IT-Sicherheit oder Informationssicherheit werden als Begriff oft synonym genutzt, gehen in eine vergleichbare Richtung und meinen aber Unterschiedliches. Ein genauerer Blick lohnt jedoch, um die Begrifflichkeiten zu differenzieren.
„Informationssicherheit“ umfasst als Überbegriff den Schutz aller so genannten Informationswerte inklusive analoger Sachverhalte oder Kommunikation. Im Englischen spricht man von „information assets“. Dabei zielt die Sicherheit unternehmensweit auf alle Arten von Informationen ab, neben elektronischen also auch auf analoge Daten.
Die wesentlichen drei Ziele zum Schutz von Informationen sind:
Sie werden oft auch als die drei Primärschutzziele der Informationssicherheit bezeichnet.
Als Informationswerte (Assets) werden dabei unterschiedlichste schutzbedürftige Informationen bezeichnet – z.B. Kundendaten, Mitarbeiterdaten, Konstruktionspläne. Der Begriff „Asset“ umfasst ebenso diverse Arten von Systemen, auf denen diese Daten verarbeitet werden – z.B. lokale Server, Cloud-Computing-Umgebungen, Stromversorgung von Hardware. Aber auch Laptops oder Tablets zählen als Assets, auf denen schutzbedürftige Informationen gespeichert sind.
Als Herzstück eines IT-Sicherheitskonzepts definiert ein so genanntes ISMS (Informationssicherheits-Management-System) Parameter und Methoden, um die Informationssicherheit in der eigenen Organisation und Compliance-Anforderungen sicherzustellen. International gültige Normen wie ISO 27001 (ISMS) definieren ein solches Informationssicherheits-Management-System und enthalten auch einen Anforderungskatalog für Schutzmaßnahmen.
Im Vergleich definiert man IT-Sicherheit oder IT-Security als einen Teilaspekt der Informationssicherheit und meint gemeinhin den Schutz von IT- bzw. informationstechnischen Systemen vor Bedrohungen und Schäden. Technische wie organisatorische Schutzmaßnahmen sind u.a. der Betrieb von Firewalls und Einbruchserkennungssystemen (Intrusion Detection Systeme), Zugriffskontrollen, Rechtemanagement oder auch der Betrieb von Virenscannern. Auch das regelmäßige Aktualisieren (Patchen) von Servern, die angemessene Segmentierung von Netzwerken oder das gezielte Auswerten von Logs (SIEM – Security Incident & Event Management) gehören hierzu, um nur einige Beispiele zu nennen.
IT-Sicherheit und Informationssicherheit sind ähnliche Begriffe, die jedoch nicht gleichzusetzen sind. Vielmehr ist IT-Sicherheit ein Baustein einer ganzheitlichen Informationssicherheits-Strategie. Organisationen sollten sich keinesfalls nur auf IT-Sicherheitsmaßnahmen fokussieren, sondern immer auch ganzheitlich den Schutz ihrer Informations-Assets im Blick behalten. Zumal die Themengebiete im Zuge der fortschreitenden Digitalisierung zunehmend enger zusammenrücken werden.
Wenn Sie mehr zum Thema erfahren möchten, helfen wir Ihnen gerne weiter. Unsere Experten um Thomas Neeff stehen Ihnen mit Rat und Tat zur Seite und freuen sich, Ihre Herausforderungen mit Ihnen gemeinsam zu meistern.