IT-Sicherheit oder Informationssicherheit werden als Begriff oft synonym genutzt, gehen in eine vergleichbare Richtung und meinen aber Unterschiedliches. Ein genauerer Blick lohnt jedoch, um die Begrifflichkeiten zu differenzieren.

Informationssicherheit

„Informationssicherheit“ umfasst als Überbegriff den Schutz aller so genannten Informationswerte inklusive analoger Sachverhalte oder Kommunikation. Im Englischen spricht man von „information assets“. Dabei zielt die Sicherheit unternehmensweit auf alle Arten von Informationen ab, neben elektronischen also auch auf analoge Daten.

Die wesentlichen drei Ziele zum Schutz von Informationen sind:

  1. Vertraulichkeit
  2. Integrität
  3. Verfügbarkeit

Sie werden oft auch als die drei Primärschutzziele der Informationssicherheit bezeichnet.

Als Informationswerte (Assets) werden dabei unterschiedlichste schutzbedürftige Informationen bezeichnet – z.B. Kundendaten, Mitarbeiterdaten, Konstruktionspläne. Der Begriff „Asset“ umfasst ebenso diverse Arten von Systemen, auf denen diese Daten verarbeitet werden – z.B. lokale Server, Cloud-Computing-Umgebungen, Stromversorgung von Hardware. Aber auch Laptops oder Tablets zählen als Assets, auf denen schutzbedürftige Informationen gespeichert sind.

ISMS

Als Herzstück eines IT-Sicherheitskonzepts definiert ein so genanntes ISMS (Informationssicherheits-Management-System) Parameter und Methoden, um die Informationssicherheit in der eigenen Organisation und Compliance-Anforderungen sicherzustellen. International gültige Normen wie ISO 27001 (ISMS) definieren ein solches Informationssicherheits-Management-System und enthalten auch einen Anforderungskatalog für Schutzmaßnahmen.

IT-Sicherheit

Im Vergleich definiert man IT-Sicherheit oder IT-Security als einen Teilaspekt der Informationssicherheit und meint gemeinhin den Schutz von IT- bzw. informationstechnischen Systemen vor Bedrohungen und Schäden. Technische wie organisatorische Schutzmaßnahmen sind u.a. der Betrieb von Firewalls und Einbruchserkennungssystemen (Intrusion Detection Systeme), Zugriffskontrollen, Rechtemanagement oder auch der Betrieb von Virenscannern. Auch das regelmäßige Aktualisieren (Patchen) von Servern, die angemessene Segmentierung von Netzwerken oder das gezielte Auswerten von Logs (SIEM – Security Incident & Event Management) gehören hierzu, um nur einige Beispiele zu nennen.

Zusammengefasst

IT-Sicherheit und Informationssicherheit sind ähnliche Begriffe, die jedoch nicht gleichzusetzen sind. Vielmehr ist IT-Sicherheit ein Baustein einer ganzheitlichen Informationssicherheits-Strategie.  Organisationen sollten sich keinesfalls nur auf IT-Sicherheitsmaßnahmen fokussieren, sondern immer auch ganzheitlich den Schutz ihrer Informations-Assets im Blick behalten. Zumal die Themengebiete im Zuge der fortschreitenden Digitalisierung zunehmend enger zusammenrücken werden.

Wenn Sie mehr zum Thema erfahren möchten, helfen wir Ihnen gerne weiter. Unsere Experten um Thomas Neeff stehen Ihnen mit Rat und Tat zur Seite und freuen sich, Ihre Herausforderungen mit Ihnen gemeinsam zu meistern.

Tags

Beitrag teilen

Weitere Artikel

Instant 27001 ist eine Lösung, die beim Aufbau und dem Betrieb eines ISMS nach ISO 27001 enorm viel Zeit und Geld spart. Anwender profitieren nicht nur von der Tatsache, dass Instant 27001 alle notwendigen Bestandteile...
Privilegien-Eskalationen in Anwendungen – oft auch als Rechte-Ausweitung bezeichnet – sind Schwachstellen, die es Angreifern oder auch regulären Nutzern ermöglichen, auf Daten, Informationen oder Systemfunktionen zuzugreifen, für die sie keine Berechtigung haben. Angreifer können sich...
Watchdog by TEN IM ist unsere Managed SIEM (Security Incident & Event Management) Lösung, die die automatisierte Erkennung von Angriffen und Verwundbarkeiten für den Mittelstand zugänglich macht. Wir werden oft gefragt: wie funktioniert das eigentlich?...