IT-Sicherheit: Schutzziele und Begrifflichkeiten — agex IT
Mit zunehmender Digitalisierung und globaler Vernetzung wächst die Bedeutung von IT-Sicherheit – nicht nur in Unternehmen.
Nahezu jede Branche, die meisten Geschäftsmodelle und fast alle von uns sind von der digitalen Transformation abhängig. Algorithmen, Programme und künstliche Intelligenz bestimmen schon heute unseren Arbeitsalltag. Aber auch das Internet der Dinge oder intelligent vernetzte Technologien sind Zeugen der Digitalisierung.
Was können Unternehmen also tun, um Ihre IT ausreichend zu schützen?
Im Beitrag klären wir auf, welche Gefahren bestehen, welche Schutzziele die IT-Sicherheit verfolgt und beleuchten zum besseren Verständnis die Begriffe: Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit.
Die Sicherheitsbedrohungen für die Informationstechnologie sind vielfältig und steigen laut Bundesamt für Sicherheit in der Informationstechnik (BSI) stetig an. Als Bedrohungen werden Umstände oder Ereignisse verstanden, die prinzipiell die Schutzziele der IT-Sicherheit verletzen und zu einem Schaden führen können.
Grundwerte der Informationssicherheit: IT-Schutzziele
Zu den klassischen Schutzzielen gehören Vertraulichkeit (engl.: confidentiality), d.h. Daten dürfen lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden, dies gilt sowohl beim Zugriff auf gespeicherte Daten als auch während der Datenübertragung. Die Integrität (engl.: integrity) besagt, dass Daten nicht unbemerkt verändert werden dürfen. Zudem müssen alle Änderungen nachvollziehbar sein. Und die Verfügbarkeit (engl.: availability), die Systemausfälle verhindern soll. Der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
Weitere Schutzziele können sein: Authentizität (engl.: authenticity), diese bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit eines Objekts. Verbindlichkeit (engl.: non repudiation): Sie erfordert, dass „Kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist. Sie ist unter anderem wichtig beim elektronischen Abschluss von Verträgen. Stichwort: elektronische Signaturen. Zurechenbarkeit (engl.: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden.“
Bezogen auf die DSGVO wäre die Resilienz (engl.: resilience) ein wichtiges Schutzziel, d.h. die Widerstandsfähigkeit/ Belastbarkeit gegenüber Ausspähungen, irrtümlichen oder mutwilligen Störungen oder absichtlichen Schädigungen (Sabotagen).
Das BSI nennt als Beispiele für Bedrohungen höhere Gewalt, menschliche Fehlhandlungen, technisches Versagen oder vorsätzliche Handlungen.
Differenzierung der Sicherheitsbegriffe: Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit
Begriffe wie Datenschutz, Datensicherheit, Informationssicherheit und IT-Sicherheit werden im Rahmen ihrer Verwendung oft unterschiedlich, manchmal falsch verstanden und angewendet. Hierfür ist wichtig, die Begrifflichkeiten in den verschiedenen Kontexten und von unterschiedlichen Verwendern der IT-Sicherheitslandschaft zu betrachten und einzuordnen. Wo also liegen die Unterschiede?
Die nachfolgenden Ausführungen sollen – auch im Hinblick auf die jeweiligen Schutzziele und Bedrohungen – als Orientierung für die Abgrenzung dienen.
agex SECURE: Thema Datenschutz
agex SECURE: Thema Datensicherheit
agex SECURE: Thema Informationssicherheit
agex SECURE: Thema IT-Sicherheit
Bei genauer Betrachtung haben die aufgezeigten Begrifflichkeiten teils unterschiedliche Bedeutungen, können sich aber insbesondere im Hinblick auf gewisse Teilbereiche überschneiden.
Sie suchen Experten, die die Widerstandsfähigkeit und Belastbarkeit Ihrer IT-Systeme erhöhen und Sie bei der Abwehr von Sicherheitsbedrohungen unterstützen?
Die Vorzüge externer Experten liegen dabei klar auf der Hand: Sie bieten einen objektiven Blick auf die IT-Sicherheit von Unternehmen, bündeln bereichsübergreifende Kompetenzen und verursachen nur anlassbezogene Kosten.
Wir vermitteln den passenden Sicherheitsexperten für Ihr Vorhaben und beraten Sie gern!
Sei es ein…
IT-Security Experte (Administrator/Analyst/ Architekt/ Projektmanager)
(externer) Datenschutzbeauftragter
Spezialist für Netzwerktechnik und Datensicherheit
Experte für Informationssicherheit und Notfallplanung
Ihre Anforderung war nicht dabei oder ist in Ihren Augen sehr speziell?
Sprechen Sie uns an! Bislang konnten wir meist eine Lösung anbieten.
Informationssicherheit, Cyber- und ITSicherheit
Die Begriffe Informationssicherheit, Cybersicherheit und IT-Sicherheit werden häufig synonym benutzt oder auch verwechselt. Doch was bedeuten diese Begriffe eigentlich und welche Verwendung ist richtig?
Ein weit verbreiteter Ansatz zur Definition dieser Begriffe ist das aufspalten in Teilmengen.
So ist Cybersicherheit ein Überbegriff. Die Informationssicherheit ist Teil der Cybersicherheit und die IT-Sicherheit wiederum eine Untermenge der Informationssicherheit (vgl. ISO/IEC-27000 Reihe).
Wordcloud with Cyber and Security
IT-Sicherheit
Die IT-Sicherheit beschäftigt sich mit dem Schutz der IT-Infrastruktur von Unternehmen und Organisationen mit dem Ziel, wirtschaftlichen Schaden zu verhindern. Hier finden Werkzeuge wie Antivirenprogramme, Spamfilter und Passwortmanager ihre Anwendung. Auch das Blockieren von USB-Ports gehört zur IT-Sicherheit.
Informationssicherheit
Die Informationssicherheit beinhaltet die IT-Sicherheit, erweitert diesen Begriff jedoch um die Sicherheit von nicht technisch gespeicherten und elektronisch verarbeiteten Daten. Um das Erreichen von Informations- und IT-Sicherheit messbar zu machen, wird mit sogenannten Schutzzielen gearbeitet.
Schutzziele
Allgemeine Schutzziele sind dabei:
Die Vertraulichkeit von Daten, das keine Daten von unberechtigten Personen gelesen oder verändert werden dürfen, beispielsweise durch Richtlinien, Nutzergruppen und der Anwendung des sogenannten Need-to-know-Prinzips.
von Daten, das keine Daten von unberechtigten Personen gelesen oder verändert werden dürfen, beispielsweise durch Richtlinien, Nutzergruppen und der Anwendung des sogenannten Need-to-know-Prinzips. Die Integrität von Daten, das keine Daten unbemerkt verändert werden dürfen und jede Veränderung beispielsweise durch Logs nachvollziehbar belegt werden kann. Auch die Konsistenz von Daten, also der Abhängigkeit der Daten untereinander zählt zum Schutzziel Integrität, wenn er nicht gesondert aufgelistet ist.
von Daten, das keine Daten unbemerkt verändert werden dürfen und jede Veränderung beispielsweise durch Logs nachvollziehbar belegt werden kann. Auch die Konsistenz von Daten, also der Abhängigkeit der Daten untereinander zählt zum Schutzziel Integrität, wenn er nicht gesondert aufgelistet ist. Die Verfügbarkeit von Daten, die in definierten Zeiträumen gewährleistet sein muss. Dieses Schutzziel wird unter anderem durch das Erstellen von regelmäßigen Backups und redundanter Datenhaltung erreicht.
Cybersicherheit
Die Cybersicherheit ist weniger klar definiert, wird aber in der Regel entweder der Informationssicherheit gleichgesetzt oder dieser sogar übergeordnet. Sie beinhaltet dann nicht nur die Sicherheit von Daten und der IT-Infrastruktur eines einzelnen Unternehmens oder Organisation oder, sondern bezeichnet den Sicherheitsbegriff umfassender bis hin zur nationalen oder globalen Sicherheit.
Hättest Du es gewusst?
Wird Cybersicherheit in deiner Firma gesondert betrachtet oder seht ihr die Cybersicherheit in der Informationssicherheit ausreichend definiert?
Wie Entscheider die IT-Sicherheit in Unternehmen bewerten
Die Bedrohungslage ist laut Bundesamt für Sicherheit (BSI) derzeit erhöht. Experten verzeichnen mehr Hackerangriffe. Sie raten Unternehmen, ihre IT-Security-Maßnahmen zu überprüfen und zu verstärken. Die Marktforscher von techconsult haben jetzt über eine Blitzumfrage ermittelt, dass 40,3 Prozent der befragten IT-Entscheider in Deutschland die Fähigkeiten ihres Unternehmens bei der Abwehr von Cyberattacken nur als befriedigend oder schlechter einschätzen. Ein Status-Check, Sofortmaßnahmen und ein darauf aufbauendes Security-Konzept helfen Unternehmen jedoch rasch, ihre IT-Sicherheit entscheidend zu verbessern.
Das BSI meldete Anfang April 2022 eine erhöhte Bedrohungslage für Deutschland und rät Unternehmen nun: „Aktualisieren Sie Ihre Notfallpläne, machen Sie regelmäßig Backups, halten Sie Ihre Systeme aktuell und holen Sie sich da, wo Ressourcen und Kompetenzen fehlen, die entsprechende Unterstützung durch Dienstleister hinzu!“ Das Personal solle für Phishing-Mails, Social Engineering und Fake News sensibilisiert werden, lautet eine weitere Empfehlung.
Welche Gefahren bedrohen die IT-Sicherheit von Unternehmen?
Laut dem Verein „Deutschland sicher im Netz“ (siehe sicher-im-netz.de) verzeichnen Experten wachsende Aktivitäten von Hackergruppen, „die Schadsoftware verbreiten, Distributed-Denial-of-Service-Angriffe durchführen sowie gezielte Störungen verursachen können“.
Allein die Attacken in diesem Frühjahr (siehe zeigen, dass Hacker-Angriffe keine Bagatelle sind. Sie können zu Stillständen und damit verbundenen Einbußen führen: So berichtete beispielsweise der Bayrische Rundfunk (siehe br.de) eine Woche nach dem Ransomware-Angriff vom 5. Mai 2022 auf den Landmaschinenhersteller Fendt und den Mutterkonzern AGCO, dass die Produktion vielerorts noch stehe. Zentrale IT-Systeme seien ausgefallen. Bei Fendt war nach dem Hackerangriff niemand mehr per E-Mail oder Firmentelefon erreichbar. Zur Schadenshöhe konnte das Unternehmen noch keine Angaben machen. Klar ist, dass sie mit jedem Tag Stillstand rasant wächst.
Auch eine britische Handelskette für Schreibwaren hatte im April einen Ransomware-Angriff zu verzeichnen und musste deshalb fünf seiner 526 Ladengeschäfte für mehrere Tage schließen. Außerdem verlängerten sich die Lieferzeiten für Bestellungen auf der E-Commerce-Plattform des Retailers. Das Unternehmen fürchtet jetzt um seinen Ruf als Online-Händler – und investiert in Sicherheitsmaßnahmen und Personalschulungen.
Cyberangriffe können jederzeit jedes Unternehmen treffen. Und wie Sie aus den Beispielen entnehmen können, sind nicht alle ausreichend davor geschützt.
Umfrage: Wie steht es um die IT-Sicherheit in deutschen Unternehmen?
Handlungsbedarf erkennt auch das Marktforschungsunternehmen techconsult: Ende Februar bis Anfang März 2022 wurde im Auftrag von Claranet eine Blitzumfrage zum Thema IT-Security im Unternehmen durchgeführt. Die Befragten waren 201 IT-Entscheider in Deutschland, die für Firmen mit repräsentativer Branchenverteilung ab 50 Beschäftigten arbeiten.
Es zeigte sich, dass 49,3 Prozent von ihnen in den vergangenen Jahren eine oder mehrere Cyberattacken überstanden hatten; 43,8 Prozent waren von der Log4Shell-Sicherheitslücke betroffen. Und 40,3 Prozent der Befragten schätzen die Fähigkeiten ihres Unternehmens bei der Abwehr von Cyberattacken nur als befriedigend oder schlechter ein.
Was sind die größten Herausforderungen der IT-Security-Teams?
Die Frage nach den größten Herausforderungen bei der Gewährleistung der IT-Sicherheit ergab, dass viele IT-Abteilungen stark ausgelastet sind und den hohen Zeitaufwand für IT-Sicherheit dazu zählen (45,8 Prozent der Befragten). Außerdem fehlen den IT-Teams Security-Experten (33,8 Prozent), und die Kosten für IT-Security sind für 32,3 Prozent der Befragten besonders herausfordernd. Hinzu kommt ein mangelndes Sicherheitsbewusstsein in der Belegschaft (22,9 Prozent).
Wie beeinflusst die Unternehmensgröße den IT-Sicherheits-Level?
Bei manchen Antworten lohnt sich der Blick auf die Unternehmensgröße der Befragten: Eine „mangelnde Kenntnis des Angebots an IT-Sicherheitslösungen“ nannten beispielsweise gut 26 Prozent der IT-Entscheider aus dem Mittelstand (50 bis unter 500 Beschäftigte) auf die Frage nach den größten Herausforderungen. Bei größeren Unternehmen waren es nur rund 10,3 Prozent.
Und: Manche Sicherheitsmaßnahmen kommen mit zunehmender Unternehmensgröße verstärkt zum Einsatz, wie die Umfrage zeigt. Mit einem Incident-Response-Plan (IRP) etwa legt ein Security-Team fest, welche Ereignisse bei der Überwachung der IT-Sicherheit welche vordefinierten Reaktionen auslösen sollen und wer dafür jeweils zuständig ist. Einen solchen IRP für IT-Sicherheitsvorfälle nutzen nur 57,1 Prozent der befragten Firmen bis 99 Beschäftigten, aber immerhin 70,3 Prozent der Unternehmen mit 100 bis 499 Beschäftigten und 76,5 Prozent der Unternehmen ab 500 Beschäftigten.
Auch Security-Awareness-Schulungen oder Penetration Tests und Continuous Security Testing setzen Firmen häufiger ein, wenn sie viele Beschäftigte haben: Bei den Schulungen waren es 45,2 Prozent (bei 50 bis 99 Beschäftigen) gegenüber 72,1 Prozent (ab 500 Beschäftigten); bei den Penetration Tests 38,1 gegenüber 60,3 Prozent und bei Continuous Security Testing 35,7 gegenüber 70,6 Prozent.
Welchen Stellenwert hat IT-Sicherheit bei Industrie und Finance?
Neben der Unternehmensgröße spielt die Branche eine entscheidende Rolle für den Security-Level und den Einsatz bestimmter Sicherheitsmaßnahmen. Bei der Umfrage zeigte sich durchgängig, dass Banken und Versicherungen ein überdurchschnittlich hohes Schutzniveau aufweisen. Neue Entwicklungskonzepte nach dem Prinzip „Security by Design“ werden vornehmlich dort (70 Prozent) sowie in Industrieunternehmen (67,2 Prozent) eingesetzt. Das gleiche gilt bei IRPs für IT-Sicherheitsvorfälle: Diese werden von allen befragten Banken und Versicherungen sowie von 70,7 Prozent der Industrieunternehmen genutzt.
Wie setzt der Handel IT-Security-Maßnahmen um?
Im Handel erreichen derzeit nicht alle Unternehmen einen hohen Security-Level, ergab die Blitzumfrage: Die Branche erzielt bei mehreren Sicherheitsmaßnahmen die niedrigsten Werte. So finden nur in der Hälfte der befragten Handelsunternehmen Security-Awareness-Trainings statt – gegenüber 65,2 Prozent im Durchschnitt aller befragten Unternehmen. Und ebenfalls nur die Hälfte der befragten Handelsunternehmen haben einen IRP erstellt oder in Planung. Hier liegt der Durchschnitt für alle befragten Unternehmen bei 69,7 Prozent. Zudem nutzen oder planen im Handel nur 20 Prozent der Unternehmen Penetration Tests gegenüber 52,2 Prozent insgesamt. Das zeigt, dass in dieser Branche die Bedrohungslage teils noch etwas unterschätzt wird. Ein Grund dafür könnte sein, dass hier ein Großteil der Unternehmen über zahlreiche Filialen verfügt, die bislang nur mit elementarem IT-Equipment ausgestattet waren. Mit E-Commerce, Self-Scanning- und Self-Checkout-Systemen steigt der Digitalisierungsgrad und damit das Sicherheitsrisiko.
Welche Sofortmaßnahmen verbessern die IT-Sicherheit in Unternehmen?
Ein IT-Security-Team muss Sicherheitsmaßnahmen nicht nur kontinuierlich an immer neue Angriffsszenarien anpassen, sondern auch an Veränderungen bei Prozessen, Netzwerkkomponenten und Anwendungen im Zuge der fortschreitenden Digitalisierung.
Mit diesen drei Sofortmaßnahmen lässt sich das Sicherheitsniveau Ihres Unternehmens schnell anheben:
Security-Awareness-Schulungen
Penetration Tests
Continuous Security Testing
Zu den grundlegenden Maßnahmen der IT-Security in Unternehmen zählen zunächst regelmäßig stattfindende Security-Awareness-Schulungen für die gesamte Belegschaft. Angreifer gelangen häufig über unvorsichtiges Verhalten des Personals ins Unternehmensnetz.
Mit Penetration Tests kann Ihr IT-Team ermitteln, wie leicht und über welche Wege ein potenzieller Hacker in das Netz gelangen könnte. Mithilfe dieser simulierten Hackerangriffe lassen sich Sicherheitslücken aufdecken.
Noch zuverlässigere Sicherheit als diese Einzeltests bringt Continuous Security Testing. Dieses Verfahren überprüft fortlaufend die IT-Infrastruktur sowie Anwendungen auf Schwachstellen und Sicherheitslücken.
Nur 7 Schritte: Der Status-Check zur IT-Sicherheit in Unternehmen
IT-Sicherheit muss zur Chefsache werden, damit Ihr IT-Team über genügend Ressourcen verfügt, um die genannten Herausforderungen zu meistern. Schließlich geht es dabei um den Ruf Ihres Unternehmens, um die Vermeidung von Umsatzeinbrüchen und um hohe Geldforderungen bei Ransomware-Angriffen.
Ein Unternehmen, das IT-Security strategisch angeht, kann zielgerichtete Maßnahmen auf Grundlage einer Risikoabschätzung ergreifen und so mit überschaubaren Mitteln ein hohes Schutzniveau erreichen.
Die folgende Checkliste enthält die wesentlichen Bausteine einer Cyber-Security-Strategie, mit der Sie Schritt für Schritt eine erfolgreiche Abwehr von Cyberbedrohungen aufbauen können:
Transparenz schaffen
Um Cyberangriffe strategisch abwehren zu können, benötigen Sie zunächst ein tiefgreifendes Verständnis von den IT-Prozessen im eigenen Unternehmen. Im ersten Schritt sollten Sie sich also umfassende Einblicke in alle Prozesse im Unternehmen verschaffen – vom Netzwerk, über die Cloud bis hin zum letzten Endpunkt. Verantwortlichkeiten klären
Im nächsten Schritt legen Sie Verantwortlichkeiten für Prozesse und Bereiche fest. Dabei sind vor allem die IT-Governance und die IT-Steuerung von großer Bedeutung. Schutzmaßnahmen definieren
IT-Security ist eine Kernaufgabe Ihrer IT-Abteilung. Sie umfasst Schutzmaßnahmen in Bereichen wie Access Management, Perimetersicherheit, Endpoint-Sicherheit, Systemhärtung und -wartung sowie Datensicherheit. Bedrohungen sichtbar machen
Um Bedrohungen bekämpfen zu können, müssen Sie diese als solche erkennen. Deshalb ist es ratsam, mit den professionellen Methoden von Hackern zu arbeiten und über Penetration Tests gezielt bestimmte Schwachstellen der IT-Sicherheit aufzudecken. Risiken priorisieren
Im nächsten Schritt bewertet das Security-Team das daraus entstehende Sicherheitsrisiko und kann dann geeignete Maßnahmen dagegen ergreifen. Zudem sollten Sie diese gezielten Tests mit Continuous Security Testing kombinieren. Dabei überprüfen automatische Sicherheits-Checks ständig die IT-Sicherheit Ihres Unternehmens. Belegschaft gezielt schulen
Für die Unternehmenssicherheit ist ein gut ausgeprägtes Sicherheitsbewusstsein der Mitarbeiter von ebenso großer Bedeutung. Das reduziert beispielsweise die Gefahren von Phishing-E-Mails und Social Engineering, sorgt für stärkere Passwörter und macht Mitarbeiter aufmerksamer beim Schutz firmeninterner Informationen. Security Awareness Trainings vereiteln daher viele Angriffe, bevor sie Schaden anrichten. Für den Ernstfall wappnen
Falls Ihr Unternehmen doch angegriffen wurde, sollte Ihr IT-Team schnell und besonnen reagieren, um mögliche Auswirkungen einzudämmen. Zum einen muss es die betroffenen Systeme und Daten wiederherstellen. Zum anderen sollte es den Vorfall intern und extern nach vorab definierten Regeln kommunizieren.
Mit dieser Checkliste können Sie die Voraussetzungen für eine wirkungsvolle Verteidigung gegen Cyberangriffe schaffen. Wie bei allen strategischen Ansätzen ist die Ist-Analyse, also die Transparenz, entscheidend für alle darauf aufsetzenden Prozesse. Hier sollten Sie möglichst sorgfältig vorgehen.
Wie bauen Sie eine IT-Sicherheits-Strategie auf?
Wenn Sie für Ihr Unternehmen eine Security-Strategie entsprechend dieser Checkliste aufbauen möchten, ist es sinnvoll, sich dabei auf Best Practices zu stützen, die sich bereits vielfach in Unternehmen bewährt haben. Wir empfehlen den Cyber Security Framework des US-amerikanischen National Institute of Standards and Technology (NIST).
Ihr IT-Security-Konzept sollte alle Prozesse umfassen, auf Best Practices basieren und speziell auf Ihre Unternehmenssituation zugeschnitten sein.
Wir unterstützen Sie mit Dienstleistungen in den Bereichen Penetration Testing, Continuous Security Testing und Security Awareness Training. Und auch darüber hinaus haben Informationssicherheit und Compliance bei Claranet oberste Priorität - im Daily Managed Services Business genauso wie bei neuen Projekten.