/

Wer oder was ist Informationssicherheit?

Informationssicherheit steht im Fokus des BSI IT-Grundschutzes. Dieser Begriff wird oft unterschiedlich interpretiert.

Laut Definition hat Informationssicherheit das Ziel, Informationen jeglicher Art und Herkunft zu schützen. Dabei können Informationen auf Papier, in IT-Systemen oder auch in den Köpfen der Benutzer gespeichert sein. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Ressourcen für Informationssicherheit

Die Einhaltung eines bestimmten Sicherheitsniveaus erfordert stets finanzielle, personelle und zeitli­che Ressourcen, die von der Leitungsebene ausreichend bereitgestellt werden müssen. Wenn die Zielvorgaben aufgrund fehlender Ressourcen nicht erfüllt werden können, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderlichen Ressourcen nicht zur Verfügung gestellt haben. Um die gesteckten Ziele nicht zu verfehlen, ist es wichtig, schon bei deren Festlegung eine erste Kosten-Nutzen-Schät­zung durchzuführen. Im Laufe des Sicherheitsprozesses sollte dieser Aspekt weiterhin eine entschei­dende Rolle spielen, einerseits, um keine Ressourcen zu verschwenden, und andererseits, um die notwendigen Investitionen zur Erreichung des angemessenen Sicherheitsniveaus gewährleisten zu können.

Oft werden mit der IT-Sicherheit ausschließlich technische Lösungen assoziiert. Diese Sichtweise greift jedoch zu kurz. Dies ist ein weiterer Grund, statt IT-Sicherheit besser den Begriff Informationssicherheit zu verwenden. Vor allem erscheint es aber wichtig, darauf hinzuweisen, dass Investitionen in perso­nelle Ressourcen häufig effektiver sind als Investitionen in Sicherheitstechnik. Technik alleine löst somit keine Probleme, sie muss immer in organisatorische Rahmenbedingungen eingebunden sein. Auch die Überprüfung der Wirksamkeit und Eignung von Sicherheitsmaßnahmen muss durch ausreichende Ressourcen sichergestellt werden.

In der Praxis fehlt den institutionseigenen Sicherheitsexperten häufig die Zeit, um alle sicherheitsrelevanten Einflussfaktoren und Rahmenbedingungen (z. B. gesetzliche Anforderungen oder technische Fragen) zu analysieren. Teilweise mangelt es ihnen auch an entsprechenden Grundlagen. Es ist immer dann sinnvoll, auf externe Experten zurückzugreifen, wenn Fragen und Probleme nicht mit eigenen Mitteln zu klären bzw. zu lösen sind. Dies muss von den institutionseigenen Sicherheitsexperten do­kumentiert werden, damit die Leitungsebene die erforderlichen Ressourcen bereitstellen kann. Die Grundvoraussetzung für einen sicheren Betrieb der Informationstechnik ist ein gut funktionieren­ der Betrieb. Für den Betrieb müssen daher ausreichende Ressourcen zur Verfügung gestellt werden. Typische Probleme des Betriebs (knappe Ressourcen, überlastete Administratoren oder eine unstruk­turierte und schlecht gewartete IT-Landschaft) müssen in der Regel erst gelöst werden, damit die eigentlichen Sicherheitsmaßnahmen wirksam und effizient umgesetzt werden können.