Die Informationssicherheit (oder „InfoSec“, die Kurzform für „Information Security“) bezieht sich auf den Schutz der wichtigen Informationen eines Unternehmens – d. h. digitale Dateien und Daten, Papierdokumente, physische Medien und sogar die menschliche Sprache – vor unberechtigtem Zugriff, unzulässiger Offenlegung, unbefugter Nutzung oder unerlaubter Änderung. Fachleute aus dem Bereich der Informationssicherheit beschäftigen sich heutzutage vor allem mit der digitalen Informationssicherheit, die auch als Datensicherheit bezeichnet wird und um die es in diesem Artikel gehen soll.
Daten bilden die Grundlage für einen großen Teil der globalen Wirtschaft. Cyberkriminelle haben erkannt, wie wertvoll diese Daten sind, und Cyberangriffe, die darauf abzielen, sensible Informationen zu stehlen (oder, wie im Fall von Ransomware, Daten als „Geiseln“ zu nehmen), treten immer häufiger auf, richten immer mehr Schaden an und werden immer kostspieliger. Laut dem „Bericht über die Kosten einer Datenschutzverletzung 2021“ von IBM haben die durchschnittlichen Gesamtkosten einer Datenschutzverletzung im Zeitraum von 2020 bis 2021 einen neuen Rekordwert von 4,24 Millionen US-Dollar erreicht.
Die Opfer einer Datenschutzverletzung sind dabei in mehrfacher Hinsicht betroffen: Die unerwartete Ausfallzeit führt zu Geschäftseinbußen. Ein Unternehmen verliert zudem oft Kunden und erleidet häufig einen beträchtlichen und manchmal irreparablen Reputationsschaden, wenn sensible Kundendaten offengelegt werden. Gestohlenes geistiges Eigentum kann die Rentabilität eines Unternehmens beeinträchtigen und seinen Wettbewerbsvorteil schwächen.
Opfer von Datenschutzverletzungen müssen möglicherweise auch mit Geldbußen oder gesetzlichen Strafen rechnen. Staatliche Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) und Branchenvorschriften wie der Health Insurance Portability and Accounting Act (HIPAA) verpflichten Unternehmen dazu, die sensiblen Daten ihrer Kunden zu schützen – und bei Nichteinhaltung drohen saftige Geldstrafen. Equifax beispielsweise hat sich infolge seiner Datenpanne im Jahr 2017 bereiterklärt, mindestens 575 Millionen US-Dollar an die Federal Trade Commission (FTC), das Consumer Financial Protection Bureau (CFPB) und alle 50 US-Bundesstaaten zu zahlen. Ein weiteres Beispiel ist British Airways: Die Fluggesellschaft wurde im Oktober 2021 aufgrund von Verstößen gegen die DSGVO im Zusammenhang mit einer Datenpanne im Jahr 2018 zu einer Geldstrafe von 26 Millionen US-Dollar verurteilt.
So ist es kaum überraschend, dass Unternehmen mehr als je zuvor in Technologien und Fachkräfte für Informationssicherheit investieren. Gartner schätzt, dass sich die Ausgaben für Technologien und Services in den Bereichen Informationssicherheit und Risikomanagement im Jahr 2021 auf insgesamt 150,4 Milliarden US-Dollar belaufen werden, was einem Anstieg von 12,4 Prozent gegenüber 2020 entspricht. CISOs (Chief Information Security Officers), welche die Informationssicherheit in Unternehmen verantworten, sind mittlerweile zu einer festen Größe in den Führungsetagen geworden. Und die Nachfrage nach Analysten für Informationssicherheit, die über fortgeschrittene Zertifizierungen für Informationssicherheit verfügen, wie die Zertifizierung „Certified Information Systems Security Professional“ (CISSP) von (ISC)², wird immer größer. Das Bureau of Labor Statistics geht davon aus, dass die Anzahl der Arbeitsplätze für Analysten mit diesen Zertifizierungen bis 2030 um 33 Prozent steigen wird.
Die Praxis der Informationssicherheit basiert auf jahrzehntealten, sich ständig weiterentwickelnden Prinzipien, die Standards für die Sicherheit und die Risikominimierung im Zusammenhang mit Informationssystemen festlegen.
Die 1977 eingeführte CIA-Triade soll Unternehmen bei der Auswahl von Technologien, Richtlinien und Praktiken zum Schutz ihrer Informationssysteme helfen. Diese Informationssysteme sind die Hardware, Software und Menschen, die an der Produktion, Speicherung, Nutzung und dem Austausch von Daten innerhalb der IT-Infrastruktur eines Unternehmens beteiligt sind. Die Triade setzt sich aus den folgenden drei Komponenten zusammen:
Vertraulichkeit: Stellen Sie sicher, dass Dritte nicht auf Daten zugreifen können, für die sie keine Zugriffsberechtigung haben. Die Vertraulichkeit definiert ein zusammenhängendes System, das von privilegierten internen Mitarbeitern, die Zugang zu einem Großteil der Unternehmensdaten haben, bis hin zu externen Mitarbeitern reicht, die nur Informationen einsehen dürfen, die für die Öffentlichkeit bestimmt oder zugänglich sind.
Integrität: Stellen Sie sicher, dass alle in den Datenbanken des Unternehmens enthaltenen Informationen vollständig und korrekt sind und nicht manipuliert wurden. Integrität bezieht sich auf alles, von der Verhinderung der absichtlichen Änderung von Daten durch Angreifer bis hin zur Verhinderung der absichtlichen oder unabsichtlichen Änderung von Daten durch Benutzer, die zwar gute Absichten haben, aber nicht dazu berechtigt sind.
Verfügbarkeit: Stellen Sie sicher, dass Benutzer auf die Informationen zugreifen können, für die sie autorisiert sind, wenn sie sie brauchen. Die Verfügbarkeit schreibt vor, dass Maßnahmen und Richtlinien zur Informationssicherheit niemals den autorisierten Datenzugriff beeinträchtigen dürfen.
Der fortlaufende Prozess zum Erreichen und Aufrechterhalten der Vertraulichkeit, Integrität und Verfügbarkeit von Daten innerhalb eines Informationssystems wird als „Informationssicherung“ bezeichnet.
Fachleute für Informationssicherheit wenden die Prinzipien der Informationssicherheit auf Informationssysteme an, indem sie Programme zur Informationssicherheit erstellen. Dabei handelt es sich um Sammlungen von Informationssicherheitsrichtlinien, Schutzmaßnahmen und Plänen zur Gewährleistung der Informationssicherung.
Der Aufbau eines Programms zur Informationssicherheit beginnt in der Regel mit der Bewertung der Cyberrisiken. Durch die Prüfung sämtlicher Aspekte des Informationssystems eines Unternehmens können sich Fachleute für Informationssicherheit ein genaues Bild von den Risiken machen, denen ihr Unternehmen ausgesetzt ist, und anschließend die geeignetsten Sicherheitsmaßnahmen und -technologien auswählen, um die Risiken zu minimieren. Eine Bewertung des Cyberrisikos umfasst in der Regel die folgenden Punkte:
Identifizierung von Sicherheitslücken. Eine Sicherheitslücke ist eine Schwachstelle in der IT-Infrastruktur, die von Angreifern ausgenutzt werden kann, um unbefugten Zugriff auf Daten zu erhalten. So können Hacker beispielsweise Bugs oder Fehler in Computerprogrammen ausnutzen, um Malware oder bösartigen Code in eine ansonsten legitime App oder einen Service einzuschleusen.
Auch menschliche Benutzer können Schwachstellen in einem Informationssystem darstellen. So können Cyberkriminelle beispielsweise Benutzer durch Social-Engineering-Angriffe wie Phishing dazu bringen, vertrauliche Informationen preiszugeben.
Fachleute für Informationssicherheit führen häufig Penetrationstests durch. Dabei handelt es sich um simulierte Angriffe auf das eigene Informationssystem, um solche Schwachstellen aufzudecken.
Identifizierung von Bedrohungen. Eine Bedrohung ist alles, was die Vertraulichkeit, Integrität oder Verfügbarkeit eines Informationssystems gefährden kann.
Eine Cyberbedrohung ist eine Bedrohung, die eine digitale Schwachstelle ausnutzt. Ein Denial-of-Service-Angriff (DoS) ist beispielsweise solch eine Cyberbedrohung, bei der Cyberkriminelle einen Teil des Informationssystems eines Unternehmens mit Traffic überlasten und dadurch zum Absturz bringen.
Bedrohungen können auch physisch sein. Naturkatastrophen, physische oder bewaffnete Angriffe und sogar systemische Hardwareausfälle sind Bedrohungen für das Informationssystem eines Unternehmens.
IBM Data Security Services unterstützen Unternehmen bei der Datensicherheitsstrategie, der Datenerkennung, der Verhinderung von Datenverlusten, der Verwaltung der Datensicherheit und der Überwachung der Datenbanksicherheit.
IBM Application Security Services verwandeln DevOps in DevSecOps, wobei Schulungen zur Anwendungssicherheit, Services zur Modellierung von Anwendungsbedrohungen und vieles mehr angeboten werden.
Erste Schritte mit den Lösungen für Datensicherheit von IBM