DQS im Dialog
DQS Website Abonnieren

IT-Sicherheit vs. Informationssicherheit – Was ist der Unterschied?

Zwei Dinge, die oft miteinander verwechselt werden: die Sicherheit von Informationstechnik (IT) und die Sicherheit von Informationen. In Zeiten der Digitalisierung werden Informationen zwar meist mithilfe der IT verarbeitet, gespeichert oder transportiert – aber oftmals ist Informationssicherheit noch analoger als gedacht! Grundsätzlich sind IT-Sicherheit und Informationssicherheit durchaus eng miteinander verknüpft. Für einen wirksamen Schutz von vertraulichen Informationen sowie der IT bedarf es daher einer systematischen Herangehensweise.
© iStock IT-Sicherheit vs. Informationssicherheit

IT-Sicherheit vs. Informationssicherheit

Informationssicherheit ist mehr als nur IT-Sicherheit. Sie legt den Fokus auf das gesamte Unternehmen. Denn die Sicherheit vertraulicher Informationen zielt eben nicht nur auf Daten, die mit elektronischen Systemen verarbeitet werden. Informationssicherheit umfasst alle zu schützenden Unternehmenswerte, auch auf analogen Datenträgern, wie beispielsweise Papier.

„IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind.“

Schutzziele der Informationssicherheit

Die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – gelten also auch für einen Brief mit wichtigen Vertragsunterlagen, der gänzlich analog, aber dennoch pünktlich, zuverlässig und unversehrt von einem Kurier transportiert bei seinem Empfänger ankommen muss. Und diese Schutzziele gelten gleichermaßen für ein DIN A4-Blatt, das vertrauliche Informationen enthält, aber für jedermann einsehbar auf einem unbeaufsichtigten Schreibtisch liegt oder im Kopierer frei zugänglich auf unbefugten Zugriff wartet.

Somit greift Informationssicherheit weiter als IT-Sicherheit. Die IT-Sicherheit hingegen bezieht sich „nur“ auf den Schutz von Informationen auf IT- Systemen.

IT-Sicherheit laut Definition

Was sagen offizielle Stellen? IT-Sicherheit ist „ein Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind.“ So das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Informationssicherheit = IT-Sicherheit plus X

In der Praxis wird bisweilen ein anderer Ansatz verfolgt, und zwar mit der Faustformel „Informationssicherheit = IT-Sicherheit + Datenschutz“. Diese als Gleichung notierte Aussage ist allerdings recht plakativ. Zwar geht es beim Thema Datenschutz gemäß DSGVO um den Schutz der Privatsphäre, der von Verarbeitern personenbezogener Daten sowohl eine sichere IT als auch z.B. eine sichere Gebäudeumgebung verlangt und damit ein physischer Zugriff auf Kundendatensätze ausgeschlossen ist. Jedoch bleiben dabei wichtige analoge Daten, die keinen personenbezogenen Schutz verlangen, außen vor. Beispielsweise Konstruktionspläne von Unternehmen und vieles mehr.

Der Begriff Informationssicherheit enthält grundlegende Kriterien, die über reine IT-Aspekte hinausgehen, diese aber immer einschließen. So werden vergleichsweise auch einfache technische bzw. organisatorische Maßnahmen im Rahmen der IT-Sicherheit immer vor dem Hintergrund angemessener Informationssicherheit ergriffen. Beispiele dafür können sein:

  • Sicherung der Stromversorgung der Hardware
  • Maßnahmen gegen Überhitzung der Hardware
  • Viren-Scans und sichere Programme
  • Organisation von Ordnerstrukturen
  • Einrichtung und Aktualisierung von Firewalls
  • Schulung von Mitarbeitern etc.

Es liegt auf der Hand, dass Rechner und komplette IT-Systeme für sich selbst genommen nicht geschützt werden müssten. Denn ohne Informationen, die man digital verarbeiten oder transportieren wollte, werden Hard- und Software sinnlos.

IT-Sicherheit per Gesetz

Thema KRITIS: Das IT-Sicherheitsgesetz hat Kritische Infrastrukturen aus verschiedenen Sektoren im Blick, wie z.B. Strom-, Gas, und Wasserversorgung, Transport, Finanzen, Ernährung oder Gesundheit. Hier geht es vor allem um den Schutz der IT-Infrastruktur vor Cyber-Kriminalität, um die Verfügbarkeit und die Sicherheit von IT-Systemen aufrechtzuerhalten. Insbesondere die heute digital gesteuerten fernwirktechnischen Anlagen müssen geschützt werden.

Diese Schutzziele stehen dabei im Vordergrund (Auszug):

  • Betrachten von IT-Sicherheitsrisiken
  • Erstellen von IT-Sicherheitskonzepten
  • Erstellen von Notfallplänen
  • Treffen allgemeiner Sicherheitsvorkehrungen
  • Kontrolle der Internet-Sicherheit
  • Verwendung kryptografischer Methoden etc.

ISO 27001 – Die Norm für Informationssicherheit 

Was sagt ISO 27001? Die weltweit anerkannte Norm für ein Informationssicherheits-Managementsystem (ISMS), mit ihren Derivaten ISO 27019, ISO 27017 und ISO 27701, heißt in der aktuellen deutschen Fassung:

DIN EN ISO/IEC 27001:2017 Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2013 einschließlich Cor 1:2014 und Cor 2:2015)

Der Titel dieser bedeutenden Norm macht deutlich, dass IT-Sicherheit heute eine große Rolle für die Informationssicherheit spielt und künftig weiter an Bedeutung gewinnen wird. Die Anforderungen, die in ISO 27001 gestellt werden, zielen aber nicht unmittelbar nur auf digitale IT-Systeme. Im Gegenteil: In der gesamten DIN ISO/IEC 27001 wird ausnahmslos übergreifend von „Information“ gesprochen. Es wird grundsätzlich nicht unterschieden, auf welche analoge oder digitale Art und Weise diese Informationen verarbeitet werden bzw. zu schützen sind.

Ein erfolgreich umgesetztes ISMS unterstützt eine ganzheitliche Sicherheitsstrategie: Es umfasst sowohl organisatorische Maßnahmen, ein sicherheitsbewusstes Personalmanagement, die Sicherheit eingesetzter IT-Strukturen als auch die Einhaltung von gesetzlichen Anforderungen.

Webinaraufzeichnung

ISO 27001: Informationen ja – aber sicher!

  • Anforderungen von ISO 27001
  • Integration in bestehende Managementsysteme
  • Zu beachtende Regelungen
Jetzt anschauen!

Informationssicherheit oft analoger als gedacht

Wer wollte, könnte die Normanforderungen von ISO 27001 über ein komplett analoges System legen und hätte am Ende ebenso viel erreicht, wie jemand, der die Anforderungen auf ein durch und durch digitales System anwendet. Erst im Anhang A der bekannten ISMS-Norm, der Maßnahmenziele und Maßnahmen für Anwender enthält, tauchen Begriffe wie Telearbeit oder Mobilfunkgeräte auf. Doch auch die Maßnahmen in Anhang A der Norm erinnern daran, dass es in jedem Unternehmen nach wie vor analoge Vorgänge und Situationen gibt, die mit Blick auf Informationssicherheit berücksichtigt werden müssen.

Wer in der Öffentlichkeit, z.B. in der Bahn, via Smartphone lautstark über sensible Themen referiert, nutzt zwar digitale Kommunikationswege, ist aber mit seinem Fehlverhalten in Wahrheit analog unterwegs. Und wer seinen Schreibtisch nicht aufräumt, sollte besser sein Büro abschließen, um die Vertraulichkeit zu wahren. Wenigstens ersteres wird als eine der wirksamsten Einzelmaßnahmen zum sicheren Schutz von Informationen in der Regel noch händisch vollzogen, noch …

IT-Sicherheit vs. Informationssicherheit – Fazit

IT-Sicherheit und Informationssicherheit sind zwei Begriffe, die (noch) nicht austauschbar sind. Vielmehr ist IT-Sicherheit ein Bestandteil von Informationssicherheit, die ihrerseits auch analoge Sachverhalte, Vorgänge und Kommunikation einschließt – was im Übrigen auch heute noch vielfach Alltag ist. Durch die zunehmende Digitalisierung rücken diese Begriffe jedoch immer enger zusammen, sodass der Bedeutungsunterschied auf Sicht wohl marginaler werden wird.

Was Sie von uns erwarten können

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen – für Managementsysteme und Prozesse. Mit unserer Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner rund um Informationssicherheit und Datenschutz.

Sie haben Fragen?

Kontaktieren Sie uns!
Ganz unverbindlich und kostenfrei.

Jetzt Anfrage senden

Wir reden nicht von Fachkompetenz, wir haben sie: Bei all unseren Auditoren können Sie langjährige praktische Berufserfahrung voraussetzen. Gesammelt in Organisationen jeder Größe und jeder Branche. Bei dieser Vielfalt ist garantiert, dass sich der leitende DQS-Auditor in Ihre individuelle Unternehmenssituation und Führungskultur hineindenken wird. Unsere Auditoren kennen Managementsysteme aus eigener Erfahrung, d.h. sie haben selbst ISMS aufgebaut, betreut und weiterentwickelt – und sie kennen die täglichen Herausforderungen aus eigenem Erleben. Wir freuen uns auf das Gespräch mit Ihnen.