Gleich vorweg: IT-Security ist nicht gleich Informationssicherheit – obwohl oft beide Bezeichnungen gleich verwendet werden (vor allem wenn nicht genau vom Englischen in eine andere Sprache übersetzt wurde), gibt es einen feinen Unterschied, der Ihnen auch bei der Definition des Begriffs weiterhelfen wird.
Dieser Unterschied ist im Prinzip das „T“ im Namen – denn IT-Security steht für „Information Technology Security“, also eigentlich „Informationstechniksicherheit.“ Das klingt aber ziemlich sperrig deshalb bleibt man lieber bei „IT-Security“.
Definition
Informationssicherheit vs. IT-Security
Der Begriff Informationssicherheit meint Schutzmaßnahmen für ALLE Systeme, die in irgendeiner Art und Weise Informationen verarbeiten oder lagern. Dabei ist es egal, ob diese digital oder „analog“ sind. Damit ist also der Computer genauso gemeint wie ein Stapel handgeschriebener, vertraulicher Dokumente.
IT-Security ist ein Teilbereich der Informationssicherheit. Hier werden tatsächlich nur die Schutzmaßnahmen von sog. „soziotechnischen“ Systemen gemeint. Soziotechnische Systeme sind nichts anderes als Systeme, in denen der Mensch Informationstechnik verwendet, um Daten zu speichern und zu verarbeiten.
Informationstechnik wird laut Duden übrigens definiert als „Technik der Erfassung, Übermittlung, Verarbeitung und Speicherung von Informationen durch Computer und elekommunikationseinrichtungen.“
So weit so klar. Da heutzutage aber nur mehr in sehr wenigen Ausnahmesituationen überhaupt keine IT in irgendeiner Art und Weise verwendet wird, deckt die IT-Security einen sehr großen Teil der Informationssicherheit ab.
Ein Beispiel für eine IT-lose Anwendung von Informationssicherheit wäre vielleicht das mit Hand geschriebene Geheimrezept im Safe ihres Lieblings-Restaurants. Darum soll es in dieser Lerneinheit jedoch nicht gehen.
Der Begriff „IT-Security“ umfasst im Wesentlichen folgende vier Faktoren:
Computersicherheit: Hier sind im Speziellen die Sicherheitsvorkehrungen von lokalen und vernetzten Computersystemen selbst gemeint. Wie sicher ist ein Computer vor fremdem Zugriff oder Manipulation? Was passiert, wenn ein Computer „abstürzt“?
Datenschutz: Der Begriff ist momentan in aller Munde – aber zurecht, denn „Datenschutz ist Personenschutz“. Dieser Aspekt ist für die Privatperson der wesentlichste, denn hier geht es um den Schutz der eigenen, personenbezogenen Daten vor Missbrauch. Privatsphäre und Anonymität sind ein heikles Thema in einer digitalisierten
Datensicherheit: Das ist wiederum eher technischer Hier geht es weniger um rechtliche Fragen, sondern eher einfach darum, wie man Daten vor Manipulation oder Verlust schützt. Datensicherheit kann als die technische Vorstufe für erfolgreichen Datenschutz verstanden werden.
Datensicherung: Hier geht es speziell um die (mehrfache) Sicherung der Daten – Sie kennen das höchstwahrscheinlich unter dem Begriff „Backup“. Und nichts anderes ist die Datensicherung auch: die richtige Vervielfältigung von Daten, um gegen deren Verlust vorzubeugen.
Die folgende Grafik macht den Zusammenhang aller gelernten Begriffe etwas verständlicher:
IT-Security macht einen Großteil der Informationssicherheit aus und besteht im Wesentlichen aus Computersicherheit und Datensicherheit. Datensicherheit ist dabei die Grundlage von erfolgreichem Datenschutz und Datensicherung.
Wichtig
Daten und Informationen
Jetzt haben Sie schon so oft die Begriffe „Daten“ und „Informationen“ gelesen, da möchten Sie doch
sicher auch den Unterschied wissen:
Daten sind eigentlich nutzlose Zeichen und Symbole – ohne Kontext bleiben diese Daten inhaltsleer und es ist nichts damit anzufangen. Nehmen wir zum Beispiel einfach die Ziffernfolge
Informationen sind Daten, die in einen Kontext gesetzt werden. Dann werden diese Daten aussagekräftig und transportieren eine Information, z. B.: Geburtsdatum 19.08.1974 – schon ist klar, was mit der Ziffernfolge gemeint
Das ist übrigens auch der Grundgedanke hinter Verschlüsselungen, egal ob diese am Computer oder mit der Hand vorgenommen werden. Man lässt Daten ohne Kontext, würfelt diese vielleicht sogar durcheinander. Nur jemand, der auch den Kontext versteht, versteht den Sinn der Ziffernfolge.
Für wen ist die Umsetzung von IT-Security nun wichtig?
Eigentlich für jede und jeden mit einem Computer – ob als Einzelperson oder in einer Organisation. Trotzdem hilft es, die Umsetzungsbereiche von IT-Security etwas präziser einzuordnen, auch, um später die Bedrohungen und entsprechenden Maßnahmen in das richtige Einsatzgebiet zuordnen zu können.
Im Wesentlichen unterscheidet man, ob Geräte und Daten privat oder innerhalb einer Organisation genutzt werden.
Privater Bereich: Dies betrifft Einzelpersonen und Geräte, die privat genutzt werden. Dazu gehört zum Beispiel Ihr eigener Laptop oder Ihr Smartphone. Ob Sie diesen öffentlich nutzen, also zum Beispiel im WLAN einer Universität ist dabei zweitrangig – wesentlich ist, dass Sie das Gerät zur Verwaltung Ihrer privaten Daten verwenden.
Unternehmen und Organisationen: Hier geht es um Geräte, mit denen auf die Daten von Unternehmen oder Organisationen zugegriffen werden kann – beispielsweise Firmenlaptops oder Firmentelefone. Damit sind sowohl wirtschaftliche Unternehmen als auch staatliche Betriebe und Organisationen gemeint – es geht um gemeinsam verwendete Daten, die einer Organisation gehören.
Welche Unterschiede gibt es nun konkret in diesen beiden Einsatzbereichen?
Privater Bereich
So gut wie jede Software hat immer in irgendeiner Art und Weise Programmierfehler. Das kann aufgrund von Ungenauigkeit aber auch ganz einfach aus Unwissenheit geschehen sein – denn niemand kann wissen, über welche „Hintertür“ oder durch welche Besonderheit im Software-Code ungebetener Zugang erlangt werden kann.
Das ist vor allem deshalb problematisch, weil die meisten Geräte ständig mit dem Internet verbunden sind. Dazu zählen der private Computer, das Smartphone, die Smartwatch, aber eben auch der Fernseher oder der Sprachassistent. Über das Internet führt dann auch meistens der „Einbruch“ bzw. der unautorisierte Zugang zu den persönlichen Daten. Ein Datendiebstahl kann aber auch physisch erfolgen, z. B. durch Einbruch und entwenden des Computers.
Festzuhalten ist: es kann schnell passiert sein und schon sind Passwörter des Online-Bankings gestohlen, wichtige Dokumente verloren oder private Fotos öffentlich.
IT Security ist im Privatbereich ein wichtiges Thema – dennoch sind die angewandten Mittel der IT-Security in diesem Bereich weniger ausgeprägt – sei es aufgrund von fehlendem Bewusstsein der nutzenden Personen oder auch aufgrund geringerer technischer Möglichkeiten.
Unternehmen und Organisationen
Geht es in Unternehmen um IT Security, stehen dabei natürlich hauptsächlich wirtschaftliche Interessen im Vordergrund. Die technische Umsetzung der IT-Security ist zwar meist besser als
im privaten Bereich, dafür ist aber die kriminelle Energie hinter möglichen IT-Angriffen bei weitem höher.
Man denke dabei an Banken und Versicherungen, die viel Geld verwalten. Oder technische High-Tech-Betriebe, die ihre Prototypen und Ideen vor der Konkurrenz sichern möchten.
Auch hier sind mittlerweile die IT-Systeme über das Internet verbunden. Ein Beispiel dafür wäre die Nutzung eines Cloud-Services von mehreren Firmenstandorten: Ein Cloud-Server stellt hier Speicherplatz für Dokumente zur Verfügung, die von allen Standorten aus über das Internet gelesen und bearbeitet werden können. Hier muss vor allem sichergestellt werden, dass nur befugte Personen auf diese Dokumente zugreifen können.
Große Unternehmen haben mittlerweile eigene Abteilungen, die sich nur mit der IT-Security beschäftigen und investieren viel Geld, um immer am neuesten Stand zu bleiben. Denn auch hier gilt: WIE ein IT-Angriff passiert, weiß man vorher nicht – deshalb muss hauptsächlich schnell reagiert werden können, WENN ein Angriff erfolgt.
Es gibt übrigens standardisierte Dokumente für IT-Security, sog. Grundschutz-Kataloge, die detailliert IT-Security Modelle vorstellen. Die IT entwickelt sich jedoch so schnell, dass die Befolgung dieser Kataloge alleine nicht ausreicht und sie teilweise schnell veraltet sind.
Merken
IT-Security ist ein Teilgebiet der Informationssicherheit und meint alle Schutzmaßnahmen in der Verarbeitung und Speicherung von Daten mit Hilfe von Systemen der Informationstechnik. Damit sind sowohl Computer als auch alle sonstigen Telekommunikationsmittel im privaten und unternehmerischen Umfeld miteingeschlossen.
IT-Security lässt sich auch in Teilgebieten definieren, die miteinander verknüpft sind:
Computersicherheit
Datenschutz
Datensicherung
Datensicherheit
Die Einsatzgebiete von IT-Security können dem privaten sowie unternehmerischen und dem öffentlichen Bereich zugeordnet werden. Da die meisten Geräte mit dem Internet verbunden sind, sind die Gefahren von IT-Angriffen und die Maßnahmen für IT-Security in allen Bereichen recht ähnlich – Unterschiede sind im persönlichen Bewusstsein und den technologischen Faktoren zu finden.
Gleich vorweg: IT-Security ist nicht gleich Informationssicherheit – obwohl oft beide Bezeichnungen gleich verwendet werden (vor allem wenn nicht genau vom Englischen in eine andere Sprache übersetzt wurde), gibt es einen feinen Unterschied, der Ihnen auch bei der Definition des Begriffs weiterhelfen wird.
Dieser Unterschied ist im Prinzip das „T“ im Namen – denn IT-Security steht für „Information Technology Security“, also eigentlich „Informationstechniksicherheit.“ Das klingt aber ziemlich sperrig deshalb bleibt man lieber bei „IT-Security“.
Definition
Informationssicherheit vs. IT-Security
Der Begriff Informationssicherheit meint Schutzmaßnahmen für ALLE Systeme, die in irgendeiner Art und Weise Informationen verarbeiten oder lagern. Dabei ist es egal, ob diese digital oder „analog“ sind. Damit ist also der Computer genauso gemeint wie ein Stapel handgeschriebener, vertraulicher Dokumente.
IT-Security ist ein Teilbereich der Informationssicherheit. Hier werden tatsächlich nur die Schutzmaßnahmen von sog. „soziotechnischen“ Systemen gemeint. Soziotechnische Systeme sind nichts anderes als Systeme, in denen der Mensch Informationstechnik verwendet, um Daten zu speichern und zu verarbeiten.
Informationstechnik wird laut Duden übrigens definiert als „Technik der Erfassung, Übermittlung, Verarbeitung und Speicherung von Informationen durch Computer und elekommunikationseinrichtungen.“
So weit so klar. Da heutzutage aber nur mehr in sehr wenigen Ausnahmesituationen überhaupt keine IT in irgendeiner Art und Weise verwendet wird, deckt die IT-Security einen sehr großen Teil der Informationssicherheit ab.
Ein Beispiel für eine IT-lose Anwendung von Informationssicherheit wäre vielleicht das mit Hand geschriebene Geheimrezept im Safe ihres Lieblings-Restaurants. Darum soll es in dieser Lerneinheit jedoch nicht gehen.
Der Begriff „IT-Security“ umfasst im Wesentlichen folgende vier Faktoren:
Die folgende Grafik macht den Zusammenhang aller gelernten Begriffe etwas verständlicher:
IT-Security macht einen Großteil der Informationssicherheit aus und besteht im Wesentlichen aus Computersicherheit und Datensicherheit. Datensicherheit ist dabei die Grundlage von erfolgreichem Datenschutz und Datensicherung.
Wichtig
Daten und Informationen
Jetzt haben Sie schon so oft die Begriffe „Daten“ und „Informationen“ gelesen, da möchten Sie doch
sicher auch den Unterschied wissen:
Das ist übrigens auch der Grundgedanke hinter Verschlüsselungen, egal ob diese am Computer oder mit der Hand vorgenommen werden. Man lässt Daten ohne Kontext, würfelt diese vielleicht sogar durcheinander. Nur jemand, der auch den Kontext versteht, versteht den Sinn der Ziffernfolge.
Für wen ist die Umsetzung von IT-Security nun wichtig?
Eigentlich für jede und jeden mit einem Computer – ob als Einzelperson oder in einer Organisation. Trotzdem hilft es, die Umsetzungsbereiche von IT-Security etwas präziser einzuordnen, auch, um später die Bedrohungen und entsprechenden Maßnahmen in das richtige Einsatzgebiet zuordnen zu können.
Im Wesentlichen unterscheidet man, ob Geräte und Daten privat oder innerhalb einer Organisation genutzt werden.
Privater Bereich: Dies betrifft Einzelpersonen und Geräte, die privat genutzt werden. Dazu gehört zum Beispiel Ihr eigener Laptop oder Ihr Smartphone. Ob Sie diesen öffentlich nutzen, also zum Beispiel im WLAN einer Universität ist dabei zweitrangig – wesentlich ist, dass Sie das Gerät zur Verwaltung Ihrer privaten Daten verwenden.
Unternehmen und Organisationen: Hier geht es um Geräte, mit denen auf die Daten von Unternehmen oder Organisationen zugegriffen werden kann – beispielsweise Firmenlaptops oder Firmentelefone. Damit sind sowohl wirtschaftliche Unternehmen als auch staatliche Betriebe und Organisationen gemeint – es geht um gemeinsam verwendete Daten, die einer Organisation gehören.
Welche Unterschiede gibt es nun konkret in diesen beiden Einsatzbereichen?
So gut wie jede Software hat immer in irgendeiner Art und Weise Programmierfehler. Das kann aufgrund von Ungenauigkeit aber auch ganz einfach aus Unwissenheit geschehen sein – denn niemand kann wissen, über welche „Hintertür“ oder durch welche Besonderheit im Software-Code ungebetener Zugang erlangt werden kann.
Das ist vor allem deshalb problematisch, weil die meisten Geräte ständig mit dem Internet verbunden sind. Dazu zählen der private Computer, das Smartphone, die Smartwatch, aber eben auch der Fernseher oder der Sprachassistent. Über das Internet führt dann auch meistens der „Einbruch“ bzw. der unautorisierte Zugang zu den persönlichen Daten. Ein Datendiebstahl kann aber auch physisch erfolgen, z. B. durch Einbruch und entwenden des Computers.
Festzuhalten ist: es kann schnell passiert sein und schon sind Passwörter des Online-Bankings gestohlen, wichtige Dokumente verloren oder private Fotos öffentlich.
IT Security ist im Privatbereich ein wichtiges Thema – dennoch sind die angewandten Mittel der IT-Security in diesem Bereich weniger ausgeprägt – sei es aufgrund von fehlendem Bewusstsein der nutzenden Personen oder auch aufgrund geringerer technischer Möglichkeiten.
Geht es in Unternehmen um IT Security, stehen dabei natürlich hauptsächlich wirtschaftliche Interessen im Vordergrund. Die technische Umsetzung der IT-Security ist zwar meist besser als
im privaten Bereich, dafür ist aber die kriminelle Energie hinter möglichen IT-Angriffen bei weitem höher.
Man denke dabei an Banken und Versicherungen, die viel Geld verwalten. Oder technische High-Tech-Betriebe, die ihre Prototypen und Ideen vor der Konkurrenz sichern möchten.
Auch hier sind mittlerweile die IT-Systeme über das Internet verbunden. Ein Beispiel dafür wäre die Nutzung eines Cloud-Services von mehreren Firmenstandorten: Ein Cloud-Server stellt hier Speicherplatz für Dokumente zur Verfügung, die von allen Standorten aus über das Internet gelesen und bearbeitet werden können. Hier muss vor allem sichergestellt werden, dass nur befugte Personen auf diese Dokumente zugreifen können.
Große Unternehmen haben mittlerweile eigene Abteilungen, die sich nur mit der IT-Security beschäftigen und investieren viel Geld, um immer am neuesten Stand zu bleiben. Denn auch hier gilt: WIE ein IT-Angriff passiert, weiß man vorher nicht – deshalb muss hauptsächlich schnell reagiert werden können, WENN ein Angriff erfolgt.
Es gibt übrigens standardisierte Dokumente für IT-Security, sog. Grundschutz-Kataloge, die detailliert IT-Security Modelle vorstellen. Die IT entwickelt sich jedoch so schnell, dass die Befolgung dieser Kataloge alleine nicht ausreicht und sie teilweise schnell veraltet sind.
Merken
IT-Security ist ein Teilgebiet der Informationssicherheit und meint alle Schutzmaßnahmen in der Verarbeitung und Speicherung von Daten mit Hilfe von Systemen der Informationstechnik. Damit sind sowohl Computer als auch alle sonstigen Telekommunikationsmittel im privaten und unternehmerischen Umfeld miteingeschlossen.
IT-Security lässt sich auch in Teilgebieten definieren, die miteinander verknüpft sind:
Die Einsatzgebiete von IT-Security können dem privaten sowie unternehmerischen und dem öffentlichen Bereich zugeordnet werden. Da die meisten Geräte mit dem Internet verbunden sind, sind die Gefahren von IT-Angriffen und die Maßnahmen für IT-Security in allen Bereichen recht ähnlich – Unterschiede sind im persönlichen Bewusstsein und den technologischen Faktoren zu finden.
-
Add a note