Die Begriffe Informationssicherheit, Cybersicherheit und IT-Sicherheit werden häufig synonym benutzt oder auch verwechselt. Doch was bedeuten diese Begriffe eigentlich und welche Verwendung ist richtig?
Ein weit verbreiteter Ansatz zur Definition dieser Begriffe ist das aufspalten in Teilmengen.
So ist Cybersicherheit ein Überbegriff. Die Informationssicherheit ist Teil der Cybersicherheit und die IT-Sicherheit wiederum eine Untermenge der Informationssicherheit (vgl. ISO/IEC-27000 Reihe).
IT-Sicherheit
Die IT-Sicherheit beschäftigt sich mit dem Schutz der IT-Infrastruktur von Unternehmen und Organisationen mit dem Ziel, wirtschaftlichen Schaden zu verhindern. Hier finden Werkzeuge wie Antivirenprogramme, Spamfilter und Passwortmanager ihre Anwendung. Auch das Blockieren von USB-Ports gehört zur IT-Sicherheit.
Informationssicherheit
Die Informationssicherheit beinhaltet die IT-Sicherheit, erweitert diesen Begriff jedoch um die Sicherheit von nicht technisch gespeicherten und elektronisch verarbeiteten Daten. Um das Erreichen von Informations- und IT-Sicherheit messbar zu machen, wird mit sogenannten Schutzzielen gearbeitet.
Schutzziele
Allgemeine Schutzziele sind dabei:
- Die Vertraulichkeit von Daten, das keine Daten von unberechtigten Personen gelesen oder verändert werden dürfen, beispielsweise durch Richtlinien, Nutzergruppen und der Anwendung des sogenannten Need-to-know-Prinzips.
- Die Integrität von Daten, das keine Daten unbemerkt verändert werden dürfen und jede Veränderung beispielsweise durch Logs nachvollziehbar belegt werden kann. Auch die Konsistenz von Daten, also der Abhängigkeit der Daten untereinander zählt zum Schutzziel Integrität, wenn er nicht gesondert aufgelistet ist.
- Die Verfügbarkeit von Daten, die in definierten Zeiträumen gewährleistet sein muss. Dieses Schutzziel wird unter anderem durch das Erstellen von regelmäßigen Backups und redundanter Datenhaltung erreicht.
Cybersicherheit
Die Cybersicherheit ist weniger klar definiert, wird aber in der Regel entweder der Informationssicherheit gleichgesetzt oder dieser sogar übergeordnet. Sie beinhaltet dann nicht nur die Sicherheit von Daten und der IT-Infrastruktur eines einzelnen Unternehmens oder Organisation oder, sondern bezeichnet den Sicherheitsbegriff umfassender bis hin zur nationalen oder globalen Sicherheit.
Hättest Du es gewusst?
Wird Cybersicherheit in deiner Firma gesondert betrachtet oder seht ihr die Cybersicherheit in der Informationssicherheit ausreichend definiert?