IT-Security – dieser Begriff ist zurzeit in aller Munde. Doch Profis nennen immer wieder einen weiteren Begriff im Zusammenhang mit der Unternehmenssicherheit: die Informationssicherheit. Sie meinen, dass dies dasselbe ist? Keineswegs. Wo genau die Unterschiede liegen, wie Sie Ihre sensiblen Daten schützen können, welche Richtlinien und Standards es gibt und warum ein externes Unternehmen Sie gerade hierbei unterstützen kann, erfahren Sie in unserem Experteninterview.

Eines der kompetentesten Unternehmen im Bereich der Informationssicherheit ist SIZ – das Informatikzentrum der Sparkassenorganisation. AXA hat mit Dr. Keye Moser, Spezialist für Informationssicherheits-Management-Systeme, ein Interview über dieses brisante und oft unterschätzte Thema geführt.

Herr Dr. Moser, worin liegt denn genau der Unterschied zwischen IT-Security und Informationssicherheit?

Bei der IT-Security liegt der Fokus auf der Systemsicherheit. Das bedeutet, dass die Berechtigungen und Zugriffe auf das System geregelt und reglementiert werden, der Server ausreichend gegen unberechtigte Zugriffe geschützt ist und ein Notkonzept für den Ausfall des Systems oder des Servers aufgestellt wird. Im Rahmen der Informationssicherheit geht es darum, dass Informationen und Daten, die im Unternehmen gespeichert sind, ausreichend geschützt werden. Im Zuge des Schutzkonzepts werden aus den Zielen und Vorgaben für die Informationssicherheit Maßnahmen für die IT-Security aufgestellt.

Wie kann so ein Schutzkonzept aussehen?

Bei einem ganzheitlichen Schutzkonzept gilt es, Schrittweise vorzugehen. Zuerst muss intern ein Verständnis für schutzbedürftige Daten aufgebaut werden – technische Baupläne eines neuen Produkts, auf denen die Zukunft des Unternehmens aufbaut, sind wichtiger und schutzbedürftiger als zum Beispiel der Schriftverkehr mit einem Lieferanten. Auf Basis dieser risikoorientierten Einschätzung wird eine Strategie zum Schutz entwickelt und umgesetzt. Ganz wichtig ist hierbei auch die Klärung der Zuständigkeiten. Ein Informationssicherheitsbeauftragter muss benannt werden – ob intern oder extern – der verantwortlich für die Einhaltung der Richtlinien ist und im schlimmsten Fall auch für Fehler gerade stehen muss. Ziele in der Informationssicherheit sind: die Vertraulichkeit (Daten dürfen nur von den autorisierten Benutzern gelesen oder verändert werden), die Verfügbarkeit (Zugriff auf die Daten muss jederzeit gewährleistet sein) und die Integrität (alle Änderungen an Daten müssen nachvollziehbar sein) zu gewährleisten.

Herr Dr. Moser, Sie haben soeben angesprochen, dass gewisse Aufgaben auch von externen Dienstleistern übernommen werden können – wie sieht das konkret aus?

Hier kommen Profis wie zum Beispiel das SIZ ins Spiel. Sicherheitsexperten verfügen über das notwendige Know-How, die ständige Aus- und Weiterbildung und jahrelange Praxis. Die gesamte Informationssicherheit einem eigenen Mitarbeiter zu überlassen, kann interne Ressourcen blockieren und das Risiko erhöhen. Nehmen wir das Beispiel des Datenschutzbeauftragten, den jedes größere Unternehmen stellen muss. Er ist dafür verantwortlich, dass die jeweils geltenden Bestimmungen zum Datenschutz eingehalten werden. Für diese Aufgabe ist ein großes Wissen in diesem Bereich Voraussetzung, dass bei einem externen Dienstleister klarerweise durch seine Spezialisierung vorhanden ist. Ein intern abgestellter Datenschutzbeauftragter muss sich erst eingehend mit dem Thema beschäftigen und sich laufend weiterbilden. Bei einem externen Datenschutzbeauftragten ist die exakte Ausführung der Pflichten gewährleistet. Dasselbe gilt auch für den Informationssicherheitsbeauftragten.

In welchen Bereichen können Sie Unternehmen unterstützen, die ihre Informationssicherheit intern stärken möchten?

Auch dafür haben wir Lösungen – zum Beispiel unser Produkt „Sicherer Datenschutz“, eine Management-Plattform für den Datenschutzbeauftragten. Dieses Online-Tool umfasst insbesondere gesetzliche Vorgaben, Muster-Workflows und Hilfsmittel. Damit stellt diese Plattform eine optimale Lösung zum Lernen, nachschlagen und bewerten der Situation dar. Anhand von verschiedensten Audits kann der Beauftragte überprüfen, ob er die vorgeschriebenen Anforderungen erfüllt.
Ein weiteres Produkt – auf das bereits über 450 Kunden vertrauen – ist „Sicherer IT-Betrieb“, ein ISO 27001-konformes Informationssicherheits- und IT-Risikomanagement. Dieses TÜV-zertifizierte Informationssicherheits-Managementssystem berücksichtigt alle sicherheitsrelevanten Aspekte, Standards und Regelungen, die für eine reibungslose Funktion der IT grundlegend sind.

Darüber hinaus bieten wir Schulungen zu vielfältigen Themen, externe Beratung, Checklisten, Nachschlagewerke und vieles mehr – all dies trägt zu einer besseren Informationssicherheit in Unternehmen bei. Im Bankenbereich verfügen wir über spezielle Kompetenzen bei der Unterstützung in bankfachlichen Angelegenheiten, Compliance Dienstleistungen und der IT-Revision.

Danke für dieses interessante Gespräch, Herr Dr. Moser!

Hier erfahren Sie mehr über die speziellen Leistungen des SIZ.

Das PLUS für Kunden von AXA

Kennen Sie eigentlich das Risikopotenzial Ihres Unternehmens in Bezug auf die IT-Sicherheit? Mit unserem Risiko-Check IT erhalten Sie einen genauen Überblick, in welchen Bereichen bei Ihnen die Risiken liegen und wie Sie sich dagegen absichern können.