IT-Sicherheit

Der Branchenverband der digitalen Wirtschaft (Bitkom) schätzt den jährlichen wirtschaftlichen Schaden durch digitale Wirtschaftsspionage in Deutschland auf 51 Milliarden Euro. Laut einer Umfrage (April 2015) von Bitkom war bereits die Hälfte der deutschen Unternehmen von Datendiebstahl, Sabotage oder Spionage betroffen. Der Mittelstand ist zwar etwas seltener als Großunternehmen Ziel dieser Wirtschaftskriminalität, darf aber die Gefahr nicht unterschätzen.

Die größten finanziellen Schäden entstehen durch Plagiate (23 Milliarden Euro) und Patentrechtsverletzungen (18,8 Milliarden Euro). 13 Millionen Euro der Umsatzeinbußen sind laut Schätzungen der Befragten auf Beeinträchtigungen von IT-Systemen (z. B. Ausfall und Diebstahl) und Produktions- und Betriebsabläufen zurückzuführen.

Die Studie des Branchenverbands macht deutlich, dass nur ein geringer Teil der Cyberangriffe laut der Befragten (11 Prozent) auf organisierte Kriminalität zurückgeht. Der Großteil ist laut der Unternehmer auf aktuelle und ehemalige Mitarbeiter, auf das "unternehmerische Umfeld" sowie Hobby-Hacker zurückzuführen.

Wie die Studie zeigt, bedarf es mit steigender Innovationsgeschwindigkeit der Informationstechnologie und der damit verbundenen Zunahme von Daten und Vernetzung von Prozessen stetig neuer Schutzmaßnahmen in der IT-Technik und einem verantwortungsbewusstem Umgang mit Informationen und Daten. Ein vertrauenswürdiges Informations- und Kommunikationssystem ist für jedes Unternehmen grundlegend. Insbesondere für kleine und mittlere Unternehmen ist die Auseinandersetzung jedoch mit der komplexen IT-Sicherheit aufgrund fehlender zeitlicher, personeller und finanzieller Ressourcen oftmals unzureichend. Dennoch können mit digitaler Kommunikation und Datenaustausch Kosten gesenkt, Kunden schneller erreicht und Service individueller gestaltet werden.

Bei der Auseinandersetzung mit dem Thema IT- und Informationssicherheit empfiehlt es sich einige Begrifflichkeiten, die in der Literatur teils unterschiedlich verwendet werden, anzuschauen.

Definitionen des BSI

Informationssicherheit
„Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein […].“

So ist zum Beispiel Informationssicherheit auch bei vertraulichen Gesprächen unter Kollegen bedeutend.

Datensicherheit
„Mit Datensicherheit wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet […].“

(Quelle: BSI)

Die Datensicherheit kann durch folgende sogenannte „8 Gebote der Datensicherheit“ gewährleistet werden.

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Kontrolle bei der Erhebung von Daten
  5. Kontrolle bei der Eingabe von Daten
  6. Kontrolle bei der Verarbeitung von Daten
  7. Kontrolle bei der Weitergabe von Daten
  8. Sicherstellung der Verfügbarkeit von Daten und der Systeme

(Genaue Erklärungen bietet Bitkom auf der Seite www.bitkom-datenschutz.de (Link))

Datenschutz
Datenschutz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Mit Datenschutz wird daher der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet […].“

Informationstechnik (IT) und IT-Sicherheit
„IT umfasst alle technischen Mittel, die der Verarbeitung oder Übertragung von Informationen dienen. Zur Verarbeitung von Informationen gehören Erhebung, Erfassung, Nutzung, Speicherung, Übermittlung, programmgesteuerte Verarbeitung, interne Darstellung und die Ausgabe von Informationen.“
„IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.“

(Quelle: Glossar und Begriffsdefinitionen auf der Seite des BSI www.bsi.bund.de (Link))

Der Begriff Sicherheit im Englischen - Safety und Security

Safety
Der Begriff Safety bezieht sich auf den Schutz der Umwelt vor Computer-Ausfällen und Fehlverhalten eines Systems.

Security
Security steht für den Schutz auf technische Systeme und Informationen vor Angriffen aus deren Umgebung. In der deutschen Sprache werden in diesem Kontext die Begriffe IT- und Informationssicherheit verwendet.

(Quelle: Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS)

Gefahrenquellen und Sicherheitsmaßnahmen

Die Zunahme von betriebsvertraulichen Daten und Informationen sowie deren Verarbeitung in Informationstechnologien stellt an Unternehmen stetig neue An- und Herausforderungen an die umfassende Sicherung dieser. Damit einhergehend steigt die Zahl und Vielfalt der Einfallstore für Bedrohungen. Um einen wirtschaftlichen Verlust (z. B. Dienstausfall) zu verhindern, müssen Lücken in Hard- und Software schnell geschlossen werden und dem Fehlverhalten von Mitarbeitern entgegengewirkt werden. Dies wird oft durch die zunächst unbemerkte Verbreitung von Gefahren erschwert.

Die folgende Tabelle soll einen Einblick in einige Gefahrenquellen und möglichen Schutzmaßnahmen geben.


Schadprogramme (z. B. Trojaner und Würmer) nisten sich oft unbemerkt in Computersystemen ein. Solche Schadprogramme können unter anderem durch manipulierte Webseiten und Sicherheitslücken in webbasierter Software auf den Computer gelangen. Beim Herunterladen webbasierter Software kann es zu einem „heimlichen“ Download (drive-by-downloads) kommen, der auf dem Ziel-Computer großen Schaden anrichten kann.
Es werden zudem häufig Phishing-E-Mails versendet, die Links auf manipulierte Seiten enthalten. Da die Absender häufig dem Empfänger angeblich bekannte Unternehmen sind und die manipulierten Seiten oft nicht als solche zu erkennen sind, werden von den Phishing-E-Mail-Empfängern Login-Daten und andere persönliche Daten eingegeben und somit ausgespäht. Netzwerke aus mehreren von Malware ferngesteuerten Computern (sogenannte Botnetze) können die Verbreitung von Malware automatisieren und beschleunigen.
Mit Botnetzen können Webserver oder ganze Netzwerke lahmgelegt werden. Da ein Botnetz häufig aus vielen Computern besteht, kann auch nur schwer nachvollzogen werden, woher der Angriff kommt. Solch ein Aussetzten der Verfügbarkeit von Diensten durch Botnetze wird Distributed-Denial-of-Service-Attacke (DDOS) genannt und sie haben gegenüber einfachen Denial-of-Service-Attacken (DoS) eine immense Auswirkung.
Auch für technische Laien gibt es über sogenannte Virenbaukästen Möglichkeiten individuelle Schadsoftware zur verbreiten.

Schwachstelle Mensch- Social Engineering
Neben den Sicherheitslücken in den IT-Systemen ist der Mensch eine bedeutende Schwachstelle. Dies bezieht sich einerseits auf den direkten (fehlerhaften) Umgang mit den Technologien, andererseits auf die Ausnutzung menschlicher Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst und Respekt vor Autorität. In diesem Zusammenhang hat sich der Terminus „Social Engineering“ etabliert. Das Ziel ist die Preisgabe vertraulicher Informationen durch den Missbrauch zwischenmenschlicher Beziehungen und Vortäuschung von Identitäten. Gerade die sozialen Netzwerke sind eine beliebte Plattform um vertrauliche Daten zu erlangen. Aber auch in Telefonaten, E-Mails und persönlichen Gesprächen können Mitarbeiter „ausgehorcht“ werden. Durch die Manipulation des Menschen kann die Wirkung von software- und hardwaretechnischen Lösungen eingeschränkt werden.

Suchen mit Artikel-ID

Ansprechpartner


Christiane Trabitz

Kontaktinformationen