kontakt

Informationssicherheit

Kurzdefinition

Informationssicherheit bezeichnet den systematischen Schutz von Informationen und informationsverarbeitenden Systemen vor Verlust, Manipulation, unbefugter Offenlegung und Nichtverfügbarkeit. Sie wird ganzheitlich durch ein Informationssicherheits-Managementsystem (ISMS) geplant, umgesetzt, überwacht und fortlaufend verbessert.

Einordnung auf einen Blick

Kategorie Governance / Risiko / Betrieb
Zweck Schutz der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit sowie Aufrechterhaltung eines angemessenen, risikobasierten Sicherheitsniveaus
Typische Artefakte/Nachweise im ISMS Sicherheitsleitlinie, Geltungsbereich, Asset-Register, Schutzbedarfsanalyse, Risikoanalyse & -behandlung, Statement of Applicability (SoA), Richtlinien & Verfahren, Schulungsnachweise, Kennzahlen/Reports, Auditprotokolle, Management-Review
Häufige Stakeholder-Rollen Geschäftsführung/Top-Management, Informationssicherheitsbeauftragte, IT-Leitung, Fachbereichsverantwortliche/Asset Owner, Datenschutz, Compliance/Revision, Notfall- und BCM-Verantwortliche, Einkauf/Lieferantenmanagement
Verwandte Begriffe IT-Sicherheit, Cybersecurity, Datenschutz, Business Continuity, Governance

Detaillierte Erklärung

Informationssicherheit ist mehr als Technikschutz. Sie verbindet organisatorische, technische und personelle Maßnahmen, um Informationswerte (Assets) risikoorientiert zu schützen. Im Zentrum stehen die Schutzziele Vertraulichkeit (nur Berechtigte erhalten Zugriff), Integrität (Unversehrtheit und Korrektheit von Informationen) und Verfügbarkeit (Informationen und Systeme stehen bei Bedarf zur Verfügung). Häufig werden weitere Ziele wie Authentizität und Nachvollziehbarkeit ergänzt.

Ein ISMS schafft den Rahmen, um Informationssicherheit planvoll zu steuern. Es definiert Governance-Strukturen, Verantwortlichkeiten und Regeln, bewertet Risiken systematisch und leitet angemessene Maßnahmen ab. Diese Maßnahmen – in der Norm einmal als „Control“ (engl. Begriff) bezeichnet – umfassen sowohl Richtlinien und Prozesse als auch technische Schutzmechanismen.

In der Praxis ist Informationssicherheit eng mit Unternehmenszielen, Rechtsrahmen und Verträgen verknüpft. Regulatorische Vorgaben, Kundenanforderungen und branchenspezifische Standards fließen in die Risiko- und Maßnahmenplanung ein. Wesentlich ist die dokumentierte Nachvollziehbarkeit: Entscheidungen sollten begründet, implementiert und überwacht werden.

Der PDCA-Zyklus (Plan-Do-Check-Act) prägt die Umsetzung: planen (z. B. Leitlinie, Scope, Risiken), umsetzen (Maßnahmen, Betriebsprozesse), prüfen (Monitoring, Audits, Kennzahlen) und verbessern (Korrekturmaßnahmen, Management-Review). Damit entwickelt sich das Sicherheitsniveau mit der Bedrohungslage, der Technik und den Geschäftsanforderungen kontinuierlich weiter.

Informationssicherheit wirkt nur ganzheitlich. Neben Netz- und Systemschutz zählt das Verhalten von Personen, der sichere Betrieb, die Einbindung von Lieferanten, das Management von Vorfällen und das Notfall- bzw. Kontinuitätsmanagement. Eine reine Tool-Orientierung ohne Governance führt selten zu nachhaltiger Sicherheit.

Relevanz für ISO 27001

ISO 27001 definiert Anforderungen an ein ISMS, in dem Informationssicherheit als Managementaufgabe verankert ist. Die Norm fordert u. a. die Festlegung von Kontext, Geltungsbereich, Rollen, Zielen und Prozessen sowie eine nachvollziehbare Risikoanalyse und -behandlung. Das Statement of Applicability verknüpft Risiken, Anforderungen und ausgewählte Maßnahmen aus Annex A.

Im Betrieb sind Vorgaben zu Richtlinien, Kompetenz und Bewusstsein, Kommunikation, dokumentierter Information, Betriebsprozessen, Überwachung sowie internen Audits und Management-Reviews relevant. Annex A liefert thematische Maßnahmenbereiche, etwa Zugriff, Kryptografie, physische Sicherheit, Lieferanten, Betrieb, Entwicklung, Vorfallmanagement und Aspekte der Kontinuität. Die konkrete Auswahl ist risikobasiert und muss begründet werden.

Die Zertifizierung bestätigt, dass das ISMS normkonform aufgebaut, betrieben und wirksam ist – nicht, dass jedes einzelne System risikofrei wäre. Informationssicherheit bleibt somit ein gesteuerter, fortlaufender Verbesserungsprozess.

Umsetzung in der Praxis

Schritt-für-Schritt

  1. Kontext & Scope klären: Geschäftsprozesse, Standorte, Systeme, Schnittstellen und rechtliche/vertragliche Anforderungen erfassen; Geltungsbereich dokumentieren.
  2. Governance etablieren: Leitlinie, Rollen (z. B. ISB), Verantwortlichkeiten und Entscheidungsgremien festlegen; Ziele und Kennzahlen definieren.
  3. Assets & Schutzbedarf erfassen: Informationswerte identifizieren, Klassifizierung und Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit) bestimmen.
  4. Risikoanalyse durchführen: Bedrohungen/Schwachstellen bewerten, Risiken quantifizieren/qualifizieren und akzeptable Kriterien festlegen.
  5. Risikobehandlung planen: Maßnahmen auswählen, mit Annex-A-Themen abgleichen, SoA erstellen, Umsetzungsplan mit Prioritäten und Ressourcen definieren.
  6. Richtlinien & Verfahren aufbauen: z. B. Zugang, Passwörter, Berechtigungen, Datensicherung, Patch- und Änderungsmanagement, Vorfallmanagement, Lieferanten.
  7. Technische Umsetzung: Härtung, Netzwerksegmente, Protokollierung, EDR/AV, Verschlüsselung, Backup/Restore-Tests, MFA; passende Automatisierung.
  8. Kompetenz & Awareness: Schulungen, Rollentrainings, Phishing-Simulationen; klare Meldewege für Sicherheitsvorfälle.
  9. Überwachen & verbessern: Kennzahlen und KPIs, interne Audits, Vorfalls- und Schwachstellenreports, Management-Review; Korrektur- und Verbesserungsmaßnahmen ableiten.

Mindestumfang (Checkliste)

  • Geltungsbereich, Leitlinie und Rollen dokumentiert
  • Asset-Register mit Schutzbedarfen geführt
  • Etablierte Risikoanalyse und risikobasierte Maßnahmenplanung (SoA)
  • Kernrichtlinien (Zugang, Backup, Patching, Incident, Lieferanten) vorhanden
  • Nachweisbare Awareness-Maßnahmen
  • Monitoring/Kennzahlen und regelmäßige Reports
  • Interne Audits und Management-Reviews geplant und durchgeführt

Beispiel aus der Praxis

Ausgangslage: Ein mittelständischer SaaS-Anbieter mit Rechenzentrumskopplung verarbeitet Kundendaten. Es bestehen Kundenanforderungen an ISO-27001-Zertifizierung, heterogene Berechtigungsprozesse und unklare Backup-Verantwortungen.

Entscheidung/Umsetzung: Einführung eines ISMS. Scope: Produktentwicklung, Cloud-Betrieb, Support. Durchführung einer Schutzbedarfsfeststellung je Kundendatenklasse. Risikoanalyse identifiziert hohe Risiken bei Berechtigungsmanagement und Notfallwiederherstellung. Maßnahmen: rollenbasierte Zugriffsprozesse mit Rezertifizierung, MFA, Härtungsleitlinien, zentrale Protokollierung, Encrypted Backups mit Restore-Tests, Notfallübungen, Lieferantenbewertungen. SoA dokumentiert Auswahl und Begründung.

Dokumentation/Nachweise (im ISMS): Leitlinie, Scope-Dokument, Asset-Register, Risikoberichte, SoA, Richtlinienpaket, Schulungsnachweise, Incident-Protokolle, Restore-Testberichte, KPI-Dashboard, Audit-Berichte, Management-Review.

Typische Audit-Fragen

  • Wie wurde der Scope bestimmt und mit den Geschäftsprozessen abgeglichen?
  • Welche Kriterien und Methoden wurden für die Risikoanalyse gewählt?
  • Wie ist die Auswahl der Maßnahmen im SoA begründet und auf Wirksamkeit geprüft?
  • Wie wird die Wirksamkeit von Awareness und Berechtigungsprozessen gemessen?
  • Welche Evidenzen belegen Backup-Strategie und erfolgreiche Wiederherstellung?

Häufige Fehler & Missverständnisse

  • Nur Technik statt Governance. Problem: fehlende Steuerung und Verantwortlichkeit. Besser: Leitlinie, Rollen, Prozesse und KPIs fest verankern.
  • Einmalige Risikoanalyse. Problem: veraltete Risikobilder. Besser: regelmäßige Reviews, bei Änderungen oder Vorfällen aktualisieren.
  • Überdokumentation ohne Umsetzung. Problem: „Papier-ISMS“. Besser: wenige, klare Vorgaben mit gelebten Verfahren und Messpunkten.
  • Gießkannen-Maßnahmen. Problem: ineffiziente Ressourcenbindung. Besser: risikobasiert priorisieren, SoA begründen, Wirksamkeit messen.
  • Unklare Rollen & Berechtigungen. Problem: Schatten-Zugriffe. Besser: Rollenmodell, Rezertifizierung, Trennung von Aufgaben.
  • Backups ohne Restore-Test. Problem: scheinbare Sicherheit. Besser: regelmäßige Testwiederherstellungen mit Dokumentation.
  • Lieferanten nicht eingebunden. Problem: externe Risiken unkontrolliert. Besser: Vertragsanforderungen, Bewertungen, Monitoring.
  • Keine Lessons Learned nach Vorfällen. Problem: Wiederholungsfehler. Besser: strukturierte Nachbereitung und Korrekturmaßnahmen.

Abgrenzung zu ähnlichen Begriffen

Abgrenzung: Informationssicherheit vs. IT-Sicherheit

Informationssicherheit umfasst alle Informationen, unabhängig vom Träger (digital, Papier, mündlich). IT-Sicherheit fokussiert auf informationstechnische Systeme. In der Praxis ist IT-Sicherheit Teilgebiet der Informationssicherheit.

Abgrenzung: Informationssicherheit vs. Datenschutz

Datenschutz zielt auf den Schutz personenbezogener Daten und die Wahrung von Betroffenenrechten. Informationssicherheit schützt Informationen allgemein. Beide Disziplinen überschneiden sich technisch und organisatorisch; rechtliche Prüfungen sind bei personenbezogenen Daten erforderlich.

Abgrenzung: Informationssicherheit vs. Cybersecurity

Cybersecurity adressiert vor allem Bedrohungen aus vernetzten, digitalen Räumen (z. B. Angriffe über das Internet). Informationssicherheit ist breiter und schließt auch physische, organisatorische und analoge Aspekte ein. Cybersecurity wird im ISMS als thematischer Schwerpunkt integriert.

Abgrenzung: Informationssicherheit vs. Compliance

Compliance stellt die Einhaltung von Gesetzen, Normen und Verträgen sicher. Informationssicherheit ist inhaltliche Disziplin, deren Umsetzung häufig Gegenstand von Compliance-Prüfungen ist. Ein wirksames ISMS unterstützt die Compliance-Ziele, ersetzt die Prüfung jedoch nicht.

FAQ

Was bedeutet Informationssicherheit im ISMS-Kontext?
Informationssicherheit ist das gesteuerte Erreichen und Halten eines angemessenen Schutzniveaus für Informationen. Im ISMS werden Ziele, Risiken, Maßnahmen und Verantwortlichkeiten systematisch geregelt und die Wirksamkeit regelmäßig überprüft.

Wie wird Informationssicherheit nachgewiesen oder dokumentiert?
Nachweise entstehen durch dokumentierte Leitlinien, Prozesse, Risikoanalysen, SoA, Schulungen, Protokolle, Kennzahlen, Audits und Management-Reviews. Wichtig ist die Konsistenz: Entscheidungen, Umsetzung und Wirksamkeit müssen nachvollziehbar zusammenpassen.

Wie hängt Informationssicherheit mit Risiko zusammen?
Risiko bildet die Grundlage für Auswahl und Priorisierung von Maßnahmen. Eine aktuelle Risikoanalyse steuert, wo investiert wird, welche Restrisiken akzeptiert werden und wie Monitoring und Notfallvorsorge dimensioniert sind.

Welche Rollen sind typischerweise beteiligt?
Top-Management, ISB, IT-Leitung, Asset-Owner in den Fachbereichen, Datenschutz, Compliance/Revision, Einkauf sowie Notfall-/BCM-Verantwortliche. Rollen sind mit Kompetenzen, Vertretungen und Entscheidungswegen zu hinterlegen.

Welche Kennzahlen sind sinnvoll?
Beispiele sind Zeit bis Berechtigungsentzug, Patch-Compliance, Quote bestandener Restore-Tests, MTTR bei Vorfällen, Awareness-Erfolgsraten, Anzahl kritischer Schwachstellen, Lieferanten-Bewertungsstatus. Kennzahlen sollten zielbezogen, messbar und trendfähig sein.

Ist eine ISO-27001-Zertifizierung gleichbedeutend mit Sicherheit?
Eine Zertifizierung bestätigt die Konformität und Wirksamkeit des ISMS auf Stichprobenbasis. Sie ersetzt keine Detailprüfung einzelner Systeme und garantiert keine Risikofreiheit. Der kontinuierliche Verbesserungsprozess bleibt entscheidend.

Wie werden Lieferanten in die Informationssicherheit eingebunden?
Über Anforderungen in Verträgen, Sicherheitsbewertungen, Nachweisprüfungen, Meldeprozesse bei Vorfällen und regelmäßiges Monitoring. Die Einbindung richtet sich nach Risiko und Kritikalität der ausgelagerten Leistungen.

Zurück zum Glossar