Informationssicherheit
Kurz erklärt: Informationssicherheit
Nach der ISO 27001 ist Informationssicherheit die Aufrechterhaltung der Verfügbarkeit, Integrität und der Vertraulichkeit von Informationen. Dies ist der Kern der Informationssicherheit. Andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit und Verlässlichkeit können hinzukommen.
Hervorzuheben ist zunächst, dass die Norm von Informationen spricht, nicht von Daten, nicht von Systemen und sich auch nicht auf digitale oder elektronische Formen beschränkt.
Informationen sind interpretierte Daten. Die Zahl Sechs kann z.B. ein Datum sein, erst wenn sie sie interpretiert wird, z.B. als 6 km Abstand zwischen zwei Orten, wird daraus eine Information. Das Datum als solches kann auf verschiedenen Datenträgern gespeichert sein. Es kann auf einer Diskette magnetisch, auf einer DVD optisch, auf Papier gedruckt oder nur im Gedächtnis eines Mitarbeiters existieren. Elektronische Formen sind heutzutage insbesondere im Hochschulalltag weit verbreitet, aber eben keineswegs die einzigen Informationsträger. Selbiges gilt für die Verarbeitung von Informationen.
Im Mittelpunkt der Informationssicherheit steht damit die Information. Datenträger, Computer und Netzwerke sind in unserer Zeit die dominierenden Werkzeuge zur Speicherung, Verarbeitung und Übertragung von Informationen. Sie stellen jedoch nur den Bereich der Werkzeuge dar. Begriffe wie IT-Security, Computersicherheit, IT-Sicherheit, Netzwerksicherheit, etc. beschreiben daher nur einzelne Bereiche aus der Informationssicherheit. Informationssicherheit ist der allumfassende und korrekte Begriff. Allein der Begriff der Informationssicherheit nimmt Bezug auf das eigentlich zu schützende Gut, die Information.
Was bedeuten nun die Eigenschaften Verfügbarkeit, Integrität und Vertraulichkeit, welche für die Informationssicherheit gefordert werden?
Verfügbarkeit
Verfügbarkeit bedeutet, die Zugänglichkeit einer Information für einen berechtigten Nutzer zur gewünschten Zeit. Dieses Ziel fordert daher nicht nur die Existenz der Informationen zu schützen, sie müssen auch nutzbar sein. Wenn ich z.B. über eine intakte Diskette mit gewünschten Informationen verfüge, aber zumindest z.Z. nicht über ein Diskettenlaufwerk, dann sind die Informationen im Sinne dieser Definition nicht verfügbar. Dies gilt sowohl für Inschriften in der Archäologie, für die es keine menschlichen Schriftkundigen mehr gibt, als auch für alte Daten der NASA, die sich auf alten Magnetbändern befinden und für die es keine entsprechenden Bandlaufwerke mehr gibt. In beiden Fällen liegen die Informationen offensichtlich vor, verfügbar sind sie in diesem Sinne aber nicht.
Integrität
Integrität bedeutet, dass Informationen vollständig und richtig sein müssen. Verfälschungen sollen ausgeschlossen oder zumindest erkannt werden. Werden sie lediglich erkannt, ergibt sich daraus ein Mangel an Verfügbarkeit, wenn das korrekte, unverfälschte also integere Datum nicht aus einer anderen Quelle, z.B. einem Backup, wieder beschafft werden kann. Prüfsummenverfahren sind ein Beispiel für Maßnahmen, die Integrität zu überprüfen und in einem gewissen Rahmen die Informationen auch zu rekonstruieren.
Vertraulichkeit
Vertraulichkeit bedeutet, dass Informationen unberechtigten Dritten nicht zugänglich sind bzw. diesen nicht enthüllt werden. Ein gutes Berechtigungskonzept kann hier gute Dienste leisten. So kann eine Person zu einer bestimmten Zeit berechtigt sein, Informationen einzusehen, zu einem späteren Zeitpunkt aber nicht mehr. Dies kann z.B. der Fall sein, wenn er das Unternehmen verlassen hat. Regelungen der Zugangs- und Zugriffskontrolle, sowie die Absicherungen von Datenspeichern und Kommunikation (z.B. durch Verschlüsselung) sind beispielhafte Maßnahmen zur Sicherstellung der Vertraulichkeit.
Verfügbarekeit, Integrität und Vertraulichkeit sind also die Kernpunkte der Informationssicherheit. Nicht jeder Punkt ist für jede Information gleich wichtig. Vertraulichkeit spielt beispielsweisse für die Informationen keine Rolle, welche ohnehin öffentlich sind und die Hochschule vielleicht auch selbst auf ihrer Internetseite veröffentlicht. Die Integrität, also die Richtigkeit der Informationen, ist jedoch schon wichtig. Die Verfügbarkeit ist z.B. für einen stark frequentiertes wissenschaftliches Informationssystem von immenser Bedeutung. Hier bedeutet jede Minute Downtime einen Arbeitsausfall.
Quellen:
Blog-Artikel “Informationssicherheit vs. Datenschutz“, Blog der ars tutandi GmbH
Prof. Dr. Hartmut Pohl in Datenschutz und Datensicherheit 28 (2004) 11
DIN ISO/IEC 27001