In den letzten Jahren haben Cyberattacken und Angriffe auf firmeninterne IT-Systeme zugenommen – Eine Kehrseite der Digitalisierung. IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit werden daher immer wichtiger. Als Nicht-Experte verliert man bei den verschiedenen Begrifflichkeiten jedoch schonmal schnell den Überblick, deshalb gibt es hier eine kurze Übersicht über die Bedeutungen und Unterschiede.
IT-Sicherheit, Informationssicherheit, Cyber-Sicherheit – keine Synonyme
Grundsätzlich ist es so, dass die drei genannten Begriffe keine festen, allgemeingültigen Definitionen haben. Ihre Verwendung hängt immer von dem Kontext und dem konkreten Zusammenhang ab, in dem sie gebraucht werden. Viele verwenden sie aber synonym, was den Eindruck erweckt, als handele es sich um ein- und denselben Sachverhalt. Allerdings gibt es einige Aspekte, die IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit voneinander unterscheiden.
Was ist Informationssicherheit?
Der Begriff der Informationssicherheit bezeichnet den Schutz von Informationen in jeglicher Form – ob digital auf einem Datenträger oder analog auf dem Papier, ob mit Personenbezug oder ohne. „Informationen“ werden in diesem Zusammenhang als „interpretierte Daten“ definiert. Damit ist gemeint, dass reine Daten, wie zum Beispiel Ziffern, erst nach ihrer Interpretation zu Informationen, also zum Beispiel Uhrzeiten oder Geburtsdaten werden.
Die Informationssicherheit hat den Schutz dieser Informationen zum Ziel und beruht dabei auf drei Bereichen: Vertraulichkeit, Verfügbarkeit und Integrität. Das bedeutet, dass sensible Daten vor dem unberechtigten Zugriff Dritter geschützt werden, für berechtigte Nutzer aber zu jeder Zeit vollständig und richtig zugänglich sind. Dieser Schutz wird durch organisatorische Maßnahmen und klare Handlungs-Vorgaben im Unternehmen umgesetzt.
Was ist IT-Sicherheit im Unterschied zu Informationssicherheit?
Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit, die sich auf die elektronisch gespeicherten Informationen und IT-Systeme bezieht. Insbesondere die heutzutage vermehrt digital gespeicherten und übertragenen Informationen sind vielen möglichen Bedrohungen ausgesetzt: Vom unberechtigten Zugriff Dritter auf die Daten, über Spionage und Sabotage, bis hin zu Hackerangriffen.
Das Ziel der IT-Sicherheit ist, Unternehmen und Organisationen gegen diese Bedrohungen und die Folgeschäden zu schützen. Auch hierbei greifen die drei Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Die IT-Sicherheit wird ebenfalls durch organisatorische Maßnahmen und entsprechende Vorgaben in Unternehmen umgesetzt und fußt beispielsweise auf Antivirenlösungen, Firewalls und Backups.
Wie fügt sich die Cyber-Sicherheit ein?
Die sogenannte Cyber-Sicherheit bezieht sich prinzipiell auf den gleichen Bereich wie die IT-Sicherheit, wird jedoch auf den gesamten Bereich des Internets und jeglicher Netzwerke ausgeweitet. Da viele Daten und auch Dinge heutzutage über Netzwerke miteinander und mit dem Internet verbunden sind, kann die Sicherheit nicht mehr isoliert betrachtet werden. Das bedeutet, die Cyber-Sicherheit schließt alle auf Netzwerken basierende Kommunikation, Anwendungen, Prozesse und verarbeitete Informationen mit ein – und damit auch Infrastrukturen wie Stromversorgung oder Telekommunikation.
Damit ist Cyber-Sicherheit ein Thema der Gesamtheit, das nicht nur auf die eigene Firma oder Umgebung begrenzt ist. Zahlreiche Bedrohungen und sich ständig weiterentwickelnde Cyberkriminalität in Form von Viren, Würmern, Spyware oder Trojanern erfordern umfassende und immer aktuell gehaltene Schutzmaßnahmen.
Was bedeutet das nun für Unternehmen?
Unternehmen müssen sich gegen die Gefahren und Bedrohungen, die die Digitalisierung mit sich bringt, schützen können. Grundsätzlich liegt dieser Schutz im Verantwortungsbereich des Managements, das die jeweiligen Aufgaben an die zuständigen Abteilungen oder Verantwortlichen delegiert. Dafür ist wichtig, die Aspekte von Informations-, IT- und Cyber-Sicherheit zu kennen, um mögliche Bedrohungen und Aktions-Bereiche einschätzen zu können und wirtschaftliche Schäden präventiv zu verhindern.
In der praktischen Umsetzung gibt es zahlreiche mögliche Maßnahmen, die man ergreifen kann. Sie alle sollten jedoch Teil eines umfassenden Sicherheitskonzeptes sein, das sowohl technische als auch organisatorische Maßnahmen und Handlungs-Richtlinien beinhaltet. Dieses Sicherheits-Konzept braucht eine gewisse Flexibilität, denn digitale Angreifer verbessern laufend ihre Strategien. Die drei Bereiche Informations-, IT- und Cyber-Sicherheit sind somit zentrale Erfolgsfaktoren für Unternehmen. Wer diese Begriffe kennt und ihre Bedeutung einordnen kann, hat bereits den ersten Schritt getan. Wenn aus diesem Verständnis konkrete Handlungen für Unternehmen abgeleitet werden, werden diese für die Herausforderungen der Digitalisierung gewappnet.
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security