Informationssicherheit & Datensicherheit

Datenschutz, Datensicherheit, Informationssicherheit oder IT-Sicherheit: Viele Begriffe, die sich unterscheiden und doch oft falsch verwendet werden. In diesem Artikel klären wir über den Unterschied auf und zeigen klassische Schutzziele und Bedrohungen.

IT Sicherheit

Definition IT-Sicherheit – Was ist IT-Sicherheit?

IT-Sicherheit, Cybersecurity oder IT Security: All diese Begriffe meinen das selbe Thema, es gibt jedoch feine Unterschiede. Als IT-Sicherheit oder IT-Security definiert man gemeinhin den Schutz von IT-Systemen vor Schäden und Bedrohungen. Das erstreckt sich von der einzelnen Datei über Computer, IT-Systeme, Cloud-Dienste bis hin zu ganzen Rechenzentren. Cybersecurity weitet IT-Sicherheit auf den gesamten Cyber-Raum aus. Bei den meisten Systemen die heute mit dem Internet verbunden sind, werden IT-Sicherheit und Cybersicherheit häufig gleichgesetzt. IT-Sicherheit und Cybersecurity umfassen alle technischen und organisatorischen Maßnahmen, um Systeme vor Cyber-Angriffen und anderen Bedrohungen zu schützen. Dazu zählen zum Beispiel Zugriffskontrollen, Kryptographie, Copliance Management, Firewalls, Proxies, Virenscanner, Schwachstellenmanagement und vieles mehr.

Informationssicherheit

Oft werden IT-Sicherheit und Informationssicherheit gleich verwendet, aber IT-Sicherheit ist jedoch nur ein Teilaspekt der Informationssicherheit. Während die IT-Sicherheit sich auf den Schutz von technischen Systemen bezieht, geht es in der Informationssicherheit allgemein um den Schutz von allen Informationen (Daten). Diese können auch in nicht IT-Systemen vorliegen, zum Beispiel auf Papier. Die Schutzziele der Informationssicherheit bestehen darin, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen. Geeignete Maßnahmen finden sich zum Beispiel in den international gültigen ISO/IEC-27000-Normreihen. In Deutschland gilt der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Leitlinie für die Informationssicherheit. In der Schweiz ist es der IKT-Minimalstandard, der sich als Framework für eine effiziente Zusammenarbeit der weltweiten Normane und Richtlinien versteht. Ein wichtiger Baustein ist aber überall die Etablierung eines Informationssicherheits-Management-Systems (ISMS). Wir als Data Pie AG sind sowohl in der Beratung als auch in der Unterstützung tätig um Ihnen bei der Umsetzung einer ISO 27001 etc. zu helfen.

Datensicherheit

Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen. Im Unterschied zum Datenschutz beschränkt sie sich nicht auf personenbezogene Daten, sondern erstreckt sich auf alle Daten (Informationen). Vertraulichkeit bedeutet, dass nur die notwendigen Personen Zugriff auf die Daten haben und der Zugriff Protokolliert wird. Integrität heisst: Die Daten wurden nicht manipuliert oder beschädigt, der Schutz dieser Ziele steht ganz vorne. Die Verfügbarkeit bezieht sich darauf, dass Daten verwendet werden können, wenn man sie benötigt. Um Datensicherheit zu etablieren, sind verschiedene technische und organisatorische Maßnahmen nötig, zum Beispiel Zugriffskontrollen, Verschlüsselung oder redundante Speichersysteme (Backups).

Zudem entstehen je nach Branche gesetzliche Anforderungen um den Schutz der Information bieten zu können. Der IT-Sicherheitsbeauftragter oder der Datenschutzbeauftragter sind bereits heute in vielen Branchen Pflicht.

Datenschutz

Bei dem Datenschutz geht es um den Schutz der Privatsphäre eines jeden Menschen. Datenschutz garantiert jedem Bürger ein Recht auf informationelle Selbstbestimmung und schützt ihn vor missbräuchlicher Verwendung seiner Daten. Für die Verarbeitung personenbezogener Daten gibt es Regeln, die hauptsächlich im BDSG bzw. den Datenschutzgesetzen der Länder niedergelegt sind. Hier wird also danach gefragt, ob personenbezogene Daten überhaupt verarbeitet werden dürfen. Heute benötigen Sie für die Verarbeitung und die Erhebung der Daten eine Zustimmung.

IT Sicherheitsbeauftragter und Datenschutzbeauftragter

Ein IT Sicherheitsbeauftragter ist zuständig für alle Tätigkeiten rund um die Informationssicherheit innerhalb eines Unternehmens oder einer Organisation/Behörde. Die obersten Ziele sind dabei die Vertraulichkeit, Integrität und Verfügbarkeit der Daten(Informationen). Zur Tätigkeit gehören Beratungen, Risikoanalysen, Notfallpläne, BCM/BCP, Security Awarness, Datenschutz und Applikationssicherheit.
In der Praxis arbeitet der IT Sicherheitsbeauftragter eng mit dem Datenschutzbeauftragten zusammen.

Security Awarness

Security Awareness, bzw. das Security Awareness Training umfasst verschiedene Schulungsmassnahmen, um Mitarbeiter eines Unternehmens oder einer Organisation für Themen rund um die IT Sicherheit der Systeme zu sensibilisieren. Ziel ist es, die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit zu minimieren.

Security Awarness

Im Rahmen eines Security Awareness Trainings werden Mitarbeiter zu den verschiedenen Themen rund um die Cybersecurity im Unternehmen geschult. Die Schulungsmassnahmen können verschiedene Formen haben und als Klassenraumschulung oder Online Training durchgeführt werden. Ziel der Security Awareness ist es, die Teilnehmer für die Themen der IT-Sicherheit zu sensibilisieren und ihnen das notwendige Wissen zu vermitteln, mit den verschiedenen Sicherheitsbedrohungen während der täglichen Arbeit umzugehen.

Security Awareness Schulungen unterrichten auch über die spezifischen Unternehmensrichtlinien und -prozesse zur IT-Sicherheit. Die Teilnehmer erhalten Informationen, welche Abläufe einzuhalten oder Personen zu informieren sind, wenn sicherheitsrelevante Ereignisse erkannt werden. Herrscht in Unternehmen eine hohe Fluktuation der Mitarbeiter oder sind viele externe Mitarbeiter beziehungsweise Temporär-Mitarbeiter beschäftigt, sind die Trainings in regelmässigen Abständen durchzuführen. Die Schulungen stärken das Verständnis für die Bedeutung der Sicherheit von Daten und IT-Infrastrukturen. Der Erfolg des Security Awareness Trainings ist überprüfbar, indem beispielsweise die Zahl der sicherheitsrelevanten Zwischenfälle im Unternehmen über einen bestimmten Zeitraum beobachtet wird.
Unser Angebot