Informationssicherheit, IT-Sicherheit, Cybersecurity, Datenschutz - viele Begriffe geistern in diesem Umfeld durch Veröffentlichungen, Dokumente und Gespräche.
Grund genug, sie einmal durchzugehen.
Informationssicherheit - die Basis
Das Fachwort Informationssicherheit ist die Basis der anderen Begriffe: Unter Informationssicherheit versteht man den Schutz von Informationen in Bezug auf:
- Vertraulichkeit: wichtige Informationen dürfen nicht unabsichtlich den falschen Personen zugänglich sein;
- Integrität (und Authentizität): nur berechtigte Personen können wichtige Informationen ändern - und Informationen sind "echt", d.h. stammen nur von tatsächlich autorisierten Quellen;
- Verfügbarkeit: autorisierte Personen können auch tatsächlich auf Informationen zugreifen, wenn sie diese benötigen.
Hier gelten die folgenden Normen: Die international anerkannte ISO 27001 und (mit Abstrichen und eher nur bei Behörden) der nur in Deutschland bekannte BSI IT-Grundschutz.
Bitte beachten Sie:
Der Begriff "Informationssicherheit" lässt völlig offen, welche Informationen Sie schützen sollten. Wenn Sie sich also um Informationssicherheit kümmern möchten, ist die erste Frage:
Welche Informationen sollen denn überhaupt sicher sein?
Um es ganz deutlich zu sagen: Es geht bei diesem Begriff nicht um Computer, Festplatten oder Firewalls.
Ihre wichtigen Informationen können genau so gut auf DIN-A4-Seiten stehen oder oder auf Mikrofiche, die in Pappkartons liegen.
Daher gilt: Der Begriff "Informationssicherheit" bezieht sich auf jedes Speichermedium - und auf genau diejenigen Informationen, die Ihnen wichtig sind.
IT-Sicherheit
Dieser Begriff lässt sich leicht mit Informationssicherheit verwechseln. Das macht ihn schwierig und schlüpfrig.
IT-Sicherheit ist der Informationssicherheit nachgeordnet. Sie bezieht sich ausschließlich auf Informationen, die in Computern - oder allgemeiner: elektronischen Informationssystemen - gespeichert sind.
Daher gilt: Informationssicherheit kann teilweise durch IT-Sicherheit hergestellt werden - aber nicht vollständig.
Cybersecurity (Cybersicherheit)
Cybersicherheit ist ein recht moderner Begriff, die Politik verwendet ihn gerne. Er ist nicht trennscharf vom Begriff "IT-Sicherheit" und bezieht sich ebenfalls auf den Schutz von Informationen, die elektronisch gespeichert sind.
Allerdings ist er umgangssprachlich konnotiert mit absichtlichen (meist bösartigen) Angriffen unter Nutzung von Netzwerken.
Typische Normen in diesem Bereich sind (wiederum) die ISO 27001, dann die ISO 15408 ("Common Criteria" - für Produkte), aber auch die IEC 62344 (speziell für industrielle Datennetzwerke).
Datenschutz (nach EU-DSGVO)
Beim Datenschutz handelt es sich um eine spezialisierte Art der Informationssicherheit, geregelt über die EU-DSGVO (Datenschutzgrundverordnung). Darüber hinaus in Deutschland noch einmal über das BDSG (neu).
Der europäische Datenschutz beinhaltet die folgenden Punkte:
- Die zu schützenden Informationen sind vorgegeben: es geht nur und ausschließlich um den Schutz personenbezogener Daten.
- Es kommen zu den oben genannten Schutzzielen (Vertraulichkeit, Integrität/Authentizität, Verfügbarkeit) noch einige hinzu:
- Nicht-Verkettbarkeit: es ist nicht so einfach möglich, personenbezogene Daten aus verschiedenen Quellen zu kombinieren, um zu Erkenntnissen über bestimmte Personen zu gelangen (Profiling);
- Zweckbindung/Datenminimierung: es ist sichergestellt, dass Verantwortliche wirklich nur diejeinigen Daten verarbeiten, die notwendig sind;
- Transparenz: es ist ersichtlich, welche Daten gespeichert sind und wofür;
- Korrektheit: Die gespeicherten Daten sind richtig (oder ihre Eigentümer können sie bei Bedarf berichtigen);
- Intervenierbarkeit: Eigentümer können der Speicherung und Verarbeitung ihrer Daten widersprechen (und dies beendet die Verarbeitung/Speicherung dann auch tatsächlich);
- Löschbarkeit: die rechtmäßigen Eigentümer können (unter bestimmten Umständen) verlangen, dass die Verarbeiter ihre Daten unwiderbringlich löschen;
- Übertragbarkeit: Gespeicherte Daten sind "transferierbar".
Unser Tipp
Die Begriffe Informationssicherheit, IT-Sicherheit, Datenschutz und Cybersecurity werden teilweise synonym benutzt. Das schafft Probleme, wenn Sie sich mit anderen Personen unterhalten, die möglicherweise etwas anderes unter den verwendeten Begriffen verstehen.
Wir empfehlen, dass Sie sich im Zweifelsfall
- im Gespräch kurz zu Anfang darauf verständigen, was Sie unter den verwendeten Begriffen verstehen;
- beim Lesen von Fachartikeln sich zu Anfang die Frage stellen, wie der Autor die obigen Begriffe verwendet;
- beim Verfassen von Dokumenten klar machen, wie Sie die Begriffe verwenden.
Informationssicherheit, IT-Sicherheit, Cybersecurity, Datenschutz - viele Begriffe sind da im Raum!
Haben Sie Fragen zum Thema? Dann vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!
Kennen Sie weitere Begriffe in diesem Umfeld, die wir einordnen sollen? Dann kommentieren Sie gerne unter diesem Beitrag.