IT Sicherheit in Unternehmen

Die IT Sicherheit gewährleistet in informationsverarbeitenden elektronischen Systemen die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten und Informationsprozesse. Sie dient dem Schutz vor bekannten und bislang unbekannten Gefahren und der Minimierung von Risiken, die beim Datenaustausch immer bestehen. Für die IT Sicherheit existieren verschiedene Standards, international sind diese in der ISO/IEC-Reihe 2700x sowie der ISO/IEC 15408 definiert, in Deutschland existiert die DIN NIA-01-27 für die IT Sicherheit.

IT Sicherheit in UnternehmenZiele der IT Sicherheit

Vorwiegend werden Vorkehrungen gegen Hacker- und Malewareangriffe getroffen, allerdings gehört auch der physische Schutz von Rechnern und Serversystemen vor Beschädigung, auch durch Über- und Unterspannung, zur IT Sicherheit. Die Maßnahmen gegen Angriffe sind allerdings aufwendiger und wesentlich komplexer. Da es komplette Sicherheit nicht geben kann, zielen alle Sicherheitsmaßnahmen auf eine summarische Reduzierung möglicher Schäden beziehungsweise auf Schutzfunktionen, die so hoch sind, dass ihre Überwindung für einen Angreifer in keinem Verhältnis zum Ertrag steht. Es ist theoretisch und praktisch immer möglich, Systeme komplett zu sichern beziehungsweise mit einer statistisch gegen 100 Prozent gehenden Sicherheitsquote, das kann und wird allerdings im Einzelfall hohe Kosten verursachen. Daher enthält IT Sicherheit auch eine wichtige ökonomische Komponente, die durch Organisationen, Verwaltungen und Unternehmen kalkuliert werden muss. Die Sicherheit bezieht sich stets auf bestimmte Szenarien, einen globalen Schutz gibt es im Grunde nicht. Eine einfache Unterscheidung wäre hier zwischen rein elektronischen Angriffen und denjenigen per Phishing zu treffen. Gegen die erste Sorte helfen Firewalls, gegen den Angriff auf die Vertrauensseligkeit von Mitarbeitern nur gründliche Schulungen und firmeninterne Regeln, beispielsweise zum Passwortschutz.

Einzelaspekte der IT Sicherheit

Insgesamt lässt sich die IT Sicherheit in verschiedene Felder unterteilen. Im Einzelnen wären zu nennen:

Datenschutz: Dieser verhindert gemäß gültiger Auffassungen über die informationelle Selbstbestimmung den Missbrauch personenbezogener Daten. In verschiedenen Staaten der Erde existieren zwar teilweise abweichende Normen, deren Harmonisierung beispielsweise im europäischen Recht immer wieder diskutiert wird. Es gibt aber auch anerkannte Grundstandards auf dem Niveau etwa der Menschenrechte, die nur noch von dikatorischen Regimen unterwandert werden. Zu diesen gehören der Schutz der Privat- und Intimsphäre ebenso wie etwa der von Gesundheitsdaten in einem gewissen Umfang.

Datensicherheit: Mit dieser Begrifflichkeit ist – in Abgrenzung zum Datenschutz – der Schutz von Unternehmens- und Organisationsdaten gemeint, also auch rein technischer Daten. Personaldaten sind dabei ebenso enthalten.

Vertraulichkeit: IT Sicherheit muss gewährleisten, dass Daten nur von autorisierten Benutzern eingesehen und modifiziert werden können. Hinsichtlich der Datenübertragung – dem empfindlichsten Punkt bei der IT Sicherheit – werden hier die höchsten Anforderungen gestellt.

Integrität: Die Veränderung von Daten muss kontrolliert und nachvollziehbar erfolgen, in einigen Fällen muss die IT Sicherheit dafür sorgen, dass diese Veränderung nicht möglich ist.

Verfügbarkeit: Systemausfälle mit der Folge von Datenverlust sollen verhindert werden. Auch Back-ups müssen den Zugriff auf Daten innerhalb eines vorgegebenen Zeitrahmens gewährleisten.

Messbare Standards von IT Sicherheit

Wenn die IT Sicherheit gewährleistet ist, sind Daten authentisch, also echt und vertrauenswürdig, zudem einem Kommunikationspartner zurechenbar und verbindlich. Ihre Herkunft und Veränderung kann nicht bestritten werden. Das ist bei elektronischen Signaturen unabdingbar, auf diese Weise werden Steuererklärungen übermittelt, Rechnungen versandt und Verträge abgeschlossen. Auch den Nachweis des Datenversands gewährleistet die IT Sicherheit (Authentizität), ebenso wird der Zugriff von außen administriert. Wenn diese Standards messbar eingehalten werden, die Abweichungen also gegen null gehen, gilt die IT Sicherheit als gewährleistet.

Bild © violetkaipa – Fotolia.com