Seite wählen

War­um sind Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit für Ihr Unter­neh­men so wichtig?

Daten und Infor­ma­tio­nen sind wert­voll und müs­sen geschützt wer­den. Durch die Digi­ta­li­sie­rung kön­nen sie leicht ver­ar­bei­tet und aus­ge­wer­tet wer­den. Sie ken­nen sicher die „Coo­kies“, die Ihnen auf vie­len Web­sei­ten begeg­nen und Ihnen anzei­gen, wel­che Web­sei­ten Sie kürz­lich besucht haben. Daten kön­nen mit ande­ren Infor­ma­tio­nen kom­bi­niert wer­den, um Ihr Ver­hal­ten zu ana­ly­sie­ren. Das kann Ihre Pri­vat­sphä­re gefähr­den und Sie zum „glä­ser­nen Men­schen“ machen.

Die IT-Bran­che ent­wi­ckelt sich schnell wei­ter und bie­tet immer neue Mög­lich­kei­ten der Daten­er­fas­sung, wie z.B. durch Inter­net, Cloud-Lösun­gen oder elek­tro­ni­sche Zah­lungs­me­tho­den. Vie­le Insti­tu­tio­nen haben ein gro­ßes Inter­es­se an die­sen Daten, sei es für Markt­for­schung, Straf­ver­fol­gung oder auch für kri­mi­nel­le Zwe­cke. Des­halb ver­su­chen man­che Drit­te, an die­se Daten zu kom­men – auch wenn das oft ille­gal ist und straf­recht­li­che Fol­gen haben kann. Die Auf­klä­rung sol­cher ille­ga­len Metho­den ist meist sehr schwierig.

Die Bedeu­tung von Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit nimmt zu

Die digi­ta­le Trans­for­ma­ti­on bringt für Unter­neh­men vie­le Chan­cen, aber auch Her­aus­for­de­run­gen mit sich. Eine davon ist die Sicher­heit von Daten und Infor­ma­tio­nen, die für den Geschäfts­er­folg uner­läss­lich sind. Daten sind wie wert­vol­le Schät­ze, die es zu bewah­ren gilt! Ohne ange­mes­se­ne Sicher­heits­maß­nah­men ris­kie­ren Sie Daten­ver­lust, Daten­klau oder auch Betriebs­aus­fall, zum Bei­spiel durch Hacker-Angrif­fe. Sol­che Vor­fäl­le kön­nen nicht nur finan­zi­el­le Schä­den, son­dern auch Repu­ta­ti­ons­ver­lus­te für das Unter­neh­men ver­ur­sa­chen. Des­halb ist es wich­tig, Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit ernst zu nehmen.

Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit sind zwei wich­ti­ge Aspek­te für den Erfolg Ihrer Web­sei­te. Doch was bedeu­ten die­se Begrif­fe und wie unter­schei­den sie sich?

Infor­ma­ti­ons­si­cher­heit bezieht sich auf den Schutz von Infor­ma­tio­nen in jeder Form, ob digi­tal oder ana­log, ob mit oder ohne Per­so­nen­be­zug. Das Ziel ist, die Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät der Infor­ma­tio­nen zu gewähr­leis­ten. Das heißt, dass nur berech­tig­te Per­so­nen Zugriff auf die Infor­ma­tio­nen haben, dass die Infor­ma­tio­nen jeder­zeit voll­stän­dig und rich­tig zur Ver­fü­gung ste­hen und dass sie vor Ver­än­de­rung oder Zer­stö­rung geschützt sind. Um dies zu errei­chen, sind orga­ni­sa­to­ri­sche Maß­nah­men und kla­re Hand­lungs-Vor­ga­ben im Unter­neh­men erforderlich.

IT-Sicher­heit ist ein Teil­be­reich der Infor­ma­ti­ons­si­cher­heit, der sich spe­zi­ell auf die elek­tro­nisch gespei­cher­ten Infor­ma­tio­nen und IT-Sys­te­me bezieht. Die­se sind vie­len mög­li­chen Bedro­hun­gen aus­ge­setzt, wie zum Bei­spiel Hacker­an­grif­fen, Spio­na­ge oder Sabo­ta­ge. Das Ziel der IT-Sicher­heit ist, die IT-Sys­te­me und die dar­auf gespei­cher­ten oder über­tra­ge­nen Infor­ma­tio­nen vor die­sen Bedro­hun­gen und den dar­aus ent­ste­hen­den Schä­den zu schüt­zen. Auch hier gel­ten die drei Schutz­zie­le Ver­trau­lich­keit, Ver­füg­bar­keit und Inte­gri­tät. Die IT-Sicher­heit wird durch tech­ni­sche Maß­nah­men und ent­spre­chen­de Vor­ga­ben in Unter­neh­men umge­setzt, wie zum Bei­spiel Anti­vi­ren­pro­gram­me, Fire­walls oder Backups.

Was sind die drei pri­mä­ren sowie die erwei­ter­ten Schutz­zie­le der Infor­ma­ti­ons­si­cher­heit und IT-Sicherheit?

Pri­mä­re Schutzziele

  • Ver­trau­lich­keit
  • Inte­gri­tät
  • Ver­füg­bar­keit

Erwei­ter­te Schutzziele

  • Authen­ti­zi­tät
  • Zure­chen­bar­keit
  • Ver­bind­lich­keit

Was ver­steht man unter dem Schutz­ziel Vertraulichkeit?

Ver­trau­lich­keit bedeu­tet, dass Infor­ma­tio­nen nur von den berech­tig­ten Per­so­nen ein­ge­se­hen wer­den kön­nen und vor unbe­fug­tem Zugriff geschützt sind. Die­se kann durch Ver­schlüs­se­lung, Zugriffs­kon­trol­le oder ande­re Maß­nah­men gewähr­leis­tet werden.

Was ver­steht man unter dem Schutz­ziel Integrität?

Inte­gri­tät bedeu­tet, dass Infor­ma­tio­nen nicht unbe­merkt ver­än­dert oder mani­pu­liert wer­den kön­nen. Sie kann durch Prüf­sum­men, digi­ta­le Signa­tu­ren oder ande­re Maß­nah­men gewähr­leis­tet werden.

Was ver­steht man unter dem Schutz­ziel Verfügbarkeit?

Ver­füg­bar­keit bedeu­tet, dass Infor­ma­tio­nen jeder­zeit und ohne unzu­mut­ba­re Ver­zö­ge­rung für die berech­tig­ten Per­so­nen zugäng­lich sind. Sie kann durch Red­un­danz, Back­up oder ande­re Maß­nah­men gewähr­leis­tet werden.

Was ver­steht man unter dem Schutz­ziel Authentizität?

Authen­ti­zi­tät bedeu­tet, dass die Iden­ti­tät der Kom­mu­ni­ka­ti­ons­part­ner oder der Quel­le von Infor­ma­tio­nen zwei­fels­frei fest­ge­stellt wer­den kann. Die­se kann durch Zer­ti­fi­ka­te, Pass­wör­ter oder ande­re Maß­nah­men gewähr­leis­tet werden.

Was ver­steht man unter dem Schutz­ziel Zurechenbarkeit?

Zure­chen­bar­keit bedeu­tet, dass die Hand­lun­gen oder Ereig­nis­se in einem Infor­ma­ti­ons­sys­tem nach­voll­zieh­bar und beweis­bar sind. Die­se kann durch Pro­to­kol­lie­rung, Audi­tie­rung oder ande­re Maß­nah­men gewähr­leis­tet werden.

Was ver­steht man unter dem Schutz­ziel Verbindlichkeit?

Ver­bind­lich­keit bedeu­tet, dass die Kom­mu­ni­ka­ti­ons­part­ner oder die Quel­le von Infor­ma­tio­nen an ihre Aus­sa­gen oder Ver­ein­ba­run­gen gebun­den sind. Sie kann durch elek­tro­ni­sche Signa­tu­ren, Ver­trä­ge oder ande­re Maß­nah­men gewähr­leis­tet werden.

Wie ist die Sicher­stel­lung der Schutz­zie­le möglich?

Infor­ma­ti­ons­si­cher­heit bedeu­tet, die Ver­trau­lich­keit, Ver­füg­bar­keit, Inte­gri­tät, Authen­ti­zi­tät, Zure­chen­bar­keit und Ver­bind­lich­keit von Infor­ma­tio­nen zu schüt­zen. Die­se Schutz­zie­le sind für den rei­bungs­lo­sen Betriebs­ab­lauf uner­läss­lich. Durch die Digi­ta­li­sie­rung 4.0 sind IT-Sicher­heit, Infor­ma­ti­ons­si­cher­heit und Daten­schutz eng mit­ein­an­der ver­bun­den und unter­lie­gen den Anfor­de­run­gen des euro­päi­schen Gesetzgebers.

Ein „Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter“ ist ein Exper­te für alle Fra­gen rund um die Infor­ma­ti­ons­si­cher­heit in der Insti­tu­ti­on. Er unter­stützt die Lei­tung bei der Erstel­lung der Sicher­heits­leit­li­nie, koor­di­niert den Sicher­heits­pro­zess und die Umset­zung von Sicher­heits­maß­nah­men, berich­tet über den Sta­tus der Infor­ma­ti­ons­si­cher­heit, unter­sucht sicher­heits­re­le­van­te Vor­fäl­le und initi­iert Sen­si­bi­li­sie­run­gen und Schu­lun­gen. Der Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te kann intern oder extern bestellt oder auch nur bera­tend zum Audit hin­zu­ge­zo­gen werden.

Für eini­ge Bran­chen, die zu einem Sek­tor der kri­ti­schen Infra­struk­tur (KRI­TIS) gehö­ren, ist ein Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter ver­pflich­tend und unver­zicht­bar. Es müs­sen gege­be­nen­falls ent­spre­chen­de Nach­wei­se von Sicher­heits­au­dits, Prü­fun­gen oder Zer­ti­fi­zie­run­gen erbracht werden.

Wie Sie Ihr Unter­neh­men vor Cyber­an­grif­fen schüt­zen können:

Die digi­ta­le Welt bie­tet vie­le Chan­cen, aber auch vie­le Risi­ken. Jeden Tag hören wir von Fäl­len, in denen Daten gestoh­len, mani­pu­liert oder miss­braucht wer­den. Hacker, Viren, Mal­wa­re, Phis­hing und ande­re Bedro­hun­gen kön­nen Ihrem Unter­neh­men gro­ßen Scha­den zufü­gen. Nicht nur Ihr Ruf, son­dern auch Ihr Umsatz und Ihre Inves­ti­tio­nen kön­nen dar­un­ter lei­den. Des­halb ist es wich­tig, dass Sie Ihre Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit ernst neh­men und auf dem neu­es­ten Stand halten.

Es reicht nicht aus, sich nur auf tech­ni­sche Lösun­gen wie Fire­walls, Viren­schutz und Daten­si­che­run­gen zu ver­las­sen. Die­se kön­nen zwar eini­ge Angrif­fe abweh­ren, aber nicht alle. Oft sind es die eige­nen Mit­ar­bei­ter, die unwis­sent­lich oder fahr­läs­sig Sicher­heits­lü­cken öff­nen. Daher brau­chen Sie eine ganz­heit­li­che Stra­te­gie, die sowohl die tech­ni­schen als auch die orga­ni­sa­to­ri­schen und mensch­li­chen Aspek­te berücksichtigt.

Bei­spie­le für mög­li­che Sicherheitsbedrohungen

Cyber­kri­mi­na­li­tät: Phis­hing, Smis­hing, Vis­hing und vie­le ande­re Variationen

Cyber­kri­mi­na­li­tät ist eine wach­sen­de Bedro­hung für alle, die das Inter­net nut­zen. Dabei wer­den ver­schie­de­ne Metho­den ein­ge­setzt, um an per­sön­li­che oder geschäft­li­che Daten zu gelan­gen, Schad­soft­ware zu ver­brei­ten oder Löse­geld zu erpres­sen. In die­sem Arti­kel stel­len wir Ihnen eini­ge der häu­figs­ten For­men von Cyber­kri­mi­na­li­tät vor und geben Ihnen Tipps, wie Sie sich und Ihre Web­site davor schüt­zen können.

Phis­hing ist eine der bekann­tes­ten For­men von Cyber­kri­mi­na­li­tät. Dabei wer­den gefälsch­te E‑Mails ver­schickt, die den Anschein erwe­cken, von einer ver­trau­ens­wür­di­gen Quel­le zu stam­men, wie zum Bei­spiel einer Bank, einer Behör­de oder einem Online-Dienst. Ziel ist es, die Emp­fän­ger dazu zu brin­gen, auf einen Link zu kli­cken, der sie zu einer betrü­ge­ri­schen Web­site führt, wo sie dann sen­si­ble Daten wie Pass­wör­ter, Kre­dit­kar­ten­num­mern oder Kon­to­in­for­ma­tio­nen ein­ge­ben sol­len. Manch­mal ent­hal­ten die E‑Mails auch Anhän­ge, die Schad­soft­ware ent­hal­ten oder herunterladen.

Smis­hing ist eine Vari­an­te von Phis­hing, bei der SMS oder Text­nach­rich­ten ver­wen­det wer­den, um die Opfer zu täu­schen. Die Nach­rich­ten ent­hal­ten oft einen Link oder eine Tele­fon­num­mer, die angeb­lich zu einem drin­gen­den Anlie­gen füh­ren, wie zum Bei­spiel einer Paket­lie­fe­rung, einer Gewinn­be­nach­rich­ti­gung oder einer Sicher­heits­war­nung. Wenn die Opfer auf den Link kli­cken oder die Num­mer anru­fen, wer­den sie auf­ge­for­dert, per­sön­li­che Daten preis­zu­ge­ben oder Schad­soft­ware zu installieren.

Vis­hing ist die Abkür­zung für Voice Phis­hing und bezeich­net betrü­ge­ri­sche Anru­fe per Tele­fon. Dabei geben sich die Anru­fer als Mit­ar­bei­ter von ver­trau­ens­wür­di­gen Orga­ni­sa­tio­nen aus, wie zum Bei­spiel dem IT-Sup­port des eige­nen Unter­neh­mens, einem Soft­ware­an­bie­ter oder einer staat­li­chen Stel­le. Sie ver­su­chen dann, die Ange­ru­fe­nen davon zu über­zeu­gen, ihnen Zugang zu ihrem Com­pu­ter zu gewäh­ren, sen­si­ble Daten zu ver­ra­ten oder Geld zu über­wei­sen.- Tro­ja­ner: Dies sind Pro­gram­me, die sich als harm­los oder nütz­lich aus­ge­ben, aber in Wirk­lich­keit schäd­li­che Funk­tio­nen ent­hal­ten. Sie kön­nen zum Bei­spiel Hin­ter­tü­ren öff­nen, um Angrei­fern den Fern­zu­griff auf das infi­zier­te Sys­tem zu ermög­li­chen, oder sen­si­ble Daten aus­spio­nie­ren und an Drit­te senden.

Tro­ja­ner

Ein Tro­ja­ner ist eine Art von Schad­soft­ware, die sich als harm­lo­ses oder nütz­li­ches Pro­gramm aus­gibt, um Sie dazu zu brin­gen, sie auf Ihrem Com­pu­ter zu instal­lie­ren. Ein­mal akti­viert, kann ein Tro­ja­ner ver­schie­de­ne bös­ar­ti­ge Aktio­nen ausführen.

Ein Bei­spiel für einen Tro­ja­ner ist eine gefälsch­te E‑Mail mit einer Bewer­bungs­an­fra­ge als Word-Datei. Wenn Sie die­sen Anhang öff­nen, instal­liert sich heim­lich ein Tro­ja­ner auf Ihrem Com­pu­ter, der unbe­merkt in Ihrem Sys­tem arbei­tet. Dies kann zu erheb­li­chen finan­zi­el­len und repu­ta­ti­ven Schä­den für Ihr Unter­neh­men führen.

Ran­som­wa­re

Dies ist eine spe­zi­el­le Art von Mal­wa­re, die Daten auf dem infi­zier­ten Sys­tem ver­schlüs­selt und vom Nut­zer ein Löse­geld ver­langt, um sie wie­der frei­zu­ge­ben. Ran­som­wa­re kann sehr kost­spie­lig und schäd­lich sein, da es kei­ne Garan­tie gibt, dass die Daten nach der Zah­lung tat­säch­lich ent­schlüs­selt wer­den. In man­chen Fäl­len wird Ran­som­wa­re sogar nur zu Sabo­ta­ge­zwe­cken ein­ge­setzt, um mut­wil­lig Daten zu zerstören.

USB-Stick

Dies ist ein trag­ba­res Spei­cher­ge­rät, das oft zum Über­tra­gen von Daten zwi­schen ver­schie­de­nen Com­pu­tern ver­wen­det wird. Es kann aber auch eine Sicher­heits­be­dro­hung dar­stel­len, wenn es ver­lo­ren geht oder gestoh­len wird, oder wenn es mit Mal­wa­re infi­ziert ist. Ein Angrei­fer könn­te zum Bei­spiel einen prä­pa­rier­ten USB-Stick an einen Com­pu­ter anschlie­ßen und so eine Schad­soft­ware aus­füh­ren oder eine Hin­ter­tür installieren.

Note­book, Tablet oder Smartphone

Die­se mobi­len Gerä­te, die oft per­sön­li­che oder geschäft­li­che Daten ent­hal­ten oder dar­auf zugrei­fen kön­nen. Sie kön­nen aber auch eine Sicher­heits­be­dro­hung dar­stel­len, wenn sie ver­lo­ren gehen oder gestoh­len wer­den, oder wenn sie nicht aus­rei­chend geschützt sind. Ein Angrei­fer könn­te zum Bei­spiel ver­su­chen, das Pass­wort oder die PIN des Geräts zu kna­cken oder eine Schad­soft­ware dar­auf zu installieren.

Die­se Bei­spie­le sind nur eini­ge der mög­li­chen Sicher­heits­be­dro­hun­gen, die Web­an­wen­dun­gen beein­träch­ti­gen kön­nen. Es gibt noch vie­le ande­re Arten von Angrif­fen und Schwach­stel­len, die berück­sich­tigt wer­den müs­sen. Um sich vor die­sen Bedro­hun­gen zu schüt­zen, ist es wich­tig, die Web­an­wen­dun­gen regel­mä­ßig zu tes­ten und zu aktua­li­sie­ren, Sicher­heits­maß­nah­men wie Ver­schlüs­se­lung und Authen­ti­fi­zie­rung zu imple­men­tie­ren und sich über die neu­es­ten Ent­wick­lun­gen in der Cyber-Sicher­heit zu informieren.

Schüt­zen Sie Ihr Unter­neh­men mit cloud­TEC e.K.

Wir von cloud­TEC e.K. ste­hen Ihnen als Ihr exter­ner IT-Sicher­heits­be­auf­trag­ter und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter zur Ver­fü­gung. Wir bera­ten Sie umfas­send und indi­vi­du­ell zu den The­men Daten­schutz, Infor­ma­ti­ons­si­cher­heit und IT-Sicher­heit. Wir ver­fü­gen über zer­ti­fi­zier­te und geprüf­te Fach­kennt­nis­se in die­sen Berei­chen und kön­nen Ihnen hel­fen, die gesetz­li­chen Anfor­de­run­gen zu erfül­len und die Sicher­heits­stan­dards zu erhö­hen. Wir erstel­len für Sie maß­ge­schnei­der­te Sicher­heits­kon­zep­te und ‑richt­li­ni­en, die Ihre Unter­neh­mens­zie­le unter­stüt­zen und Ihre IT-Infra­struk­tur schüt­zen. Wir beglei­ten Sie bei der Ein­füh­rung und Wei­ter­ent­wick­lung Ihrer IT-Sicher­heits­or­ga­ni­sa­ti­on und füh­ren regel­mä­ßi­ge Sicher­heits­checks durch. Wir schu­len und sen­si­bi­li­sie­ren Ihre Mit­ar­bei­ter für die aktu­el­len Bedro­hun­gen und Her­aus­for­de­run­gen der IT-Sicher­heit. Wir ana­ly­sie­ren und bear­bei­ten IT-Sicher­heits­vor­fäl­le und unter­stüt­zen Sie bei der Krisenbewältigung.

Mit uns als Ihrem exter­nen IT-Sicher­heits­be­auf­trag­ten und Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten kön­nen Sie sich auf Ihr Kern­ge­schäft kon­zen­trie­ren und sicher sein, dass Ihre IT-Sicher­heit in guten Hän­den ist. Kon­tak­tie­ren Sie uns noch heu­te und las­sen Sie sich von uns ein unver­bind­li­ches Ange­bot erstellen.

Mitgliedslogo des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) eV.
Teilnehmer der Allianz für Cybersicherheit
Hiscox Siegel 2022
Diversity- LGBTI
Wir unter­stüt­zen jeg­li­che Form von Diversity.