Mit der zunehmenden Digitalisierung steigen auch die Angriffspotenziale aus dem Netz. Unternehmen sind vor die Herausforderung gestellt, sich gegen Cyberangriffe, Schadprogramme und Sicherheitsvorfälle im Betrieb zu schützen.
Technischer Schutz mittels IT-Technik reicht da alleine schon längst nicht mehr aus. Um die IT-Sicherheit aufstellen zu können ist die Summe aller Maßnahmen und Kontrollen, die dem Schutz der IT dienen, essentiell. Im Wesentlichen sind hier die Themenbereiche Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme gefragt. Neben unserem Know-How und Fachwissen bedarf es dafür permanenter Wachsamkeit und Reaktionsschnelligkeit. Ganzheitliche und nachhaltige Sicherheitsmaßnahmen sind daher für die Zukunftsfähigkeit eines jeden Unternehmens essenziell.
Das IT-Risikomanagement ermöglicht als Prozess die benötigte Hilfestellung um die Gefährdungs- bzw. Risikolage auf einem akzeptablen Niveau zu halten. Die Maßnahmen, welche aus einer IT-Risikobewertung entstehen gehören zu weiten Teilen zu den nachfolgenden Themengebieten:
eine Person oder Instanz erbringt den Beweis dafür, dass sie ist, wer sie zu sein vorgibt. Im Alltag geschieht dies z. B. durch die Vorlage des Personalausweises. In der IT wird hierfür häufig ein Passwort in Kombination mit einem Benutzernamen genutzt.
eine Person oder Instanz wird berechtigt um auf bestimme Daten oder Informationen zuzugreifen. Dieses Thema läuft auch häufig unter dem Stichwort Rollen und Rechte.
Daten stehen gemäß des definierten Bedarfs zur Verfügung. Die Verfügbarkeit ist ein bekannter Begriff aus dem IT-Servicemanagement und wird meist in Monaten angegeben, z.B. 99,9 % per Monat.
in der vorliegenden Definition umfasst hier der Begriff Dokumentation auch die Themenbereiche des Audit und der Protokollierung. Eigentlich sind es jeweils für sich eigenständige Aufgabenbereiche, werden aber häufig zusammen abgearbeitet.
Daten oder Informationen werden durch eine Verschlüsselung vor Veränderung oder Verfälschung geschützt. Dies betrifft sowohl den Transport von Daten oder Informationen als auch deren Ablage. Es gibt verschiedene Verschlüsselungen, wobei die „schwachen“ Verschlüsselungen nicht mehr akzeptiert werden.
Oft werden IT-Sicherheit und Informationssicherheit synonym verwendet. Streng genommen ist IT-Sicherheit jedoch nur ein Teilaspekt der Informationssicherheit. Während die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von Informationen. Diese können auch in nicht-technischen Systemen vorliegen, zum Beispiel auf Papier. Die Schutzziele der Informationssicherheit bestehen darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Geeignete Maßnahmen finden sich zum Beispiel in den international gültigen ISO/IEC-27000-Normreihen. In Deutschland gilt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Leitlinie für die Informationssicherheit. Ein wichtiger Baustein ist die Etablierung eines Informationssicherheits-Management-Systems (ISMS).
Abhängig der jeweiligen Ergebnisse kann anschließend die Geschäftsleitung anhand der Maßnahmen und der jeweiligen Wirtschaftlichkeit der Maßnahmen die weiteren Schritte entscheiden und im Rahmen einer Prozessdefinition die Zielerreichung mit einem, auf die Bedürfnisse des jeweiligen Unternehmens zugeschnittenen, Informationssicherheitsmanagementsystems (ISMS) sicherstellen.
Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
Die Integrität der Information ist die Verhinderung unautorisierter Modifikation von Information.
Funktionen eines IT-Systems sollten ständig innerhalb einer vorgegebenen Zeit, auf die benötigten Informationen zugreifen können.
Die Verbindlichkeit gewährleistet bei der Übertragung von Informationen, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann.
Die Nichtabstreitbarkeit gewährleistet, dass der Versand und Empfang von Daten nicht in Abrede gestellt werden kann.
Die Authenzität gewährleistet, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein.
Die Zuverlässigkeit gewährleistet, dass jedes Unternehmen ihre Informationswerte und Geschäftsprozesse kennt und deren Schutzbedarf mit bester Sicherheit gewählt hat.
