Informationssicherheit dient der Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Informationen und Daten können dabei in unterschiedlicher Form vorliegen und auf unterschiedlichen Systemen gespeichert sein. Und sie sind nicht auf digitale Daten beschränkt.
Um das Ganze noch komplizierter zu machen: die Informationssicherheit sollte nicht mit der IT-Sicherheit verwechselt werde. Die IT-Sicherheit dient hauptsächlich dem Schutz von elektronisch gespeicherten Informationen, während die Informationssicherheit über die digitale Welt hinaus geht.
Warum haben wir gerade dieses Thema gewählt? Informationssicherheit ist insbesondere im Bereich von kritischer Infrastruktur wichtig. Und die Energieversorgung gehört nunmal zu den kritischen Infrastrukturen, beispielsweise im Kontext des Redispatch 2.0. Darauf gehen wir in einem der nächsten Beiträge nochmal genauer ein.
Was genau bedeutet nun die eingangs erwähnte Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten?
Die Sicherstellung der Vertraulichkeit von Daten heißt, dass nur autorisierte User Zugriff auf bestimmte Informationen bekommen. Sie können die Informationen lesen, weiterverarbeiten oder geändert abspeichern. Das Prinzip kennt fast jeder aus seinem Alltag: jede Abteilung hat andere Zugriffsberechtigungen für verschiedene Daten.
Die Sicherstellung der Integrität von Informationen bedeutet, dass ein unbemerktes Verändern von Daten verhindert wird. Jede Änderung muss nachvollziehbar sein. Kundenkontakte bzw. Logbucheinträge anlegen – das sind hier die Zauberwörter – bei jeder Änderung, die an jedweden Informationen vorgenommen werden.
Zählerstand wurde wegen Kundentelefonat geändert -> Kontakt anlegen
neue Adresse wurde hinterlegt -> Kontakt anlegen
Bankverbindung wurde geändert -> Kontakt anlegen
Die Sicherstellung der Verfügbarkeit von Informationen ermöglicht den Zugriff in vorher (vertraglich) zugesicherter Art und Weise und soll Ausfälle von Systemen verhindern.
Mögliche Bedrohungen für die Sicherheit von Informationen
Informationen sind unterschiedlichen Bedrohungen ausgesetzt, dazu zählen beispielsweise:
- Hackerangriffe auf Server, Computer oder Netzwerke
- Unbefugter Zugriff auf Daten
- Unbefugte Entschlüsselung von Daten
- Sabotage
- Spionage
- Vandalismus
- Naturgewalten wie Katastrophen durch Überschwemmung, Feuer und Sturm
Die Rahmenbedingungen der Informationssicherheit kurz im Überblick:
- IT-Grundschutzkompendium vom BSI
- IT-Sicherheitsgesetz
- BSI-Kritisverordnung
- IT-Sicherheitskataloge
- Branchenspezifische Sicherheitsstandards
- Meldepflichten
- UP KRITIS
- International gültige ISO/IEC-27000-Reihe
Auf all diese weiteren Faktoren rund um Informationssicherheit gehen wir in weiteren Beiträgen ein.