Definition Informationsschutz Was ist Informationsschutz?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Unter dem Begriff Informationsschutz sind organisatorische und technische Maßnahmen zusammengefasst, um sensible Informationen zu schützen. Die Maßnahmen betreffen sowohl digital als auch analog vorliegende Informationen. Es kann sich beispielsweise um Dateien, Papierdokumente oder verbale Informationen und Know-how handeln. Schutzziele sind die Sicherstellung der Vertraulichkeit und das Verhindern von Manipulation oder unerwünschtem Informationsabfluss.

Firmen zum Thema

Informationsschutz hat den Schutz jeglicher Art sensibler Informationen vor Manipulation, Informationsabfluss und Verlust der Vertraulichkeit zum Ziel.
Informationsschutz hat den Schutz jeglicher Art sensibler Informationen vor Manipulation, Informationsabfluss und Verlust der Vertraulichkeit zum Ziel.
(Bild: gemeinfrei / Pixabay )

Der Begriff Informationsschutz fasst alle Maßnahmen zusammen, die dem Schutz der in verschiedenen digitalen oder analogen Formen vorliegenden Informationen eines Unternehmens oder einer anderen Organisation dienen. Die Schutzziele sind das Verhindern von Manipulationen oder von unerwünschten Abfließen sensibler Informationen und die Sicherstellung der Vertraulichkeit. Die Maßnahmen des Informationsschutzes tragen damit zur Informationssicherheit in einer Organisation bei. Je nach Wichtigkeit und Sensibilität der Informationen sind unterschiedliche Maßnahmen vorzusehen. Die Maßnahmen sind organisatorischer oder technischer Art und betreffen die Informationen selbst, Systeme zur Speicherung und Verarbeitung der Informationen, Mitarbeiter, Kunden, Lieferanten oder Geschäftspartner.

Der gesamte Lebenszyklus der Informationen und alle Informationsprozesse sind zu berücksichtigen. Bei den zu schützenden Informationen kann es sich beispielsweise um in Dateiform vorliegende digitale Informationen wie Konstruktionszeichnungen, Kundendatenbanken oder Produktionspläne, um Dokumente in Papierform wie Verträge oder Rechnungen, um verbal geäußerte Informationen oder um spezielles Wissen, Strategien oder Know-how handeln. Mögliche Gefahren sind Spionage durch die Konkurrenz, Diebstahl, Hackerangriffe, unbeabsichtigtes Löschen, Zerstörung durch externe Einflüsse wie Feuer, Wasser oder Naturkatastrophen oder technische Probleme und Störungen. Die Schutzmaßnahmen können sich an internationalen Normen oder Richtlinien orientieren wie der Normenreihe ISO/IEC-27000 oder dem Regelwerk für den IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik), sind aber individuell für jede Organisation und abhängig von den zu schützenden Informationen zu definieren. Grundsätzlich fallen der Informationsschutz und die Informationssicherheit in den Verantwortungsbereich der oberen Führungsebene und des Managements einer Organisation. Die Erarbeitung des Konzepts und die operative Umsetzung des Informationsschutzes wird in der Regel an die fachlich zuständigen Stellen delegiert.

Mögliche Maßnahmen des Informationsschutzes

Grundsätzlich lassen sich die Maßnahmen des Informationsschutzes in technische und nichttechnische Maßnahmen unterteilen. Zu den technischen Maßnahmen zählen beispielsweise physischer Zugangsschutz zu Räumlichkeiten, Informationsablagen oder IT-Systemen, Verschlüsselung der Daten, Datensicherungen, Authentifizierung und Autorisierung, eingeschränkte Benutzerkonten, Dateizugriffskontrollen, Nutzung von Firewalls oder IDS- und IPS (Intrusion Detection Intrusion Prevention Systeme), Nutzung von Anti-Viren-Software, Nutzung von Sandboxing-Konzepten, Einführung eines Phishing-Schutzes und vieles mehr.

Zu den nichttechnischen und organisatorischen Maßnahmen zählen die Schulung und Sensibilisierung der Mitarbeiter, das Aufstellen von Verhaltensrichtlinien, das Schaffen von Vertrauensstrukturen, das Einführen eines Meldewesens für Verstöße gegen den Informationsschutz und mehr.

Schritte zur Umsetzung eines Informationsschutzkonzeptes

Das Erstellen und das Umsetzen eines Informationsschutzkonzeptes erfordert ein strukturiertes Vorgehen. Möglich Einzelschritte sind:

  • Bestandsaufnahme der in den verschiedenen Formen vorliegenden Informationen
  • Erfassen möglicher Schäden oder Konsequenzen durch Verlust der Vertraulichkeit, Manipulation oder unerwünschtem Informationsabfluss
  • Klassifizierung der Informationen hinsichtlich ihrer Sensibilität, Wichtigkeit und ihres Schadenspotenzials
  • Analyse möglicher Risiken und Gefahren für die Informationen
  • Erfassen der am Informationsfluss beteiligten und zu schützenden Prozesse, Systeme und Personen
  • Aufstellen und Beschreiben der technischen und nichttechnischen Maßnahmen zum Schutz der Informationen

(ID:47386142)

Über den Autor