IT-Sicherheit & Informationssicherheit, Informationssicherheitsbauftragter, IT-Sicherheitsbeauftragt

Informationssicherheit und IT-Sicherheit

IT- und Informationssicherheit

Warum Informationssicherheit und IT-Sicherheit so wichtig sind:

Die Verarbeitung und Auswertung von Daten und Informationen ist durch die fortschreitende Digitalisierung einfach geworden. Denken Sie nur an die vielen „Cookies“, die Ihnen täglich im Internet auf diversen Seiten begegnen und Ihnen zeigen, welche Seiten Sie vor kurzem im Internet aufgerufen haben. Daten lassen sich mit anderen Informationen spielend leicht verknüpfen, um daraus Verhaltensmuster abzuleiten. Dadurch entstehen der „gläserne Mensch“ und die Gefahr des Verlustes der Privatsphäre.

Der rasante Fortschritt im IT-Bereich ermöglicht immer einfachere und schnellere Möglichkeiten von Datenerfassung, wie z.B. durch Internet, Cloud-Lösungen oder elektronische Zahlungsmethoden. Viele Institutionen sind an diesen Daten aus diversen Gründen in höchstem Maße interessiert, ob zu Marktforschungszwecken, Strafverfolgung oder auch zur direkten Schädigung eines Betroffenen. Somit versuchen Dritte oft an diese Daten zu gelangen – auch wenn dies meist illegal ist und strafrechtliche Konsequenzen haben kann. Die Nachverfolgung solcher illegalen Methoden ist oftmals sehr schwierig.

Zunehmende Bedeutung von Informationssicherheit und IT-Sicherheit

Informationssicherheit sowie IT-Sicherheit gewinnen für Unternehmen im Zuge der digitalen Transformation zunehmend an Bedeutung. Daten sind wie kostbare Diamanten, deswegen ist es immens wichtig, diese zu schützen! Ohne ausreichende Vorkehrungen zur Sicherheit drohen Datenverlust, Datendiebstahl oder auch Geschäftsstillstand, beispielsweise durch Hacker-Angriffe. Wirtschaftliche Schäden als auch Imageschäden für das Unternehmen gilt es unbedingt zu verhindern.

Unterschied zwischen Informationssicherheit und IT-Sicherheit:

Während sich die IT-Sicherheit vorwiegend um die IT-Systeme kümmert, ist die Informationssicherheit wesentlich weiter gefasst, da sie auch nicht elektronisch verarbeitete Informationen sicherstellen soll. Da diese Bereiche jedoch stark ineinandergreifen, empfiehlt es sich, beide Bereiche gleichermaßen unter die Lupe zu nehmen und entsprechende Vorkehrungen und Sicherheitskonzepte zu treffen.

Was sind die primären Schutzziele der Informationssicherheit und IT-Sicherheit?

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Authentizität
  • Zurechenbarkeit
  • Verbindlichkeit

Was versteht man unter dem Schutzziel Vertraulichkeit?

Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.

Was versteht man unter dem Schutzziel Integrität?

Integrität bedeutet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Wenn der Begriff Integrität auf „Daten“ angewendet wird, drückt er aus, dass die Daten vollständig und unverändert sind.

Was versteht man unter dem Schutzziel Verfügbarkeit?

Verfügbarkeit bedeutet, dass die Daten einschließlich der benötigten IT-Systeme für jeden Berechtigten jederzeit zugänglich und im jeweils notwendigen Umfang nutzbar (funktionsfähig) sein müssen.

Was versteht man unter dem Schutzziel Authentizität?

Authentizität bedeutet, dass Daten jederzeit ihrem Ursprung zugeordnet werden können. Um dies zu erreichen, müssen entsprechende Maßnahmen in den technischen Systemen getroffen werden.

Was versteht man unter dem Schutzziel Zurechenbarkeit?

Zurechenbarkeit bedeutet, dass Handlungen eindeutig der Person zuzuordnen sind, die sie ausgeführt hat. Entsprechende Maßnahmen sind in technischen Systemen vorzusehen.

Was versteht man unter dem Schutzziel Verbindlichkeit?

Verbindlichkeit bedeutet, die Möglichkeit zu haben, eine IT-Transaktion während und nach der Durchführung zweifelsfrei und gegebenenfalls gerichtsverwertbar den Durchführenden zuordnen zu können. Dies kann durch entsprechende Maßnahmen in den technischen Systemen sichergestellt werden.

Sicherstellung der primären Schutzziele

Die primären Schutzziele der Informationssicherheit: Vertraulichkeit, Verfügbarkeit, Integrität, Authentizität, Zurechenbarkeit und Verbindlichkeit sind im Unternehmen stets sicherzustellen damit der Betriebsablauf nicht gefährdet wird. IT-Sicherheit, Informationssicherheit und Datenschutz sind durch die Digitalisierung 4.0 eng miteinander verknüpft und werden daher vom europäischen Gesetzgeber zunehmend gefordert.

Ein hierfür bestellter „Informationssicherheitsbeauftragter“ deckt Sicherheitslücken auf und unterstützt Sie dabei, Informationssicherheit und ein bestehendes Datenschutzmanagement in Einklang zu bringen. Der Informationssicherheitsbeauftragte kann intern bzw. extern bestellt oder auch nur beratend zum Audit herangezogen werden.

In einigen Branchen, die zu einem Sektor der kritischen Infrastruktur (KRITIS) zählen, ist ein Informationssicherheitsbeauftragter Pflicht und unverzichtbar. Es müssen sogar ggf. entsprechende Nachweise von Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Datenklau, Verschlüsselung und Angriffe auf die IT-Infrastruktur sind weit verbreitet:

Täglich wird auch von Datenmissbrauch, wie z.B. Hackerangriffen, Trojanern, Malware-Attacken, Phishing sowie Datenklau berichtet. Ein erheblicher Imageschaden für jedes betroffene Unternehmen. Auch finanzielle Einbußen sind nicht auszuschließen! Programme schützen hiervor nicht ausreichend. Deshalb ist Informationssicherheit und IT-Sicherheit in Zeiten schnell wachsender Digitalisierung und Vernetzung mittlerweile unverzichtbar und an oberster Stelle anzusiedeln, wie etwa auch die Umsatz– und Kapitalanlagestrategie eines Unternehmens.

Oftmals reichen Firewalls, Virenschutz und Datensicherungen nicht aus, um Ihr Unternehmen vor Angriffen und Ausfällen zu schützen. Für Schadsoftware ist es mittlerweile relativ einfach, in jegliche Systeme einzudringen. Meist sind es sogar die eigenen Mitarbeiter, die unbewusst und unabsichtlich die Kanäle für einen ungeschützten Zugriff schaffen.

Beispiele für mögliche Sicherheitsbedrohungen:

Cyberkriminalität: Phising, Smishing, Vishing und viele andere Variationen 

Phishing gilt als der Klassiker. Mit einer mehr oder weniger täuschend echt gestalteten E-Mail versuchen Betrüger, Sie auf eine Website zu locken, damit Sie dort zum Beispiel sensible Informationen eingeben. Manchmal werden Sie auch aufgefordert, Anhänge (z.B. Rechnungen) zu öffnen. Dies kann problematisch sein, wenn Schadsoftware installiert wird.
Smishing ist eine weitere Form des Phishings, bei der Phishing-SMS oder -Textnachrichten verwendet werden, um Benutzer dazu zu verleiten, auf einen Link zu klicken und Informationen an den Angreifer zu senden oder Malware zu installieren. Am häufigsten werden solche Nachrichten als angebliche Informationen über "Paketzustellungen" deklariert.
Vishing ist die Abkürzung für "Voice Phishing" und bezeichnet Phishing-Anrufe per Telefon. Dabei versuchen Kriminelle ihren Opfern per Telefon sensible Informationen zu entlocken. Gerne geben sich die Anrufer als IT-Support des eigenen Unternehmens (auch mit gefälschter Telefonnummer) oder eines Softwareanbieters (z.B. Microsoft) aus. Manchmal soll der Anruf auch von staatlichen Stellen oder Ermittlungsbehörden wie Europol kommen. Das ist natürlich alles gefälscht.

Trojaner

Ihr Mitarbeiter bekommt eine E-Mail mit einer Bewerbungsanfrage als Word-Datei und öffnet diesen Anhang. Automatisch installiert sich dabei ein "Trojaner", der unbemerkt in Ihrem System wichtige, vertrauenswürdige Daten (Zugangsdaten, Bankdaten, Finanzdaten, Forschungsdaten usw.) ausspäht und nach außen transferiert. Innerhalb kürzester Zeit können diese Informationen an unbefugte Dritte weitergegeben werden, was zu erheblichen finanziellen und reputativen Schäden für Ihr Unternehmen führen kann.

Ransomware

Ransomware-Angriffe sind für Unternehmer eine ernstzunehmende Bedrohung, bei der es um mehr als nur den Verlust von Dateien geht. Hierbei handelt es sich um gezielte Malware-Attacken, die darauf abzielen, wichtige Daten Ihres Unternehmens zu verschlüsseln und Sie somit zur Zahlung eines Lösegelds zu zwingen. Nur durch die Zahlung dieses Lösegelds erhalten Sie einen Entschlüsselungsschlüssel, mit dem Sie wieder Zugriff auf Ihre wertvollen Informationen erlangen können.

Wenn Sie sich als Unternehmer jedoch weigern, das geforderte Lösegeld zu zahlen, kann dies schwerwiegende Folgen haben. In solchen Fällen drohen die kriminellen Akteure damit, Ihre sensiblen Daten im Dark Web zu veröffentlichen oder Ihren dauerhaften Zugriff auf die betroffenen Dateien zu blockieren. Um solchen Angriffen vorzubeugen, sollten Sie als Unternehmer entsprechende Vorsichtsmaßnahmen ergreifen.

Ein nüchternes Beispiel: Stellen Sie sich vor, Ihre Kunden- und Lieferantendatenbank wird verschlüsselt und Ihnen wird die Zahlung eines Lösegelds abverlangt, um wieder Zugang zu diesen essenziellen Informationen zu erhalten. In dieser Situation sind Sie als Unternehmer gefordert, abzuwägen, ob Sie den Forderungen nachgeben oder das Risiko eingehen, wichtige Geschäftsdaten zu verlieren.

USB–Stick

Ein USB–Stick ist eine bequeme und handliche Möglichkeit Daten sicher und schnell umfangreich zu kopieren. Allerdings werden solche Stick´s auch oftmals verloren, liegengelassen oder sogar versehentlich in der Hosentasche vergessen und mit der zu reinigenden Wäsche beim Textilreinigungsunternehmen abgegeben. Automatisch können solche Fälle zudem mit einer Datenschutzverletzung verbunden sein, wenn die darauf befindlichen Daten persönliche Daten beinhalten und dazu noch unverschlüsselt gespeichert wurden.

Notebook, Tablet oder Smartphones

Notebook, Tablets und Smartphones sind handliche und mobile Arbeits– und Speichergeräte für den täglichen Geschäftsgebrauch. Doch was passiert, wenn ein Gerät gestohlen wird oder verloren geht? Wie kann man den Schutz der darauf befindlichen Daten gewähren?

Welche Aufgaben erfüllen wir für Sie?

In Zukunft wird es immens wichtig und unumgänglich sein, alle Bereiche – sowohl rechtliche als auch technische – gleichzeitig abzudecken.

Wir, die Mitarbeiter der Datenschutz Pöllinger GmbH, unterstützen Sie als „externe IT-Sicherheitsbeauftragte und Informationssicherheitsbeauftragte“ dabei, die richtigen Weichen für Ihr Unternehmen zu stellen und Sicherheitslücken zu schließen. Dazu verfügen wir über die nötige Expertise im Datenschutz als Datenschutzbeauftragte sowie in der Informationssicherheit als Informationssicherheitsbeauftrate und zuletzt auch in der IT-Sicherheit als IT-Sicherheitsbeauftragte. Somit können wir Sie in diesen Bereichen umfangreich beraten und die einzelnen Bausteine miteinander verknüpfen. Durch unser zertifiziertes und geprüftes Wissen erledigen wir diese Aufgaben pflichtbewusst. Sicherheitskonzepte, Sicherheitsrichtlinien etc. werden mit unseren IT-Sicherheitsbeauftragten und Informationssicherheitsbeauftragten maßgeschneidert für Ihr Unternehmen erstellt. Wir entwickeln gemeinsam mit der Geschäftsführung eine zielgerichtete Vorgehensweise, die Ihre Unternehmensstrategie entsprechend unterstützt.

Zertifizierung ISO 27001 und TISAX®

Ein wichtiger und weltweit anerkannter Faktor gegenüber Kunden und Partnerfirmen ist, hierfür auch entsprechende Zertifizierungen nachzuweisen.

Wir helfen Ihnen, die entsprechende Zertifizierung nach ISO 27001 und TISAX® – ein Qualitätsmerkmal für die Umsetzung eines Informationssicherheitsmanagementsystems – zu erlangen. Hierzu bedarf es spezieller Maßnahmen, die wir auf Ihre Unternehmung zugeschnitten zur Umsetzung ausarbeiten.

Mit uns als geprüfte externe Informationssicherheitsbeauftragte (ISB), IT-Sicherheitsbeauftragte (ITSB) sowie externe Datenschutzbeauftragte sind Sie somit bestens abgesichert!

Mehr Informationen zum Thema "Informationssicherheitsbeauftragter und IT-Sicherheitsbeauftragter"

Flyer ISO27001 Unterstützung und Beratung Datenschutz Poellinger GmbH

Flyer TISAX® Unterstützung und Beratung Datenschutz Poellinger GmbH

Kostenfreies unverbindliches Erstgespräch oder Angebot anfordern!