IT-Sicherheit

1. Begriff: Die IT-Sicherheit (IT-Security) bezieht sich auf die Gewährleistung von Sicherheit aller eingesetzten Informationstechniken bzw. -technologien (IT), d.h. aller Hardware- und Softwaresysteme bzw. aller Rechner- und Netzsysteme. Ziel ist die Sicherheit der Informationsverarbeitung und der Kommunikation, die korrekte Abläufe der Hardwareoperationen und der Software- bzw. Programmsysteme voraussetzt. Somit soll auch die Daten- bzw. die Informationssicherheit durch die IT-Sicherheit gegeben sein. Die IT-Sicherheit soll schließlich die Sicherheit bzw. Korrektheit aller Anwendungen gewährleisten, die durch IT unterstützt bzw. ausgeführt werden.

2. Problembereiche: So können Abläufe der IT-Anwendungen durch fehlerhafte Hardwarekomponenten wie z.B. Prozessoren und Speicher gestört werden und nicht korrekt verlaufen, aber auch durch Fehler in der Systemsoftware (Betriebssystem) oder in Anwendungsprogrammen durch logische und Syntaxfehler. Häufig treten auch Fehler in Netzsystemen auf, die durch Hardwarekomponenten, z.B. Kabel oder Router, oder durch die Netzwerksoftware verursacht werden können. Ein wichtiges Ziel der IT-Sicherheit ist die Sicherheit bzw. Korrektheit der Daten bzw. Informationen, die in den Anwendungssystemen verarbeitet werden.

3. Informations-/Datensicherheit: Bei der IT-Sicherheit denkt man meistens an die Informations- bzw. an die Datensicherheit. Denn Informationen bzw. Daten sind die eigentlichen „Rohstoffe“ der Informations- bzw. Datenverarbeitung und der Kommunikation (Informations- bzw. Datenübertragung). Die Informationen bzw. die Daten, die in einem IT-System verarbeitet, gespeichert und weitergeleitet bzw. übertragen werden, sollen schließlich gesichert werden, d.h. es soll verhindert werden, dass diese in nicht erlaubter Weise verändert (manipuliert), gelöscht, beschädigt oder kopiert werden. Auch soll verhindert werden, dass nicht berechtigte Personen Zugriff auf Daten bzw. Informationen haben.
Es lassen sich die beiden Aspekte „Data Safety“ und „Data Security“ unterscheiden, welche im Deutschen nur unzureichend übersetzt werden können. Der Begriff „Data Safety“ umfasst hierbei Maßnahmen zur Sicherung von Daten gegenüber Informations- und Datenverlusten z.B. durch das Anlegen und Speichern einer regelmäßigen Kopie (Backup) aller relevanten Daten, wohingegen der Begriff „Data Security“ eher die Absicherung des Zugangs zu Daten und Informationen durch Maßnahmen wie z.B. Verschlüsselung beschreibt.  Handelt es sich um personenbezogene Daten, so ist hierfür der Datenschutz (Data Privacy) verantwortlich.

4. Sicherheitsziele: Die wichtigsten IT-Sicherheitsziele sind die Verfügbarkeit, d.h. die Nutzbarkeit der informationstechnischen Ressourcen und vor allem der Daten, und die Integrität, d.h. vor allem die Korrektheit und Verständlichkeit der Daten (Datenintegrität). Weitere wichtige Ziele sind die Vertraulichkeit, d.h. keinen unbefugten Zugriff auf die Daten, und schließlich die Verbindlichkeit, d.h. die nachweisbare Zurechenbarkeit und Beweisbarkeit (Authentifizierbarkeit). Mit der Verbindlichkeitseigenschaft kann sowohl die Einhaltung gesetzlicher oder vertraglicher Anforderungen und damit Rechtsverbindlichkeit für IT-Systeme sichergestellt werden. Die Sicherheit von IT-Systemen ist vielfältigen Gefahren ausgesetzt, die eine Gewährleistung der definierten Sicherheitsziele negativ beeinflussen und zu materiellen wie immateriellen Schäden führen können. Bedrohungen und Gefährdungen nutzen Schwachstellen in Systemen, die zu Risiken führen. Mit den Ursachen, dem Erkennen und dem Abwehren von Risiken setzt sich das Risikomanagement auseinander, wobei hier das IT-Risikomanagement betrachtet wird, das aus der Risikoanalyse (Identifikation und Bewertung der Risiken), der Risikosteuerung und der Risikokontrolle besteht.
Die Bedeutung der IT-Sicherheit für den Betrieb aller IT-Anwendungssysteme kann gar nicht hoch genug eingeschätzt werden, da bereits schon geringe Störungen bzw. auch schon kleine Angriffe auf die IT-Infrastruktur hohe Kosten nach sich ziehen können. Ziel muss es somit sein, mittels Konzepten der IT-Sicherheit eine belastbare IT-Sicherheitsstruktur zu entwerfen, aus welcher sich konkrete Maßnahmen zur Gewährleistung der IT-Sicherheit ableiten lassen.

5. Maßnahmen: Zur Gewährleistung der Sicherheit in Organisationen bzw. Unternehmungen lassen sich unterschiedliche Maßnahmen ergreifen. Einerseits unterscheidet man primär technische Maßnahmen wie Firewall-Systeme und Antivirenprogramme, aber auch Verschlüsselungsprogramme (Kryptographie) und Maßnahmen zur Authentifizierung und Autorisierung. Andererseits lassen sich primär organisatorische Sicherheitsmaßnahmen aufstellen, d.h. sowohl aufbau- als auch ablauforganisatorische Maßnahmen, so dass gesicherte betriebliche Prozesse gestaltet werden. Viele Unternehmungen richten für diese Tätigkeiten, die die IT-Sicherheit gewährleisten sollen, die Stelle eines IT-Sicherheitsbeauftragten ein. Mit der Sicherheit personenbezogener Daten beschäftigt sich der Datenschutz (Data Privacy), für den die Datensicherheit bzw. IT-Sicherheit vorausgesetzt wird.

6. Anwendungsbeispiel: Da im Bankenbereich viele sehr sensible Informationen bzw. Daten vorhanden sind, vor allem personenbezogene Daten, spielt hier die IT-Sicherheit und die Datensicherheit bzw. der Datenschutz eine große Rolle. Ohne ein systematisch aufgebautes Sicherheitskonzept und ein IT-Risikomanagement ist eine Bank nicht arbeitsfähig. Viele Sicherheitsanforderungen sind auch gesetzlich geregelt. Das Gefährdungsspektrum reicht von einfachen Angriffen bis zu einem IT-Notfall, der besonders beachtet werden muss (IT-Notfallvorsorge) und für den ein Konzept vorliegen muss.
Besonders in Bezug auf Kommunikation und Datenübertragung im Bankenbereich über öffentliche Netze, wie z.B. beim Online-Banking, ergeben sich regelmäßig neue Sicherheitsbedrohungen, welchen durch geeignete Maßnahmen begegnet werden muss.