Nach der ISO 27001 ist Informationssicherheit die Aufrechterhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen. Dies ist der Kern der Informationssicherheit. Andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit und Verlässlichkeit können hinzukommen.
Hervorzuheben ist zunächst, dass die Norm von Informationen spricht, nicht von Daten, nicht von Systemen und sich auch nicht auf digitale oder elektronische Formen beschränkt.
Informationen sind interpretierte Daten. Die Zahl Sieben kann z.B. ein Datum sein, erst wenn ich sie interpretiere, z.B. als Anzahl der Resturlaubstage eines Mitarbeiters, wird daraus eine Information. Das Datum als solches kann auf verschiedenen Medien gespeichert sein. Es kann auf einer Festplatte magnetisch, auf einer CD optisch, auf Papier gedruckt oder nur im Kopf eines Menschen existieren. Elektronische Formen sind heutzutage und im Unternehmensalltag sehr häufig, aber eben keineswegs die einzigen Träger von Informationen. Selbiges gilt für die Verarbeitung von Informationen.
Im Fokus der Informationssicherheit steht damit die Information. Datenträger, Computer und ihre Vernetzung sind in unserer Welt die dominierenden Werkzeuge zur Speicherung, Verarbeitung und Übermittlung von Informationen, sie stellen jedoch nur die Ebene der Hilfsmittel dar. Begriffe wie Computersicherheit, IT-Sicherheit, IT-Security, Netzwerksicherheit, etc. beschreiben daher nur Ausschnitte aus der Informationssicherheit. Informationssicherheit ist der alle diese Bereiche umfassende und korrekte Begriff. Allein er bezieht sich auf das eigentlich zu schützende Gut, die Information.
Die Beziehung der Informationssicherheit zum Datenschutz habe ich in einem eigenen Blog-Artikel „Informationssicherheit vs. Datenschutz“ dargestellt.
Was bedeuten nun die Begriffe Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität, die für die Informationssicherheit gefordert werden?
Verfügbarkeit
Verfügbarkeit bedeutet, dass eine Information einem berechtigten Nutzer zur gewünschten Zeit zugänglich ist. Dieses Ziel fordert also nicht nur die Existenz der Informationen zu schützen, sie müssen auch zugreifbar sein. Wenn ich z.B. über intakte Datenträger mit gewünschten Informationen verfüge, aber nicht über geeignete Abspiel- oder Sichtgeräte, dann sind die Informationen im Sinne dieser Definition nicht mehr verfügbar. Dies gilt für Inschriften in der Archäologie, für die es keine menschlichen Schriftkundigen (mehr) gibt, genauso wie für alte Datenbestände der NASA, für die es keine entsprechenden technischen Lesegeräte mehr gibt. In beiden Fällen liegen die Informationen offensichtlich vor, verfügbar sind sie in diesem Sinne aber nicht.
Integrität
Integrität bedeutet, dass Informationen vollständig und richtig sind. Verfälschungen sollen vermieden oder zumindest erkannt werden. Werden Sie nur erkannt, führt dies zu einem Problem mit der Verfügbarkeit, wenn das korrekte, unverfälschte also integre Datum nicht aus einer anderen Quelle wieder hergestellt werden kann. Prüfsummenverfahren sind ein Beispiel für Maßnahmen, die Integrität sicherzustellen.
Vertraulichkeit
Vertraulichkeit bedeutet, dass Informationen unberechtigten Dritten nicht zugänglich sind oder diesen enthüllt werden. Das Konzept der Berechtigung spielt hier offensichtlich eine große Rolle. So kann jemand zu einem Zeitpunkt berechtigt sein, Informationen zu sichten, zu einem späteren jedoch nicht mehr, z.B. wenn er das Unternehmen verlassen hat. Regelungen der Zugangs- und Zugriffskontrolle, so wie die Absicherungen von Speichermedien und Kommunikation (Verschlüsselung) sind beispielhafte Maßnahmen zur Sicherung der Vertraulichkeit.
Diese drei Punkte sind die Kernpunkte der Informationssicherheit. Nicht jeder Punkt ist für jede Information gleich wichtig. Vertraulichkeit spielt für die Informationen, die ein Unternehmen auf seiner Webseite veröffentlicht keine Rolle. Die Integrität, also die Richtigkeit der Informationen jedoch schon. Verfügbarkeit ist für einen stark frequentierten Online-Shop von immenser Bedeutung, für den Bericht der letzten Betriebsfeier gilt das nicht im selben Maße.
Quellen:
- DIN ISO/IEC 27001
- Blog-Artikel „Informationssicherheit vs. Datenschutz„
- Prof. Dr. Hartmut Pohl in Datenschutz und Datensicherheit 28 (2004) 11
