Datenschutz-Glossar

Informationssicherheit

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist Informationssicherheit?

Informationssicherheit bezieht sich auf die Werkzeuge und Verfahren, die eine Organisation einsetzt, um Informationen und zugehörige Systeme gegen unbefugten Zugriff, Nutzung, Offenlegung, Störung, Änderung oder Zerstörung zu schützen. Alle Organisationen haben es mit irgendeiner Art von Informationen zu tun, von geistigem Eigentum über vertrauliche Dokumente bis hin zu den Daten von Benutzern oder Kunden. Diese Informationen sicher zu halten kann Technologie, physische Sicherheit und mehr umfassen.

Die Praxis der Informationssicherheit (kurz InfoSec) umfasst Richtlinien und Verfahren, Hardware, Software, Schulungen und physische Infrastruktur. Unternehmen, Regierungen und andere Organisationen nutzen diese Werkzeuge, um sowohl die Informationen zu schützen, für die sie verantwortlich sind, als auch sicherzustellen, dass, wenn etwas passiert, sie den daraus resultierenden Schaden mindern können. Geschützte Informationen können elektronisch oder physisch sein (Papierakten, Prototypen usw.).

Die Grundlagen der Informationssicherheit

Informationssicherheit ist ein großes und komplexes Feld. Die spezifischen Werkzeuge und Verfahren sind einzigartig für jede Organisation und hängen von deren Umständen und der Art der zu schützenden Informationen ab. Es gibt jedoch einige Prinzipien, die in allen Fällen gelten:

  • Informationen müssen vor Personen geschützt werden, die kein Recht darauf haben
  • Informationen müssen korrekt, aktuell und zuverlässig sein
  • Informationen müssen für diejenigen zugänglich sein, die ein Recht darauf haben, und für diejenigen, die für deren Genauigkeit verantwortlich sind

Alle drei Ziele zu erreichen ist ein Balanceakt. Einerseits bedeutet es, dass es schwieriger ist, auf Informationen zuzugreifen, sodass die “falschen” Personen (z. B. Hacker) nicht darauf zugreifen können. Wenn jedoch der Zugriff zu schwierig ist, werden auch die “richtigen” Personen (z. B. Systemadministratoren) Schwierigkeiten beim Zugriff haben. Dies wiederum kann bedeuten, dass die Informationen nicht gut gepflegt werden. Ein zu starker Fokus auf das erste Ziel kann bedeuten, dass das zweite Ziel nicht erreicht wird.

Das Gebiet der Informationssicherheit ist nicht dasselbe wie cybersecurity. Vielmehr wird Cybersicherheit als ein Bereich innerhalb der Informationssicherheit betrachtet, da sich die Cybersicherheit auf den Schutz elektronischer Informationen konzentriert, während die Informationssicherheit sowohl elektronische als auch nicht-elektronische Informationen umfasst.

Wovor schützt die Informationssicherheit?

Bedrohungen für die Daten einer Organisation können aus vielen Quellen stammen. Einige sind böswillig und absichtlich, wie Schauspieler, die versuchen, persönliche Informationen zu stehlen. Einige Risiken können auf menschliche Fehler oder Unachtsamkeit zurückzuführen sein. Unabhängig von der Quelle der Bedrohung sind die Gefahren dieselben: Eines oder mehrere der grundlegenden Ziele der Informationssicherheit werden kompromittiert.

Böswillige Bedrohungen können sowohl elektronisch als auch physisch sein. Physische Bedrohungen sind in erster Linie der Diebstahl von Vermögenswerten. Dies kann auf dem Gelände der Organisation oder außerhalb, wie der Diebstahl eines Laptops auf Reisen, geschehen. Heute ist die größere Bedrohung elektronisch. Phishing und andere Formen von social engineering können zur Installation von malware und ransomware führen. Gefahren wie Botnets können DDoS-(Denial-of-Service-) Angriffe starten oder ausgeklügelte Passwort-Knack-Software verwenden, um sich durch „Brute Force“ Zugriff auf sichere Systeme zu verschaffen. Man-in-the-middle-Angriffe können in das Netzwerk einer Organisation eindringen und die Nachrichten abhören, die durch das Netzwerk übertragen werden.

Naturkatastrophen, Systemausfälle und menschliche Fehler sind keine böswilligen Ereignisse, haben aber das Potenzial, genauso viel Schaden anzurichten. Die Verfahren der Informationssicherheit sollten Pläne für Systemausfälle, Stromausfälle und Schäden an der Infrastruktur umfassen. Mitarbeiterschulungen können dazu beitragen, die Risiken menschlicher Fehler zu mindern.

Elemente des Informationssicherheitsschutzes

Die Praktiken der Informationssicherheit umfassen verschiedene Elemente, darunter:

  • Anwendungssicherheit: Schützt Daten und Systeme vor Software- und API-Schwachstellen. Anwendungssicherheit kann Antivirenüberwachung, Firewalls und starke Passwort-/Login-Anforderungen nutzen.
  • Datenverschlüsselung: Verschlüsselte Daten können nur von denjenigen entschlüsselt werden, die autorisiert sind und akzeptierte Kanäle nutzen, um auf die Daten zuzugreifen. Die beste Praxis besteht darin, Daten sowohl während der Übertragung als auch während der Speicherung zu verschlüsseln.
  • Infrastruktursicherheit: Dieser Teil der Informationssicherheit konzentriert sich darauf, zu kontrollieren, wer physischen Zugriff auf die Informationen oder die Systeme hat, die Daten speichern und verwalten. Infrastruktursicherheit umfasst, wer Zugang zu Orten wie Bürogebäuden und Rechenzentren hat und wie Dinge wie Laptops und mobile Geräte vor Diebstahl geschützt werden.
  • Cloud-Sicherheit: Da immer mehr Organisationen entfernte Datenplattformen nutzen, die von Dritten verwaltet werden, ist die Bewertung und Überwachung der Sicherheit dieser Dienstanbieter zu einem wichtigen Element der Informationssicherheit geworden.
  • Menschliches Training: “Insider”-Bedrohungen werden als die größte Herausforderung der Informationssicherheit betrachtet. Eine Insider-Bedrohung bedeutet einfach, dass die Bedrohung aus dem Inneren der Organisation stammt. Es kann sich um bösartige Aktivitäten handeln, aber oft ist es versehentlich, wie eine E-Mail, die an die falsche Person gesendet wurde; ein Mitarbeiter, der auf den falschen Link klickt und Malware durch Phishing herunterlädt; oder ein ehemaliger, verärgerter Mitarbeiter, der Zugangsdaten behält. Die Informationssicherheit geht einige dieser Bedrohungen durch Mitarbeiterschulung an - wie Sicherheitsprozesse funktionieren, warum sie befolgt werden müssen und die Rolle des Mitarbeiters bei der Aufrechterhaltung einer guten Sicherheit.
  • Reaktionspläne: Die oben besprochenen Schritte verringern das Risiko eines erfolgreichen Angriffs, aber sie können das Risiko nicht vollständig eliminieren. Es ist wichtig, Reaktionspläne zu haben, was zu tun ist, wenn es einen erfolgreichen Angriff gibt. Diese Pläne behandeln, wie verlorene oder kompromittierte Daten wiederhergestellt werden können und wie die Organisation weiterhin funktionieren kann, während sie sich erholt.
  • Überwachung: Angriffe auf Informationssysteme ändern sich ständig. Eine Organisation muss ihren Informationssicherheitsprozess auf Effektivität überwachen und bei Bedarf aktualisieren, um die Ergebnisse zu verbessern und sich auf neue Arten von Bedrohungen vorzubereiten.

Das Informationssicherheitsprogramm einer Organisation ist auf ihre individuellen Bedürfnisse zugeschnitten. Du kannst jedoch auch von externen Einflüssen, wie z. B. Vorschriften, beeinflusst werden. DSGVO und HIPAA sind zwei Beispiele für Vorschriften, die einzuhaltende Standards diktieren.

Wie kann ich wissen, dass meine Daten geschützt werden?

Als Einzelperson hast du nur begrenzten Einfluss auf die Sicherheitsprotokolle einer externen Organisation. Sobald deine Daten in der Datenbank einer anderen Person gespeichert sind, musst du dich auf deren Informationssicherheitsprogramme verlassen, um die Daten vor Ereignissen wie einer Datenpanne zu schützen. Du kannst jedoch darauf achten, wo und wann du deine persönlichen Daten angibst, damit sie von vornherein weniger ausgesetzt sind:

  • Verwende unterschiedliche Passwörter für jede Seite und App. Verwende einen Passwort-Manager, um alle deine Passwörter sicher zu speichern und zufällige, einzigartige Passwörter für jedes Konto und jede Website, auf die du zugreifst, zu generieren. Wenn alle deine Passwörter unterschiedlich sind, ist es viel wahrscheinlicher, dass ein Datenleck, das ein Passwort offenlegt, nur dieses eine Konto gefährdet.
  • Minimiere die Anzahl der Orte, an denen deine Daten gespeichert sind, um so die mögliche Exposition gegenüber Datendiebstahl zu reduzieren. Richte beispielsweise automatische Zahlungen über das Rechnungszahlungssystem deiner Bank ein, anstatt auf jeder Kontowebsite. Dies reduziert die Anzahl der Datenbanken, in denen deine Bankkontoinformationen gespeichert sind.
  • Gib deine Daten nicht an Organisationen weiter, die anscheinend mehr Daten als nötig sammeln wollen oder eine schlechte Erfolgsbilanz in Bezug auf Informationssicherheit haben.
  • Aktiviere die Zwei-Faktor-Authentifizierung (2FA) oder die Multi-Faktor-Authentifizierung bei jedem Konto, das sie unterstützt. (Dies ist normalerweise ein eindeutiger, einmaliger numerischer Code, der zusätzlich erforderlich ist, bevor du auf dein Konto auf einer Website oder App zugreifen kannst). Selbst wenn ein Datenleck dein Passwort offenlegt, werden diejenigen, die dein Passwort erhalten, nicht den zweiten, erforderlichen Teil deines Logins (oder Faktors) haben und daher immer noch daran gehindert, auf deine Konten zuzugreifen. Im Allgemeinen wird auch die SMS-basierte 2FA nicht empfohlen, es sei denn, sie ist die einzige verfügbare Option. SMS-basierte 2FA ist anfällig für Angriffe, die sie weniger sicher machen als andere Optionen.

Die Verwendung eines Browsers mit starken Datenschutz- und Sicherheits-Schutzmaßnahmen, wie z.B. dem Brave-Browser, verringert auch das Risiko, dass Ihre Daten in die falschen Hände geraten:

  • Der Brave Browser enthält Safe Browsing, was dazu beitragen kann, Datenpannen zu verhindern, indem er vor bösartigen Websites schützt.
  • Brave’s integrierter Werbeblocker—Brave Shields—kann schädliche und irreführende Werbung blockieren, teilweise durch die Verwendung von Filterlisten. Es ist auch sicherer als Browser-Erweiterungen, die ihrerseits neue Sicherheitsrisiken einführen können.

Brave aktualisiert automatisch Verbindungen auf das sicherere HTTPS, was bedeutet, dass deine Daten während der Übertragung verschlüsselt werden. Dies ist zwar keine Garantie dafür, dass deine Daten verschlüsselt gespeichert werden, kann jedoch die Chancen verbessern. Überprüfe einfach, ob die URL mit https:// beginnt (nicht „http://“), um sicher zu sein.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.