Alles andere als identisch: IT-Sicherheit und Informationssicherheit

Aufgrund einer immer wieder auftretenden Verwechslung zweier Fachbegriffe, vor der ab und an sogar Fachleute nicht gefeit sind, thematisiert dieser Beitrag den Unterschied zwischen IT-Sicherheit und Informationssicherheit.

Dabei geht es uns keineswegs darum, als Besserwisser oder Schlaumeier aufzutreten. Es ist aus unserer Sicht vielmehr unverzichtbar, dass die Anbieter von IT-Lösungen eine präzise Fachsprache sprechen.

Unsere Kunden haben einen Anspruch auf Klarheit. Nur sofern diese vorliegt, können potenzielle Auftraggeber nachvollziehen, was zu tun ist, damit ihr IT-System effizient und störungsfrei arbeitet. Unternehmer und Geschäftsführer müssen verstehen, dass beide Themenfelder – IT-Sicherheit und Informationssicherheit – nicht nur in ihrem Interesse liegen, sondern hoch priorisiert werden sollten.

IT-Sicherheit umfasst den sicheren Betrieb sämtlicher informationstechnischer Komponenten und Technologien, die eine Organisation verwendet. Das heißt, die IT-Sicherheit adressiert sowohl die Hardware als auch die Software, die zum Einsatz kommt.

Zunächst geht es darum, dass das IT-System reibungslos funktioniert und gegenüber bewusst oder unbewusst herbeigeführten Störungen resilient ist. Da IT-Systeme in der Regel mit dem Internet verbunden sind, betrifft die IT-Sicherheit neben der Hard- und Software auch das Netzwerk.

Daher ist Cybersicherheit heutzutage eine unverzichtbare Komponente der Anstrengungen zur IT-Sicherheit insgesamt. Sie umfasst organisatorische und technische Maßnahmen wie die Einrichtung von Firewalls, die Nutzung von Proxy-Servern, den Betrieb von Virenscannern, eine regelmäßige Schwachstellenanalyse sowie (organisatorisch) Zugriffskontrollen und ein adäquates Rechtemanagement.

Informationssicherheit meint den Schutz von Informationen vor den neugierigen Blicken Unbefugter.

Dabei handelt es sich beispielsweise um Unternehmensstrategien, Produktionsverfahren, technische Zeichnungen, Informationen zu Geschäftspartnern und Kunden, Patente, Preiskalkulationen oder die finanzielle Situation. Es liegt auf der Hand, dass diese Informationen analog in Aktenordnern oder digitalisiert auf Speichermedien vorliegen können. Sie müssen während ihrer Lagerung, ihrer Verarbeitung und ihrer Übertragung geschützt werden.

Was dies in der analogen Welt bedeutete, ist den meisten Menschen bewusst:

Es gab verschlossene Räume, abschließbare Schränke oder Tresore, gegebenenfalls einen Wachschutz und beim Versand sensibler Unterlagen wurde auf einen professionellen Kurierdienst und nicht auf den nächstbesten Briefkasten zurückgegriffen.

Spürbar diffuser ist es, wenn es um digitale Informationen geht. Dabei sollten sich Firmeninhaber und Führungskräfte folgende Fragen stellen:

• Wo lagern die sensiblen digitalen Daten? Sind diese vor unbefugtem Zugriff geschützt und vor diesem Hintergrund bestenfalls verschlüsselt? Diesbezüglich ist zu unterscheiden, ob die Informationen auf eigenen Servern (Hardware) oder bei einem Cloud-Anbieter gespeichert sind.
• Wie verhält es sich mit den Übergangspunkten in das Internet und auf ihrer Reise durch die virtuelle Welt? Sind die Daten auf ihrem Weg zum Adressaten vor fremden Blicken sicher?
• Wie ist es um die Informationssicherheit bei den firmeneigenen mobilen Komponenten bestellt?

Über die analoge und digitale Informationssicherheit hinaus wird häufig eine weitere Komponente zu wenig berücksichtigt: Die Menschen bzw. die Mitarbeiter. Sie haben zahlreiche sensible Informationen in ihren Köpfen, mit denen sie verantwortungsbewusst und vorsichtig umgehen sollten, um ihrem Arbeitgeber nicht zu schaden. Hier sind nicht nur vertragliche Vereinbarungen zwischen beiden Parteien, sondern auch regelmäßige, die Informationssicherheit betreffende, Sensibilisierungsmaßnahmen für das Personal höchst empfehlenswert.

Noch immer verwirrt?

Falls Ihnen, der Unterschied zwischen IT-Sicherheit und Informationssicherheit nach wie vor nicht „glasklar“ ist, stellen Sie sich bitte die beiden nachfolgenden Szenarien vor:

Sie führen ein Unternehmen, das bei der IT-Sicherheit nicht auf dem neuesten Stand war, und von einem massiven Cyberangriff betroffen ist. Ein oder mehrere Angreifer, die möglicherweise kriminelle Absichten wie Erpressungsversuche verfolgen, sind in Ihr IT-System eingedrungen. Dabei erhielten sie Zugriff auf hoch sensible Daten, deren Verlust gravierende wirtschaftliche Konsequenzen für die Firma darstellen kann. Das Glück ist auf Ihrer Seite, wenn Sie vor dem Angriff in Sachen Informationssicherheit sehr gut aufgestellt waren. Denn dann dürften die entwendeten Daten verschlüsselt gewesen und im Idealfall für die Angreifer wertlos sein.

Beim zweiten Szenario hat einer Ihrer Mitarbeiter, der sich auf einer Dienstreise befand, während einer Rast auf einer Autobahntankstelle sein Firmenlaptop im Firmenwagen gelassen. Dort wurde es gestohlen. IT-Sicherheit bedeutet in diesem Fall, dass der Zugriff auf das Laptop – beispielsweise durch ein Passwort – verhindert wird. Damit sind aber noch nicht die sensiblen Daten, die womöglich auf der Festplatte des Laptops gespeichert sind, geschützt. Sie und auch ihr Mitarbeiter dürften dem Diebstahl folglich deutlich gelassener begegnen können, falls die Firmendaten ebenfalls geschützt bzw. verschlüsselt (Informationssicherheit) sind und damit durch Unbefugte nicht eingesehen werden könnnen.

Zusammengefasst lässt sich festhalten: IT-Sicherheit dient dem Schutz der verschiedenen IT-Wege (Hardware, Software, Internet), über die unbefugte Interne und Externe an Ihre sensiblen Daten herankommen könnten. Die Informationssicherheit dient dem Schutz der sensiblen Daten an sich durch wirkungsvolle organisatorische und technische Maßnahmen.

Fazit

Heutzutage ist es unerlässlich, dass sich sogar jeder Kleinunternehmer (und größere Firmen ohnehin), der geschäftlich das Internet nutzt, mit den Themenbereichen IT-Sicherheit und Informationssicherheit vertraut macht.

Dies gilt selbstverständlich für informationssensible Berufe wie Ärzte, Rechtsanwälte und Steuerberater, aber tatsächlich auch für Architekten, Handwerker (denken Sie an Dokumente zum Einbau von Einbruchssicherung und Alarmanlagen), Garten- und Landschaftsbauunternehmen, Pflegedienste, Versandhändler und viele andere Berufsgruppen mehr

Sollten Sie sich in Bezug auf den Stand Ihrer IT-Sicherheit und Informationssicherheit unsicher sein und weitere Fragen haben, stehen wir Ihnen mit Rat und Tat zur Verfügung. Zögern Sie bitte nicht, mit uns Verbindung aufzunehmen.

Wenn Sie Fragen zur Infomationssicherheit in Ihrer Organisation haben, dann sprechen Sie uns bitte an und nutzen dazu unser Kontaktformular: