9. Februar 2021

Informationssicherheit, IT-Sicherheit, Cybersecurity

Author Image

Von Joachim Reinke

Februar 9, 2021

Cybersecurity, Datenschutz, DSGVO, Informationssicherheit, IT-Sicherheit
Share 0
Share 0
Post 0

Informationssicherheit, IT-Sicherheit, Cybersecurity und Datenschutz: Was ist der Unterschied?

Diese vier Begriffe werden ständig durcheinandergeworfen. Genau das ist das Problem.

Denn wer in einem Gespräch „Sicherheit“ sagt, meint oft etwas anderes als sein Gegenüber. Mal geht es um Firewalls und Phishing. Mal um Kundendaten. Mal um das gesamte Managementsystem. Und genau daraus entstehen Missverständnisse.

Die kurze Antwort lautet:

  • Informationssicherheit ist der Oberbegriff.
  • IT-Sicherheit ist der technische Teil davon.
  • Cybersecurity ist der Schutz digitaler Systeme vor Cyberbedrohungen und Cybervorfällen.
  • Datenschutz schützt personenbezogene Daten und regelt deutlich mehr als nur deren Sicherheit.

Genau so lässt sich die Praxis sauber sortieren. ISO 27001 stellt bei Informationssicherheit auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ab. NIS-2 beschreibt Cybersecurity als Schutz von Netz- und Informationssystemen, ihrer Nutzer und anderer betroffener Personen vor Cybervorfällen und Bedrohungen. Die EU-Kommission beschreibt Datenschutz über den Schutz personenbezogener Daten und die Grundsätze wie Transparenz, Zweckbindung, Datenminimierung, Integrität und Vertraulichkeit. 

Informationssicherheit ist der Oberbegriff

Informationssicherheit fragt zuerst: Welche Informationen sind für uns wichtig und wie schützen wir sie?

Dabei ist der Speicherort egal. Informationen können digital vorliegen, auf Papier, in Verträgen, in Personalakten, in einem Besprechungsprotokoll oder in Köpfen. Entscheidend ist nicht die Technik, sondern die Information selbst.

Genau deshalb ist Informationssicherheit der breiteste Begriff. ISO 27001 beschreibt ein ISMS als System, das die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch einen Risikomanagementprozess sicherstellt. Der BSI IT-Grundschutz versteht sich ebenfalls ausdrücklich als Fundament für Informationssicherheit.

IT-Sicherheit ist der technische Teil davon

IT-Sicherheit ist enger. Hier geht es um die Sicherheit von Informations- und Kommunikationstechnik, also zum Beispiel um Systeme, Netze, Endgeräte, Server, Anwendungen und elektronische Daten.

Pragmatisch gesagt: Informationssicherheit fragt, welche Informationen geschützt werden müssen. IT-Sicherheit fragt, wie die dafür genutzte Technik abgesichert wird.

Deshalb ist IT-Sicherheit in vielen Unternehmen ein wichtiger Teil der Informationssicherheit, aber eben nicht das Ganze. Das BSI verwendet den Begriff genau in diesem technisch-digitalen Kontext und beschreibt seine Aufgabe als alles rund um die IT-Sicherheit in der Informationsgesellschaft.

Cybersecurity ist digitaler und angriffsbezogener gedacht

Cybersecurity überschneidet sich stark mit IT-Sicherheit, hat aber im Sprachgebrauch meist einen etwas anderen Fokus.

Wenn heute von Cybersecurity gesprochen wird, geht es meistens um Bedrohungen wie:

  • Phishing
  • Ransomware
  • Angriffe auf Netzwerke und Cloud-Dienste
  • kompromittierte Konten
  • Angriffe auf Lieferketten
  • Schwachstellen in vernetzten Systemen

Die EU beschreibt Cybersecurity in NIS2 ausdrücklich als Schutz von Netz- und Informationssystemen, ihrer Nutzer und anderer betroffener Personen vor Cybervorfällen und Bedrohungen. Das ist etwas enger und digitaler gefasst als der klassische Begriff Informationssicherheit.

Datenschutz ist nicht dasselbe wie Informationssicherheit

Datenschutz wird oft mit Informationssicherheit verwechselt. Das ist verständlich, aber es stimmt nicht.

Datenschutz schützt nur personenbezogene Daten. Also Daten, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Die EU-Kommission nennt als Beispiele etwa Namen, Adresse, E-Mail-Adressen, IP-Adressen oder die Nummer des Personalausweises.

Wichtig ist: Datenschutz geht über reine Sicherheit hinaus. Es geht nicht nur darum, Daten vor Verlust oder Missbrauch zu schützen. Es geht auch um Fragen wie:

  • Dürfen wir diese Daten überhaupt verarbeiten?
  • Zu welchem Zweck?
  • Sind es nur die wirklich nötigen Daten?
  • Sind Betroffene informiert?
  • Können Daten berichtigt, gelöscht oder übertragen werden?

Die EU-Kommission nennt dafür zentrale Schutzziele, darunter Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Richtigkeit, Integrität und Vertraulichkeit.

Schon hier wird deutlich: Datenschutz hat eine andere Stoßrichtung: mit den drei Schutzzielen der Informationssicherheit (s.o.) stimmt nur eines überein: die Vertraulichkeit.

So hängen die Begriffe zusammen

Wenn man es sauber sortiert, sieht es so aus:

  • Informationssicherheit ist das große Dach.
  • Darunter liegt ein technischer Teilbereich, den viele als IT-Sicherheit bezeichnen.
  • Cybersecurity liegt sehr nah an IT-Sicherheit, ist aber stärker auf vernetzte digitale Bedrohungen und Cybervorfälle fokussiert.
  • Datenschutz ist ein eigener rechtlicher Bereich, der sich auf personenbezogene Daten konzentriert und sich mit Informationssicherheit überschneidet, aber nicht darin aufgeht.

Ein einfaches Beispiel

Nehmen wir eine Personalakte.

Wenn Sie dafür sorgen, dass nur berechtigte Personen Zugriff haben, die Inhalte richtig bleiben und die Akte bei Bedarf verfügbar ist, sprechen Sie über Informationssicherheit.

Wenn dieselbe Akte in einem HR-System liegt und Sie das System technisch absichern, sprechen Sie zusätzlich über IT-Sicherheit.

Wenn Sie Angriffe auf dieses System, kompromittierte Konten oder Phishing gegen HR-Mitarbeiter abwehren, sind Sie im Bereich Cybersecurity.

Wenn Sie prüfen, ob die Verarbeitung dieser Personaldaten zulässig ist, ob nur nötige Daten erhoben werden und ob Betroffene ihre Rechte wahrnehmen können, sind Sie im Datenschutz.

Warum diese Unterscheidung in Unternehmen wichtig ist

Viele Diskussionen laufen schief, weil dieselben Begriffe unterschiedlich verwendet werden.

Dann redet die IT über Firewalls, die Geschäftsführung über Kundenerwartungen, der Datenschutzbeauftragte über Rechtsgrundlagen und am Ende glauben alle, sie hätten dasselbe Thema besprochen.

Besser ist deshalb, die Begriffe bewusst sauber zu verwenden. Gerade in Richtlinien, Schulungen, Projektaufträgen und Kundengesprächen spart das viel Verwirrung.

Welche Begriffe Sie bei ISO 27001 bevorzugen sollten

Wenn Sie über ein ISMS nach ISO 27001 sprechen, ist Informationssicherheit meist der passendste Leitbegriff.

Denn ISO 27001 ist nicht nur ein Technikstandard. Die Norm betrachtet Informationen selbst und baut darum ein Managementsystem auf. Genau deshalb ist der Begriff breiter und für Managementsysteme sauberer als IT-Sicherheit oder Cybersecurity. ISO beschreibt 27001 ausdrücklich als Standard für Informationssicherheitsmanagementsysteme.

FAQ

Was ist der Unterschied zwischen Informationssicherheit und IT-Sicherheit?

Informationssicherheit schützt Informationen unabhängig vom Medium. IT-Sicherheit schützt die dafür eingesetzte Technik, also Systeme, Netze und elektronische Daten.

Ist Cybersecurity dasselbe wie IT-Sicherheit?

Nicht ganz. Die Begriffe überschneiden sich stark. Cybersecurity wird heute meist stärker für vernetzte digitale Bedrohungen und Cybervorfälle verwendet. NIS2 definiert Cybersecurity über den Schutz von Netz- und Informationssystemen, ihrer Nutzer und anderer Betroffener vor Cybervorfällen und Bedrohungen.

Ist Datenschutz ein Teil der Informationssicherheit?

Teilweise gibt es Überschneidungen, aber Datenschutz ist nicht nur Sicherheit. Datenschutz schützt personenbezogene Daten und regelt zusätzlich Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung und weitere Betroffenenrechte.

Welcher Begriff passt am besten zu ISO 27001?

Für ISO 27001 ist Informationssicherheit der passendste Begriff, weil die Norm auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen abstellt und dafür ein Managementsystem fordert.

Warum werden die Begriffe so oft verwechselt?

Weil sie sich in der Praxis überschneiden. Wer über digitale Daten spricht, berührt oft zugleich Informationssicherheit, IT-Sicherheit, Cybersecurity und Datenschutz - aber eben nicht immer in derselben Bedeutung.

Muss man diese Begriffe im Unternehmen wirklich sauber trennen?

Ja, jedenfalls in wichtigen Gesprächen und Dokumenten. Sonst reden unterschiedliche Rollen oft aneinander vorbei, obwohl alle vermeintlich über „Sicherheit“ sprechen. Das alte einfachISO-Stück zeigt genau diese Begriffsverwirrung bereits als Ausgangsproblem.

Unser Tipp

Informationssicherheit, IT-Sicherheit, Cybersecurity und Datenschutz meinen nicht dasselbe.

  • Informationssicherheit ist der Oberbegriff.
  • IT-Sicherheit ist der technische Teil.
  • Datenschutz schützt personenbezogene Daten und regelt deutlich mehr als nur deren Sicherheit.
  • Cybersecurity fokussiert digitale Bedrohungen und Cybervorfälle.

Wenn man diese Begriffe sauber trennt, werden Gespräche klarer, Dokumente präziser und Projekte deutlich leichter steuerbar.

Wenn Sie Ihr ISMS, Ihre internen Richtlinien oder Ihre Kommunikation zu Informationssicherheit sprachlich sauber aufsetzen wollen, sprechen Sie mit uns. Wir helfen Ihnen dabei, Begriffe, Anforderungen und Praxis sinnvoll zusammenzubringen.

Share 0
Share 0
Post 0
Author Image
Share0

Über den Autor

Joachim Reinke

Joachim Reinke unterstützt seit 2017 Unternehmen beim Aufbau praxistauglicher Managementsysteme für Informationssicherheit und Qualität. In dieser Zeit hat er bereits mehr als 100 Unternehmen begleitet. Er ist zertifizierter Lead Auditor und als Dozent für Informationssicherheit und Qualitätsmanagement bei Zertifizierern und Trainingsanbietern tätig. Kunden schätzen besonders seine klare, praxisnahe und verständliche Vermittlung auch anspruchsvoller Inhalte.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}