top of page

Security Pilot Weekend Briefing Nr. 1

Informationssicherheit IT-Sicherheit Cybersicherheit - Wo liegt der Unterschied?


Oft werden die Begriffe Informationssicherheit, IT-Sicherheit und Cybersicherheit synonym benutzt.

Es gibt allerdings bedeutende Unterschiede, auf die ich in diesem Briefing einmal eingehen möchte. Ich definiere für mich den Aufgabenbereich und die möglichen Zuständigkeiten - auch für das zukünftige Verständnis in meinen Briefings.


IT-Sicherheit

IT-Sicherheit bezieht sich auf die lokal verwaltete IT-Infrastruktur, das sogenannte "Firmennetzwerk", welches die Arbeitsplatzcomputer, die lokalen (oder mittlerweile zuhauf auch in der Cloud) gehosteten Server, die lokale Infrastruktur, wie Router, Switche, Firewalls etc. beinhaltet.

Es geht also im Wesentlichen darum, die IT-Landschaft, die das Unternehmen benötigt, um überhaupt arbeitsfähig zu sein, entsprechend abzusichern.


IT-Sicherheit fängt bei der sicheren Konfiguration des Endgeräts an, setzt sich in der sicheren Verbindung der Endgeräte fort und adressiert auch den Schutz der Identitäten (Nutzer). Sie ist aus meiner Sicht die Basis für sicheres Arbeiten.


Zuständigkeit:

Für die IT-Sicherheit ist in großen Unternehmen üblicherweise ein IT-Sicherheitsverantwortlicher, ein Head of IT-Security o.ä. zuständig und trägt die Verantwortung für die Umsetzung der IT-Sicherheitsvorgaben. Nicht selten erfolgt die Umsetzung der IT-Sicherheitsvorgaben aber auch in der IT selbst, z.B. durch den Chief Information Officer (CIO) und sein Team.


Cybersicherheit

Cybersicherheit wiederum bezieht sich auf alles, was direkt oder indirekt mit dem Internet verbunden ist. Jetzt kann man natürlich sagen, heutzutage ist so gut wie alles mit dem Internet verbunden, aber ich würde auf den Zweck abstellen.


Ein Webshop beispielsweise muss cybersicher sein, das bedeutet, dass natürlich alle IT-Sicherheits-Maßnahmen auf Betriebssystem- und Applikationsebene umgesetzt sein müssen, aber darüber hinaus auch noch weitere Maßnahmen (Stichwort OWASP), um speziell gegen Angriffe aus dem Web gewappnet zu sein.


Zudem erfordern mit dem Internet verbundene Geräte größtmögliche Aufmerksamkeit, da anders als im Firmennetzwerk, es kein geschlossenes Netz ist, sondern der Zugang aus dem Internet beabsichtigt ist.


Während also die IT-Sicherheit eher intern (häufig als Office-IT bezeichnet) fokussiert ist, bezieht sich Cybersicherheit auf alles, was von extern erreichbar sein soll, sei es für das Geschäft oder die Zusammenarbeit.


Zuständigkeit:

Für die Cybersicherheit ist in großen Unternehmen häufig auch die Abteilung zuständig, welche die Verantwortung für die Umsetzung der IT-Sicherheitsvorgaben hat (siehe IT-Sicherheit).


Informationssicherheit

Informationssicherheit wiederum deckt die Bereiche IT-Sicherheit und Cybersicherheit ab und ergänzt diese um die physische Welt, rückt dafür das Asset "Information" in den Mittelpunkt.


Informationen sind definiert als Daten + Kontext.

Ein Beispiel: CX575CGI ist ein Datum. Es wird zu einer Information, wenn ich hinzufüge, dass es sich um eine Personalausweisnummer (Kontext) handelt.


Informationssicherheit bezieht sich auf alle Informationen eines Unternehmens, egal ob digital oder physisch (zum Beispiel berührbar, wie Papier) sowie die informationsverarbeitenden Systeme und auch alle sonstigen Assets (u.a. Fahrzeuge des Fuhrparks, Türschlüssel, Feuerlöscher etc.) die Informationen beinhalten können oder den Zugang dazu ermöglichen.


Heutzutage erfolgt die Verarbeitung von Informationen meistens digital, aber man darf nicht das gute alte Adressbuch, den Wand- oder Tischkalender oder die Post-Its vergessen, die weiterhin ihre Daseinsberechtigung haben und voller wertvoller Informationen sind.


Die Informationssicherheit hat zum Ziel, alle Informationen adäquat vor unberechtigtem Zugriff zu schützen, daher wird im Rahmen des zwingend erforderlichen Risikomanagements das Risiko für die Informationen und die informationsverarbeitenden Systeme kalkuliert und dann passende Schutzmaßnahmen einzurichten.

Wir unterscheiden zwischen technischen und organisatorischen Maßnahmen. Technische Maßnahmen sind zum Beispiel der Einsatz von Verschlüsselung, organisatorische Maßnahmen zum Beispiel Regelungen für die Meldung von Phishing-Mails.


Während die Informationssicherheit im Allgemeinen eher eine regulierende Aufgabe (Governance-Funktion) einnimmt, d.h. Regelungen schafft, Sicherheitsmaßnahmen definiert und deren Umsetzung prüft (Audit), setzen die zuständige Abteilung für die IT-Sicherheit und Cybersicherheit diese Vorgaben und Sicherheitsmaßnahmen technisch um. Hinzu kommen dann weitere Bereiche, wenn es z.B. um den physischen Schutz des Bürogebäudes geht.


Um adäquaten Schutz zu gewähren, müssen Informationen klassifiziert werden. Klassifizieren bedeutet, dass ich den höchsten Schutzbedarf feststelle und die Informationen dementsprechend kategorisiere, beispielsweise mit "vertraulich" für Bewerbungsunterlagen- oder Finanzdaten.

Technisch kann ich dann entsprechend der Kategorie bestimmte Sicherheitsmaßnahmen integrieren, zum Beispiel automatische Verschlüsselung.


Klassifikation ist aber auch in der physischen Welt wichtig. Denken wir an Papierausdrucke, hier wird selten eine Verantwortung in der IT gesehen, nicht wahr?!

Trotzdem sind hier schützenswerte Informationen vorhanden - man denke nur an eine Personalakte.


Um physischen Schutz zu bieten, haben Gebäude nicht nur abschließbare Türen, es gibt oft auch bestimmte Bereich, die nicht für jeden zugänglich sind, es gibt außen eventuell Schranken und Kameras. All dies ist Teil des Schutzkonzeptes für physische Sicherheit im Rahmen der Informationssicherheit.


Und nicht zu vergessen, es sind natürlich die Menschen die wichtigsten Assets eines Unternehmens und damit auch im Fokus der Informationssicherheit. Dies erfolgt durch Trainingsmaßnahmen, damit sie sich und das Unternehmen schützen können, aber auch z.B. durch VIP-Schutzmaßnahmen. Je relevanter eine Person im Unternehmen ist, desto genauer sollten z.B. die Berechtigungen überwacht werden, damit im Falle des Missbrauchs unterschiedliche Barrieren vor dem Schlimmsten bewahren. Ich kann mich noch an Momente erinnern, als ich unter den Domänenadministratoren auch den großen Chef wiedergefunden habe, weil er angeblich ja verantwortlich sei und daher auch zu allem Zugang haben müsse...ich hoffe nur, das findet man heute nicht mehr, es sei denn die Person ist wirklich vom Fach.


Zuständigkeit:

Für die Informationssicherheit ist in größeren Unternehmen üblicherweise der Informationssicherheitsbeauftragte oder CISO (Chief Information Security Officer) zuständig. Der CISO macht die Vorgaben für die IT-Sicherheit, die Cybersicherheit und die Informationssicherheit insgesamt - und prüft regelmäßig deren Umsetzung.

Aufgrund der Rollentrennung sollte der CISO nicht für die Umsetzung der Vorgaben zuständig sein, da seine Rolle üblicherweise ohne administrative Rechte auf Systemen daherkommen sollte.


Fazit

Die Informationssicherheit fokussiert sich auf den Schutz von Informationen und baut auf den Teilbereichen IT-Sicherheit und Cybersicherheit auf, ergänzt um die physische Welt.

IT- und Cybersicherheit sind der schützende Unterbau in der digitalen Welt.

Es macht beispielsweise keinen Sinn, dem Personal durch die Informationssicherheit Vorgaben zur Passwortlänge (z.B. 12 Zeichen) zu machen, wenn systemseitig alles nach acht Zeichen ignoriert wird.


Aus meiner Sicht kann man es also ungefähr so darstellen:



Die Informationssicherheit ist also ein weitaus größeres Feld als die Teilbereiche IT- und Cybersicherheit, daher ist aus meiner Sicht ein CISO in der IT auch grundsätzlich deplatziert - und gehört aufgrund der Reichweite und Auswirkungen seiner Maßnahmen mit an den Entscheider-Tisch („Stichwort C-Suite“).


Auf dieses Thema gehe ich aber in einem anderen Briefing im Detail ein.


Wie seht Ihr das? Teilt ihr meine Darstellung oder grenzt ihr die Bereiche anders voneinander ab? Interessieren Euch etwas besonders? Teilt es mir in den Kommentaren mit!



Nächste Woche teile ich meine TOP 5 Themen bzw. Maßnahmen zum Schutz von Unternehmen mit Euch, um dann anschließend jeden Bereich für Sich unter die Lupe zu nehmen und praktische Beispiele für die Umsetzung zu geben. Bleibt dran!

10 Ansichten0 Kommentare

Aktuelle Beiträge

Alle ansehen

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page