IT Sicherheit - ein Teilbereich der Informationssicherheit
Der wissenschaftliche und technische Fortschritt hat die Information zu einem Produkt gemacht, das gekauft, verkauft, ausgetauscht werden kann. Informationen sind eines der wertvollsten und wichtigsten Vermögenswerte eines jeden Unternehmens und müssen angemessen geschützt werden .
Mit der Entwicklung der Technologien und der Digitalisierung der Wirtschaft ist die Gewährleistung der IT-Sicherheit eines der wichtigsten Themen bei der Tätigkeit des Unternehmens.
Die digitale Dominanz hat Firmen gezwungen, sich auf das Internet zu verlassen, unabhängig von deren Größe. Aber Technologie bringt auch Angriffe mit sich, bzw. Cyberangriffe . Hier kommen Cybersicherheit, IT-Sicherheit und Informationssicherheit ins Spiel.
Was ist IT-Sicherheit?
Definition
Unter IT-Sicherheit, die ein Bereich der Informationstechnik (eng. IT security ) ist, versteht man Sicherheitsmaßnahmen zum Schutz von EDV-Geräten (Computer, Smartphones usw.) und Computernetzen (private und öffentliche Netze, einschließlich Internet). Sie umfasst die technischen, rechtlichen und organisatorischen Maßnahmen, die erforderlich sind, um den Zugang zu Daten nur autorisierten Personen zu ermöglichen. Das ist der Zustand des Informationssystems, in dem es am wenigsten anfällig für Schäden von außen ist.
Was ist Informationssicherheit?
Definition
Informationssicherheit (eng. information security ) bezieht sich auf den Schutz von Netzinfrastrukturen und technischen Systemen vor zufälligen oder absichtlichen Eingriffen (intern oder extern). Es kann Informationsdiebstahl und/oder Blockierung von Arbeitsabläufen sein, die den Eigentümern und Nutzern von Informationen schaden.
Moderne Informationssysteme bestehen aus einer Vielzahl von Elementen mit unterschiedlichem Autonomiegrad. Da alle Elemente miteinander verbunden sind und Daten austauschen, kann jedes der Elemente Störungen oder Ausfällen ausgesetzt sein.
Alle Elemente eines modernen Informationssystems lassen sich in 4 Hauptgruppen unterteilen:
-
Hardware - Computer und ihre Komponenten (Prozessoren, Monitore, Terminals, Peripheriegeräte - Laufwerke, Drucker, Steuerungen, Kabel, Kommunikationsleitungen usw.);
-
Software - gekaufte Programme, Quellcode, Objekt, Boot-Module; Betriebssystem- und Systemprogramme (Compiler, Linker usw.), Dienstprogramme, Diagnoseprogramme usw;
-
Daten - Datenspeichersysteme (vorübergehend und dauerhaft), auf magnetischen Datenträgern, gedruckt, in Archiven usw;
-
Personal - Dienstpersonal und Benutzer, die einen erheblichen Einfluss auf die Informationssicherheit haben können.
Ziel der Informationssicherheit
Der Zweck der Informationssicherheit besteht darin, personenbezogener Daten und die unterstützende Infrastruktur vor unbeabsichtigten oder absichtlichen Einwirkungen zu schützen. Informationssicherheit trägt zur Gewährleistung der Geschäftskontinuität bei.
Die Ursachen für unbeabsichtigte Einwirkungen können sein:
-
Notfallsituationen (Stromausfall, Naturkatastrophe);
-
Geräteausfälle und Fehlfunktionen;
-
Softwarefehler;
-
Fehler bei der Arbeit des Personals;
-
externe elektromagnetische Interferenzen in den Verbindungsleitungen.
Gezielte Einwirkungen auf Informationssysteme erfolgen in der Regel zweckbestimmt und können von Mitarbeitern oder Gästen des Unternehmens, von Mitarbeitern des Wettbewerbers oder von beauftragten Spezialisten vorgenommen werden.
Gezielte Einwirkungen können durch unterschiedliche Motivationen und Ziele verursacht werden:
-
Unzufriedenheit eines Unternehmensmitarbeiters mit seinem Arbeitgeber;
-
finanzielle Belohnungen und Vorteile;
-
aus Neugierde und Selbstbestätigung;
-
Erlangung eines Wettbewerbsvorteils;
-
Sachschäden.
Für eine erfolgreiche Implementierung von Informationssicherheitssystemen in einem Unternehmen müssen drei Hauptprinzipien befolgt werden: Vertraulichkeit, Integrität und Verfügbarkeit.
-
Vertraulichkeit
(eng.
confidentiality
) d. h. die Gewährung des Zugangs zu den Ressourcen des beschränkten Zugangs nur bestimmten Benutzern. Es bedeutet auch der komplexe Schutz der vertraulichen Information vor dem Diebstahl, der Veränderung und der Vernichtung;
-
Integrität
(eng.
integrity
) d.h. Schutz vor zufälligen oder absichtlichen Einwirkungen, Übertragungsunterbrechungen, die zu Informationsverlust führen, Schutz vor unbefugter Datenerstellung oder -zerstörung;
- Verfügbarkeit (eng. availability ) d.h. ungehinderter Zugang für alle autorisierten Benutzer zu allen freigegebenen Ressourcen gemäß den gewährten Zugriffsrechten.
Welche Maßnahmen sollte jedes Unternehmen bezüglich der IT security ergreifen?
Es ist notwendig zu verstehen, dass nur der systematische und komplexe Ansatz zum Datenschutz die Informationssicherheit gewährleisten kann. Im Informationssicherheitssystem ist es notwendig, alle tatsächlichen und wahrscheinlichen Bedrohungen und Schwachstellen zu berücksichtigen. Dazu ist die kontinuierliche Kontrolle in Echtzeit notwendig. Die Kontrolle sollte rund um die Uhr erfolgen und den gesamten Lebenszyklus der Informationen abdecken.
Phasen der Schaffung und Bereitstellung eines Informationsschutzsystems
Um geeignete Maßnahmen im Unternehmen einzuführen, sollte man zunächst ein IT Sicherheitskonzept erstellen. Es muss die Vorgehensweise und alle technischen Maßnahmen für die IT Security beschreiben. In der Praxis vollzieht sich der Aufbau eines Informationsschutzsystems in drei Stufen:
-
In der ersten Phase wird ein Grundmodell des Systems entwickelt , das im Unternehmen betrieben werden soll. Man muss alle Arten von Daten analysieren, die im Unternehmen zirkulieren.
-
Die zweite Phase umfasst die Entwicklung eines Schutzsystems . Dies bedeutet, dass alle ausgewählten Methoden, Mittel und Richtungen des Datenschutzes umgesetzt werden müssen. Das System ist in mehreren Schutzrichtungen und auf mehreren Ebenen aufgebaut. Sie interagieren miteinander, um eine zuverlässige Kontrolle der Informationen zu gewährleisten.
-
Die dritte , letzte Phase ist die Unterstützung der Arbeitsfähigkeit des Systems, die regelmäßige Kontrolle und das Risikomanagement. Es ist wichtig, dass das Schutzmodul flexibel ist. Dies ermöglicht dem Sicherheitsadministrator das System schnell zu verbessern, wenn neue potenzielle Risiken entdeckt werden.
Einige operative Maßnahmen und Software um diese Maßnahmen anzuwenden
VPN verwenden
OpenVPN von CyberGhost ist ein vielseitiges Open-Source-VPN-Protokoll.
Unter anderem bietet CyberGhost No-Spy-Server an, die sich bei der Firma vor Ort befinden. Sie sind für die Benutzer gedacht, die äußerst besorgt darüber sind, wer auf die VPN-Server zugreifen könnte.
Zugangskontrolle
LastPass beispielsweise verwendet eine 256-Bit-AES-Verschlüsselung, um den Schutz der Informationen Ihrer Benutzer zu gewährleisten. Das ist ein sicherer Passwortmanager, der alle Ihre Benutzernamen und Passwörter an einem sicheren Ort speichert. Nachdem Sie ein Passwort gespeichert haben, merkt sich LastPass dieses immer für Sie.
Antiviren-Software verwenden
Bitdefender ist bei weitem eines der besten verfügbaren Antivirenprogramme. Es ist einfach, leicht zu bedienen und verfügt über alles, was man braucht, für den Datenschutz und Reinigung Ihres Geräts.
Sensible Daten verschlüsseln
Mit winmagic können Sie Daten in Ihrem gesamten IT-System, von physischen Daten, Dateien und Ordnern bis hin zu virtuellen oder cloud-basierten, integrieren und sichern. Und alles ist von einer einzigen Konsole aus verwaltbar.
Mitarbeiter sensibilisieren
IT-Security-Awareness ist in einem Unternehmen sehr wichtig. Die Schulung ist ein formeller Prozess zur Aufklärung der Mitarbeiter über Computersicherheit. Ein gutes Security-Awareness-Programm sollte die Mitarbeiter über Unternehmensrichtlinien für die Arbeit mit der Informationstechnologie (IT) aufklären.
IT-Sicherheitsgesetz in Deutschland
Das IT-Sicherheitsgesetz ist 2015 in Kraft getreten. Dieses Gesetz soll dafür sorgen, dass Deutschlands IT-Systeme und digitale Infrastruktur zu den sichersten der Welt gehören.