Informationssicherheit
Daten und Informationen sind die höchsten Vermögenswerte eines Unternehmens und deren Schutz hat höchste Priorität. 75 % aller Unternehmen in Deutschland sind Opfer von Sabotage, Datendiebstahl oder Spionage mit einem Gesamtschaden von mehr als 100 Milliarden Euro pro Jahr für die deutsche Wirtschaft (Quelle bitkom). Wir unterstützen unsere Kunden bei der Analyse und Beseitigung von Risiken und beraten Sie bei der Umsetzung ganzheitlicher Sicherheitskonzepte.
Was ist Informationssicherheit
Informationssicherheit hat den Schutz aller Daten und Informationen eines Unternehmens zum Ziel. Die Sicherung dieser Vermögenswerte auf allen informationsverarbeitenden und -lagernden technischen und nichttechnischen Systemen wird durch die Umsetzung definierter Maßnahmen erreicht. Neben der Sicherstellung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität stehen vor allem Risikominimierung und Schadensvermeidung im Fokus.
Sie möchten Ihre Informationssicherheit erhöhen?
Sie möchten die Sicherheit Ihrer Daten und Informationen im Unternehmen erhöhen? Wir unterstützen Sie gerne. Zögern Sie nicht, mit uns Kontakt aufzunehmen.
Schutzziele
Vertraulichkeit
- Keine unbefugte Einsichtnahme in Daten
- Kein unbefugtes Erschließen von Daten
- Daten dürfen nur von legitimierten Benutzern eingesehen und administriert werden
- Siehe Artikel 5 Abs. 1 f), 32 Abs. 1 b) DSGVO
Verfügbarkeit
- Ausführung der Prozesse (Funktionen) des Systems zum vorgegebene Zeitpunkt
- Ablauf im vorgegebenen Zeitrahmen
- Verhinderung oder Reduzierung von Systemausfällen unter bestimmten Anforderungen
- Siehe Artikel 5 Abs. 1 e), 32 Abs. 1 b) und c) DSGVO
Integrität
- Keine unbefugte oder unbemerkte Veränderung von Daten
- Keine unbefugte Veränderung von Funktionen des Systems (Systemintegrität)
- Eine unbemerkte Veränderung oder Manipulation von Daten soll verhindert werden.
- Siehe Artikel 5 Abs. 1 d), 32 Abs. 1 b) DSGVO.
Verlässlichkeit
Keine unzulässige Beeinträchtigung von Bestand, Nutzung oder Verfügbarkeit der Systeme, der mit ihnen verarbeiteten Informationen und Daten sowie der Datenverarbeitung selbst (Funktionen und Prozesse)
Beherrschbarkeit
Keine Beeinträchtigung der Rechte oder schutzwürdigen Interessen von Betroffenen durch das Vorhandensein oder die Nutzung von IT-Systemen
Authentizität
Überprüfbarkeit und Echtheit von Daten
Verbindlichkeit
Nachvollziehbarkeit der Zugriffe auf die Daten durch deren Benutzer
Risikoanalyse
Zu Beginn besteht die Notwendigkeit einer formalisierten Risikoanalyse aller technischen und nichttechnischen Systeme, um alle möglichen Schwachstellen festzustellen. Ohne diese konkrete Risikoanalyse lassen sich kaum Verbesserungen erzielen. Es wird angeraten, die Analyse aller Risken im Rahmen des Managementsystems abzubilden und fortlaufend durchzuführen. Werden neue Verfahren ohne Risikoanalyse in Betrieb genommen, so kann die Sicherheit von Daten und Informationen nicht gewährleistet werden.
IT-Grundschutz
Der IT-Grundschutz bietet die Standards des BSI (Bundesamt für Sicherheit in der Informations-technik), um notwendige IT-Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Hier berühren und überschneiden sich IT-Sicherheit und technischer Datenschutz. Ohne eine sichere IT sind auch die elektronisch verarbeiteten personenbezogenen Daten im Unternehmen nicht geschützt. Die Bewertung der Sicherheit von eingesetzten Informationstechnologien – etwa nach Maßgabe der aktuellen BSI-Grundschutzkataloge – ist dabei aber nur ein Aspekt.
Risikobasierter Ansatz
Hauptfokus ist die Ausrichtung der erforderlichen Maßnahmen an der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken. So etwa:
- unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
- unbeabsichtigter/unrechtmäßiger Verlust,
- unbefugte Offenlegung,
- unbefugter Zugang zu personenbezogenen Daten
Maßnahmen
Auf Basis der Analyseergebnisse werden die entsprechenden Maßnahmen nach aktuellem Stand der Technik entwickelt:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall rasch wiederherzustellen.
Datenschutzthemen als organisatorische Maßnahmen
Nicht alles ist dabei im IT-Bereich angesiedelt, auch wenn das gerne so gesehen wird (IT-Sicherheit als zumeist Technische Maßnahmen). Neben Datenschutzmanagement und einem wirksamen Sicherheitskonzept sind aber auch vom Management selbst Datenschutzthemen als organisatorische Maßnahmen umzusetzen – insbesondere Schulungsmaßnahmen der Mitarbeiter, verbindliche Datenschutzregeln von allgemeinen Leitlinien bis hin zu konkreten Dienstanweisungen und Kontrollen der tatsächlichen Umsetzung und Einhaltung.
Neben den Hinweisen und Kontrollfunktionen des Datenschutzbeauftragten ist also auch die organisatorische Umsetzung der Maßnahmen durch das Unternehmen, also den Verantwortlichen, sicherzustellen.
SO/IEC 27001
Die Norm ISO/IEC 27001 spezifiziert alle Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Es wird hierbei auch Unternehmensorganisation berücksichtigt.
Die für Betreiber von kritischer Infrastruktur (KRITIS) und deren Lieferanten geltenden besonderen Anforderungen an die Informationssicherheit sind auch für unsere Kunden vorteilhaft.
Jetzt kostenloses Erstgespräch vereinbaren
Sie haben Interesse an unseren Angeboten im Bereich Datenschutzberatung, Datenschutzmanagement, Informationssicherheit oder der Bestellung als externe Datenschutzbeauftragte?
