Was ist Information security?
Information security (deutsch „Informationssicherheit“) beschreibt Aktivitäten zum Schutz der verarbeiteten Informationen. Unternehmen stellen Verfahren und Regeln auf, die die Informationssicherheit definieren, steuern, kontrollieren und verbessern sollen. Damit dient Informationssicherheit dem Schutz vor Gefahren, Minimierung von Risiken und Vermeiden wirtschaftlicher Schäden. Während die Funktionssicherheit sicherstellt, dass ein System wie erwartet funktioniert, bezieht sich die Informationssicherheit auf den Schutz bei der Verarbeitung von Informationen. Information security soll nicht-autorisierte Datenmanipulationen verhindern.
Welche Aspekte gehören zur Information security?
Bei der IT-Sicherheit dreht sich alles um den Schutz von Unternehmen und Organisationen gegen Bedrohungen. Im Unterschied zu IT-Sicherheit dient die Information security zusätzlich zur Sicherheit der IT-Systeme der Sicherheit der gespeicherten Daten und nicht elektronisch verarbeiteter Daten. Ein weiterer Aspekt ist die Computersicherheit, hier geht es um die Sicherheit von Computersystemen vor einem Ausfall, Schutz vor Manipulation und unerlaubtem Zugriff. Der Aspekt der Datensicherheit zielt auf das technische Ziel ab, Daten gegen Verlust, Manipulation und vergleichbare Bedrohungen zu schützen. Für einen effektiven Datenschutz ist eine gute Datensicherheit die Grundvoraussetzung. Auch Datensicherung und Datenschutz sind Aspekte der Information security.
Warum ist Information security wichtig?
Nach dem Motto „Datenschutz ist Personenschutz“ ist die Information security für den Schutz privater und sensibler Daten wichtig und soll Missbrauch verhindern. Hier gilt das Prinzip der informationellen Selbstbestimmung. Der Zugriff auf personenbezogene Daten muss beschränkt und kontrolliert sein. Auf die Informationen dürfen nur befugte Personen zugreifen. Dafür werden im Rahmen der Informationssicherheit allgemeine Schutzziele definiert:
- Vertraulichkeit: Beim Zugriff und der Datenübertragung dürfen nur autorisierte Anwender auf die Daten zugreifen.
- Integrität: Das unbemerktes Verändern von Daten darf nicht möglich sein, durchgeführte Änderungen müssen nachvollziehbar sein.
- Verfügbarkeit: Systemausfälle sind zu verhindern und der Zugriff auf Daten muss gewährleistet sein.
- Authentizität: Die Echtheit von Daten sowie Überprüfbarkeit und Vertrauenswürdigkeit muss gegeben sein.
- Verbindlichkeit: Durchgeführte Aktionen dürfen nicht abstreitbar sein, dafür kommen zum Beispiel elektronische Signaturen beim Abschluss elektronischer Verträge zum Einsatz.
- Zurechenbarkeit: Eine Handlung muss einer Person eindeutig zugeordnet werden können.
Jede Bedrohung durch Angreifer stellt für Unternehmen und Privatpersonen ein Risiko dar. Unternehmen versuchen die Gefahr mithilfe von Risikomanagement möglichst gering zu halten.