systemen helfen, Fehlbedienungen zu vermeiden.
  
  
• Administration der IT-Systeme
  Die Einführung von Prozessen zur Überwachung und zum Management der IT kann Fehlkonfigurationen und -administration verhindern.
  
  
• Datenpannen
  Sensibilisierung der Mitarbeiter und verschlüsselte Datenspeicherung können das Risiko von Datenpannen reduzieren.
  
  
• Datensicherung
  Eine umfassende Backup-Strategie ist unabdingbar, um Datenverlust vorzubeugen.

• Zerstörung und Manipulation
  Physische Sicherheitsmaßnahmen und Zugriffskontrollen schützen vor absichtlicher Zerstörung und Manipulation von IT-Geräten und -Daten.
  
  
• Missbrauch von Rechten
  Ein präzises Berechtigungsmanagement und die Überwachung von Zugriffen verhindern den Missbrauch von Administrator- und Benutzerrechten.
  
  
• Malware und Abhören
  Antivirus-Software, Firewalls und Verschlüsselung schützen vor Malware und dem Abhören von Kommunikation.
  
  
• Social Engineering und Identitätsdiebstahl
  Aufklärung der Mitarbeiter und starke Authentifizierungsverfahren sind Schlüsselelemente zur Verhinderung von Social Engineering und Identitätsdiebstahl.

Die Informationssicherheit hat die primäre Aufgabe, IT-Systeme sowie die darauf gespeicherten und verarbeiteten Daten und Informationen durch angemessene Maßnahmen zu schützen. Ihre Ziele umfassen:

• Den Schutz vor Gefahren und Bedrohungen wie Cyberangriffe, Malware oder Datendiebstahl.
  
  
• Die Vermeidung von Schäden, die durch solche Bedrohungen entstehen können, einschließlich finanzieller Verluste und Reputationsschäden.
  
  
• Die Minimierung von Risiken, um die Wahrscheinlichkeit und Auswirkungen potenzieller Sicherheitsvorfälle zu reduzieren.

Informationssicherheit beginnt jedoch bei jedem einzelnen Mitarbeiter. Wenn Mitarbeitende nachlässig mit Daten, Programmen und Rechnern umgehen, wird die Effektivität selbst ausgeklügelter technischer Schutzmaßnahmen stark reduziert. Der menschliche Faktor spielt daher eine entscheidende Rolle bei der Gewährleistung der Sicherheit von Informationssystemen. 

Die Sicherheit von Daten und Informationen in Unternehmen stützt sich auf die Einhaltung von drei Grundprinzipien oder Sicherheitszielen. Diese Grundsätze, die sowohl für digital vorliegende Informationen als auch für Informationen in physischer Form wie auf Papier gelten, sind:

Vertraulichkeit (Confidentiality)

Die Wahrung der Vertraulichkeit ist ein entscheidendes Prinzip im Bereich der Informationssicherheit. Sie dient dazu, sicherzustellen, dass vertrauliche Informationen nicht von unbefugten Personen eingesehen oder verwendet werden können.

Vertrauliche Informationen, insbesondere personenbezogene Daten, müssen durch angemessene Sicherheitsvorkehrungen und Kontrollmechanismen geschützt werden, um unberechtigte Kenntnisnahme zu verhindern. Zu diesen Schutzmaßnahmen gehören beispielsweise:

• Zugriffskontrollen
  Mechanismen wie Passwörter, biometrische Verfahren und elektronische Zutrittskontrollen, die sicherstellen, dass nur autorisiertes Personal Zugang zu vertraulichen Daten erhält.
  
  
• Verschlüsselung
  Die Verschlüsselung von Daten sowohl in der Übertragung als auch bei der Speicherung, um die Daten unlesbar für Unbefugte zu machen.
  
  
• Datenschutzrichtlinien
  Klare Richtlinien und Verfahren, die den Umgang mit vertraulichen Informationen regeln, inklusive der Handhabung von Daten, die Zugriff auf weitere vertrauliche Informationen ermöglichen könnten, wie z. B. Systemkonfigurationsdateien.

Verfügbarkeit (Availability)

Die Verfügbarkeit von Daten, Systemen und Betriebsmitteln ist ein kritischer Faktor in der Informationssicherheit. Verfügbarkeit gewährleistet, dass alle benötigten Ressourcen stets zugänglich und einsatzbereit sind, sobald eine autorisierte Person darauf zugreifen möchte. Dies schließt die Erwartung ein, dass Transaktionen und Prozesse innerhalb einer angemessenen, geschäftskritischen Zeitspanne abgewickelt werden können.

Um dies sicherzustellen, sollten Unternehmen folgende Maßnahmen ergreifen:

• Redundante Systeme
  Durch den Einsatz von Redundanzen können Ausfallzeiten minimiert werden, falls eines der Systeme ausfällt.
  
  
• Regelmäßige Wartung
  Durch die regelmäßige Überprüfung und Wartung von Hardware und Software kann sichergestellt werden, dass die Systeme optimal funktionieren.
  
  
• Notfallpläne
  Ein gut durchdachter Notfallwiederherstellungsplan (Disaster Recovery Plan) sorgt dafür, dass die Systeme im Falle eines Ausfalls schnell wiederhergestellt werden können.
  
  
• Kapazitätsplanung
  Durch regelmäßige Überprüfungen der Systemlast und entsprechende Anpassungen der Ressourcen kann eine angemessene Performance gewährleistet werden.
  
  
• Monitoring
  Kontinuierliche Überwachung der Systeme kann dazu beitragen, potenzielle Probleme frühzeitig zu identifizieren und präventive Maßnahmen zu ergreifen.

Integrität (Integrity)

Die Integrität von Daten und Systemen ist ein weiterer Eckpfeiler der Informationssicherheit. Datenintegrität gewährleistet, dass Informationen während ihrer Speicherung, Verarbeitung und Übertragung vollständig, genau und unverändert bleiben. Systemintegrität bezieht sich darauf, dass IT-Systeme konsistent und korrekt gemäß ihrer Spezifikation und ihrem Design funktionieren.

Maßnahmen zur Sicherung der Daten- und Systemintegrität:

• Berechtigungen und Zugriffskontrollen
  Strikte Zugriffskontrollen stellen sicher, dass nur befugte Personen Daten ändern oder löschen können.
  
  
• Versionierung und Protokollierung
  Änderungen an Daten werden nachverfolgt und protokolliert, was eine Historie von Modifikationen schafft und unbefugte Veränderungen erkennbar macht.
  
  
• Integritätsprüfungen
  Regelmäßige Integritätschecks, wie z.B. Prüfsummen und Hash-Funktionen, helfen, die Unversehrtheit von Daten zu überprüfen und zu bestätigen.
  
  
• Transaktionssicherheit
  Mechanismen wie Transaktionsprotokolle und Datenbankmanagement-Systeme stellen sicher, dass Transaktionen konsistent sind und im Falle eines Fehlers rückgängig gemacht werden können.
  
  
• Verschlüsselung
  Um zu verhindern, dass Daten während der Übertragung modifiziert werden, sollten Verschlüsselungstechnologien eingesetzt werden. Diese schützen Daten vor unbefugtem Zugriff und stellen sicher, dass nur der intendierte Empfänger die Informationen entschlüsseln und verwenden kann.
  
  
• Fehlererkennungssoftware
  Software, die speziell darauf ausgelegt ist, Unstimmigkeiten oder Anomalien in Daten zu erkennen, kann helfen, Integritätsprobleme frühzeitig aufzudecken.
  
  
• Regelmäßige Backups
  Durch regelmäßige Backups können Daten im Falle eines Datenverlusts oder einer unbeabsichtigten Modifikation wiederhergestellt werden.

Ein System muss jederzeit logisch korrekt funktionieren, und das bedeutet, dass es gemäß seiner programmierten Prozesse und ohne unerwartete Fehler arbeitet. Sollte es zu Änderungen an den Systemen kommen, müssen diese kontrolliert, dokumentiert und überprüft werden, um sicherzustellen, dass sie keine unbeabsichtigten Nebeneffekte haben.

Authentizität (Authenticity)

Authentizität, oft auch als Authentizität von Daten bezeichnet, ist ein fundamentales Prinzip der Informationssicherheit, das die Echtheit einer Information oder Identität sicherstellt. Im Kontext der IT-Sicherheit wird Authentizität dazu verwendet, zu bestätigen, dass Informationen wirklich von der angegebenen Quelle stammen und dass die Daten nicht manipuliert wurden.

In der Praxis bedeutet Authentizität, dass die Identität einer Person, eines Systems oder einer Komponente eindeutig überprüft und verifiziert werden kann. Dies gewährleistet, dass Kommunikationspartner oder Datenquellen tatsächlich diejenigen sind, für die sie sich ausgeben. Dieses Prinzip ist nicht nur auf die Überprüfung von Personenidentitäten beschränkt, sondern wird auch bei IT-Komponenten oder Anwendungen angewendet, um sicherzustellen, dass die Interaktion mit diesen Elementen sicher und vertrauenswürdig ist.

Maßnahmen zur Sicherstellung der Authentizität

• Digitale Signaturen
  Digitale Signaturen bieten eine Möglichkeit, die Authentizität von elektronischen Dokumenten und Nachrichten zu überprüfen. Eine digitale Signatur ist vergleichbar mit einer handschriftlichen Unterschrift oder einem gestempelten Siegel, bietet aber dank kryptografischer Techniken eine stärkere Sicherheitsstufe.
  
  
• Authentifizierungsprotokolle
  Diese Protokolle stellen sicher, dass Nutzer, Systeme oder Anwendungen sich korrekt ausweisen, bevor ein Zugriff auf Ressourcen gewährt wird.
  
  
• Zertifikate
  Zertifikate, die von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt werden, bestätigen die Authentizität eines öffentlichen Schlüssels und der damit verbundenen Identität.