Informationssicherheit schaffen

Je mehr informationstechnische Systeme in bislang analog geregelten Alltagsprozessen Einzug halten, desto wichtiger wird Informationssicherheit. Mal ist hier von Datenschutz und Datensicherheit die Rede, mal von IT-Sicherheit, mal von der Abwehr von Cyberbedrohungen wie Viren oder Ransomware. Das Dach für alle diese Themen bildet der Begriff Informationssicherheit – er bezieht sich auf alles und jedes, was Informationen verarbeitet, transportiert oder aufbewahrt: technische und nicht-technische Systeme, etwa das gute alte Notizbuch. Zur Informationssicherheit gehört zudem die Sensibilisierung der Mitarbeiter für informatorische Risiken; es gilt, Mitarbeiter auch gegen gezielte Attacken zu schulen, die sich nicht technischer, sondern sozialer Methoden bedienen, sich dabei zunächst Vertrauen erschleichen, um dann Informationen und schließlich Geld abzugreifen – Social Engineering.

Ziel der Informationssicherheit ist es, Vertraulichkeit, Verfügbarkeit und Integrität, zudem Authentizität, Zurechenbarkeit und Nichtabstreitbarkeit von Informationen herzustellen beziehungsweise zu bewahren, damit Informationsnutzer vor Gefahren, wirtschaftlichen Risiken und Schäden geschützt sind. Definiert ist dies in den Normen der ISO/IEC-Serie 27000. Umsetzen müssen Informationssicherheit im Prinzip alle – von der Privatperson bis hin zur Bundesregierung und selbstverständlich auch Unternehmen.

Gesetzliche Grundlagen

Normen sind das eine, Gesetze das andere: Wo steht überhaupt, welche Pflichten sich mit Informationssicherheit verbinden? Am bekanntesten dürfte derzeit die inzwischen beinahe bis zum Überdruss diskutierte Europäische Datenschutz-Grundverordnung (DSGVO) sein, wie der Umgang mit personenbezogenen Daten auszusehen hat. Sie hat das (teilweise sogar strengere) deutsche Bundesdatenschutzgesetz weitgehend abgelöst. Wer die Pflichten aus dieser Richtlinie verletzt, dem drohen

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.