Informationssicherheit – vom Qualitätsmanagement nicht mehr wegzudenken
Heutzutage werden die Themen IT und IT-Sicherheit in Unternehmen zunehmend ernst genommen. Allerdings wird dabei die allgemeine Informationssicherheit, wovon IT nur ein Teil ist, trotzdem noch oft vernachlässigt. Informationssicherheit ist nicht nur der Schutz vor externen Hacker-Angriffen, sondern ist weitaus komplexer und umfasst auch viele interne Themen.
Informationssicherheit – drei-geteilt
Das Thema Informationssicherheit teilt sich in drei Bereiche: Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, bilden elementare Kernpunkte für den Schutz von Informationen ab. Als Informationen sind jegliche Formen von Betriebsgeheimnissen, Kundendaten, personenbezogenen Daten oder andere Daten, die zum Beispiel aus rechtlichen oder vertraglichen Gründen geschützt werden müssen, gemeint.
Doch was bedeutet überhaupt Vertraulichkeit, Integrität und Verfügbarkeit?
- Vertraulichkeit fordert, dass Daten nur befugten Personen zugänglich gemacht werden. Bedroht sind hierbei nicht nur die Daten selbst, sondern auch teils ganze Systeme. Ein Angriff auf die Vertraulichkeit stellt die unbefugte Informationsgewinnung dar, weshalb verschiedenste Sicherheitsmaßnahmen ergriffen werden müssen, um solch einen Zugriff zu verhindern.
- Integrität fordert, dass Daten / Systeme korrekt, unverändert & verlässlich sind. Ein Angriff auf die Integrität wäre beispielsweise die Verfälschung von Daten. Die Integrität ist auch dann geschädigt, wenn Soft- oder Hardware fehlerhaft arbeitet und falsche Ergebnisse liefert.
- Verfügbarkeit fordert, dass Daten & IT-Systeme zur Verfügung stehen und von autorisierten Personen einwandfrei genutzt werden können. Ein Angriff auf die Verfügbarkeit wäre z.B. ein Serverausfall. Dabei spielt es keine Rolle ob dies von einem Hacker veranlasst wurde, oder ein technischer Fehler vorliegt.
Alle genannten Schutzziele dürfen nicht isoliert betrachtet werden, da sie ineinandergreifen und sich gegenseitig bedingen. Dabei sollte jedes Unternehmen selbst die Gewichtung einzelfallabhängig vornehmen. Informationssicherheit kann nur garantiert werden, wenn alle drei Schutzziele erfüllt werden.
ISMS – Managementsystem für Informationssicherheit – brauche ich das?
Natürlich stellt sich ein Unternehmen vor der Einführung eines ISMS die Frage, brauchen wir das wirklich? Reichen unsere bereits getroffenen Vorkehrungen nicht schon aus? Es sollte hierbei nicht der mediale Aufruhr, wenn ein Großkonzern Opfer eines Hackerangriffs wird, der Grund sein, weshalb man sich mit dem Thema befasst. Vielmehr sollte ein Umdenken dahingehend geschehen, dass Informationssicherheit vielmehr als Qualitätsstandard gesehen wird als der bloße Schutz vor Hackern. Es geht nicht nur darum einen Verlust von Daten zu verhindern, sondern auch darum Kunden ein höchstmögliches Level an Qualität zu bieten.
Fazit
Wie mit allen Neuerungen und Neueinführungen von Systemen ist es immer eine gesamtheitliche Entscheidung von Ihnen als Unternehmen, ob sie den Weg gehen. Allerdings sollten Sie bedenken, dass in der heutigen Zeit Information mit das wertvollste Gut ist und man es somit ausreichend schützen sollte. Die Informationssicherheit ist dafür ein guter erster Schritt.
Bildnachweis: (C) Designed by rawpixel, CC0 v1.0, freepik.com