Bild lesend mit Buch

In diesem Beitrag möchten wir der Frage nachgehen, was unter dem abstrakten Begriff „Informationssicherheit“ verstanden werden kann.

Informationssicherheit beschreibt ganz komprimiert formuliert die Bestrebungen Informationen zu schützen, indem man Risiken reduziert, vermeidet, transferiert oder akzeptiert. Fangen wir mit einer grundlegenden Fragestellung an.

Was ist Information?

Ein häufig genutztes Modell ist die sogenannte “DIKW Pyramide”. DIKW steht für Daten, Informationen, Knowledge (Wissen) und Wisdom (Weisheit).

             _                     
            / \
           /   \
          /     \
         /       \
        / wisdom  \
       /___________\
      /  knowledge  \
     /_______________\
    /   information   \
   /___________________\
  /        data         \
 /_______________________\

Es handelt sich um ein Modell, welches beschreibt, dass aus Daten Informationen entstehen können, aus Informationen Wissen entstehen und aus Wissen Weisheit entstehen kann.

Vielleicht ist es weniger abstrakt, wenn man sich als Beispiel eine Sprache vorstellt. Aus einem Satz an Zeichen, beispielsweise einem Alphabet, lassen sich Worte bilden. Aus Daten werden Informationen. Aus diesen Worten lassen sich wiederum Sätze bilden. Aus Informationen wird Wissen. Aus Sätzen lassen sich Bücher, Aufsätze oder Gedichte erstellen. Aus Wissen wird wieder etwas “mehr”. Dieses “mehr” wird im Modell als Weisheit beschrieben.

Im Alltag können Informationen komplexe Datenaustauschverfahren zwischen zwei Handelspartnern sein, Notizen auf “Schmierzetteln” oder eine Datenbank mit Kochrezepten sein.

Wo ist Information?

Im Kontext der Informationssicherheit ist man bestrebt, Informationen zu schützen. Nun hat man ein erstes Verständnis von Informationen. Im nächsten Schritt muss man herausfinden, wo sich diese Informationen überall befinden.

Im Laufe der Zeit haben wir uns von einer Gesellschaft mit wenigen Schriftgelehrten und damit verbunden, wenigen zentralisierten Aufzeichnungsorten zu einer Gesellschaft mit einer beachtlichen Quote and Lesenden und Schreibenden Personen gewandelt. Zudem hat sich die Art der Kommunikationsmittel und Kommunikationsverfahren durch die Technologie gewandelt. Früher mussten Aufzeichnungen in Tontäfelchen gedrückt werden und heute werden fast beliebig große Mengen an Informationen in verschiedensten Formen (Schrift, Ton, Bild) auf Kopfdruck multipliziert und können über den gesamten Planeten hinweg rasend schnell verteilt werden.

Die digitale Organisation

Informationen befinden sich in elektronischer und in physischer Form an verschiedensten Stellen einer Organisation. Im Zuge der Digitalisierung verbergen sich mittlerweile Informationen nicht nur in Aktenordern sondern vornehmlich in Anwendungssystemen - gerne auch “IT-Systeme” also “InformationsTechnologie-Systeme” genannt. Zudem können Informationen auch in den Köpfen von Beschäftigten gespeichert sein oder sich implizit in Prozessen verbergen. Vielleicht wird eine bestimmte Abfolge von Tätigkeiten in einem Prozess benötigt um ein korrektes Ergebnis zu erhalten. Ist dieser Prozess nicht formell beschrieben, handelt es sich um implizite Informationen, die sich im ablaufenden Proezss verbergen (“implizites Prozesswissen”).

Die Informationen in einer Organisation werden natürlich nicht nur gespeichert. Sie werden gesammelt, verarbeitet, gegenüber Dritten preisgegeben, verändert oder auch gelöscht. Wenn man darüber nachdenkt ist der Zugriff auf Informationen, beziehungsweise eine Regelung des Zugriffs auf Informationen, sehr wichtig für den Schutz von Informationen. Es soll schließlich nicht jede Personen in einer Organisation Lese- oder gar Schreib-Rechte auf die Lohnbuchhaltungs-Informationen besitzen.

Was ist Informationssicherheit?

Im Kern geht es bei der Informationssicherheit also darum, die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen in einer Organisation zu schützen. Dabei gilt es, herauszufinden welche Informationen sich an welchen Stellen in der Organisation befinden und in wie Fern Risiken hinsichtlich dieser Informationen bestehen. Diese Risiken müssen eingeschätzt und behandelt werden. In den meisten Fällen wird man Maßnahmen ergreifen, die den Schutz der Informationen verbessern sollen, sprich: die Risiken, die mit den Informationen verbunden sind auf ein handhabbares Maß verringern.

Auch hier existieren strukturierte Vorgehensweisen um an das Ziel zu kommen. Vielleicht ist die ISO 27000 - Normfamilie ein Begriff. Sie beschäftigt sich mit Managementystemen für Informationssicherheit.