Als Informationssicherheit bezeichnet man Eigenschaften von informationsverarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen.

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

In der Praxis orientiert sich die Informationssicherheit im Rahmen des Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe.

Informationen(oder Daten) sind schützenswerte Güter. Der Zugriff auf diese sollte beschränkt und kontrolliert sein. Nur autorisierte Benutzer oder Programme dürfen auf die Information zugreifen. Schutzziele werden zum Erreichen bzw. Einhalten der Informationssicherheit und damit zum Schutz der Daten vor beabsichtigten Angriffen von Systemen definiert:

Allgemeine Schutzziele

Vertraulichkeit:

Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten, wie auch während der Datenübertragung.

Integrität:

Daten dürfen nicht unbemerkt verändert werden. Alle Änderungen müssen nachvollziehbar sein.

Verfügbarkeit:

Verhinderung von Systemausfällen; der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.

Weitere Schutzziele der Informationssicherheit

• Authentizität bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts.
• Verbindlichkeit/Nichtabstreitbarkeit: Sie erfordert, dass kein Abstreiten durchgeführter Handlungen möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Erreichbar ist sie beispielsweise durch elektronische Signaturen.
• Zurechenbarkeit: Eine eindeutige Zuordnung von durchgeführten Handlungen zu einem Kommunikationspartner.
• in bestimmtem Kontext (zum Beispiel im Internet) auch Anonymität

Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen. Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar. Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht.

Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. Jede mögliche Bedrohung ist ein Risiko für das Unternehmen. Unternehmungen versuchen durch die Verwendung eines Risikomanagements die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.

Nach einer Risikoanalyse und Bewertung der unternehmensspezifischen Systeme, können entsprechende Schutzziele definiert werden. Anschließend folgt die Auswahl von Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens. Dieser Vorgang zählt zu den Tätigkeiten des Sicherheitsmanagements. Eine genormte Vorgehensweise wird durch das Verwenden von Standards ermöglicht.

Im Rahmen des Sicherheitsmanagements findet die Auswahl und Umsetzung entsprechender Sicherheitsstandards statt. Mit Hilfe des ISO/IEC 27001- oder des IT-Grundschutz-Standards wird mit anerkannten Regeln versucht, die Komplexität der Systeme für den Bereich des IT-Sicherheitsmanagements zu reduzieren und ein geeignetes Maß an Informationssicherheit zu finden.

Wir von BeeCompliant helfen Ihnen Ihre Informationssicherheit entsprechend Ihrem Unternehmen angemessen umzusetzen. Dieses kann z.B. ein ISO 27001 konformes ISMS (Informations Sicherheits Management System) sein. Dieses macht besonderen Sinn, wenn Sie mittelfristig eine entsprechende Zertifizierung nach ISO 27001 anstreben. Je nach Unternehmen kann die Umsetzung angemessener Informationssicherheit jedoch auch einen völlig anderen Umfang haben. Fragen Sie uns gerne unverbindlich an. Wir kommen zu Ihnen, schauen uns gemeinsam den aktuellen Stand an und definieren, was noch zu erledigen ist um Ihren Unternehmensanforderungen gerecht zu werden. Basierend darauf übersenden wir Ihnen dann ein für Sie maßgeschneidertes Angebot.