Was sind Informations- und Cybersicherheit und wie können sie Ihr Unternehmen schützen?

Unternehmen von heute müssen auf Bedrohungen durch Cyberangriffe und Datenpannen vorbereitet sein. Jedes Gewerbe, jedes Unternehmen und jede ähnliche Einrichtung bemüht sich, einen Angriff oder eine Störung und die daraus resultierenden weitreichenden Folgen zu verhindern. Diese Folgen schließen finanzielle Verluste, negative Auswirkungen auf den Betrieb und die Compliance-Einhaltung sowie eine langfristige Schädigung der Reputation ein. Jeder dieser Faktoren könnte einem Unternehmen Aufträge kosten und ihm einen Wettbewerbsnachteil bescheren. In ihrem White Paper berichtet IDC Research, dass die „durchschnittlichen Kosten von Ausfallzeiten 200.000 Dollar pro Stunde übersteigen“.¹

Was können Sie tun, um Ihr Unternehmen vor Cyberangriffen und Datenpannen zu schützen? Welche Tools können Sie nutzen, um die Resilienz Ihres Unternehmens zu erhöhen und Ihre Chancen zu verbessern, Cyberangriffe und Datenpannen zu vermeiden? Wie können Sie Schäden begrenzen und die Wiederherstellungszeit verkürzen? Informations- und Cybersicherheit sind zwei Tools, die Ihnen helfen können, Ihr Unternehmen vor Hackern zu schützen, die Ihnen Schaden zufügen wollen.

Was ist Informationssicherheit (Information Security)?

Techopedia weist darauf hin, dass Informationssicherheit (InfoSec), manchmal auch als IS abgekürzt oder Datensicherheit (Data Security) genannt, dazu dient, „die Vertraulichkeit, Integrität und Verfügbarkeit von Computersystemdaten vor Personen mit böswilligen Absichten zu schützen“.² Dabei geht es darum, Daten zu sichern und unbefugten Zugriff oder ähnliche Veränderungen zu verhindern, wenn die Daten gespeichert oder von einem Gerät auf ein anderes bewegt werden. 

Das SANS Institute schlägt eine umfassendere Definition vor. Es definiert InfoSec als „die Prozesse und Methoden, die entwickelt und implementiert werden, um gedruckte, elektronische oder jede andere Form von vertraulichen, privaten und sensiblen Informationen oder Daten vor unbefugtem Zugriff, unbefugter Verwendung, unsachgemäßem Gebrauch, Offenlegung, Zerstörung, Veränderung oder Störung zu schützen“.³

Das National Institute of Standards and Technology (NIST) definiert InfoSec kurz als „Schutz von Informationssystemen vor unbefugtem Zugriff auf oder Änderung von Informationen“.⁴ Das NIST baut jedoch auf dieser kurzen Definition auf und erweitert sie auf den Schutz von Informationen „bei der Speicherung, Verarbeitung oder Übertragung und gegen die Verweigerung von Services für berechtigte Nutzer“. Die erweiterte Definition [schließt] Maßnahmen [ein], „die erforderlich sind, um solche Bedrohungen zu erkennen, zu dokumentieren und zu bekämpfen“.⁴

Was ist Cybersicherheit (Cybersecurity)?

Techopedia bezeichnet Cybersicherheit als „präventive Methoden zum Schutz von Informationen gegen Diebstahl, Beeinträchtigung oder Angriffen, [die] ein Verständnis potenzieller Informationsbedrohungen wie Viren und anderen schädlichen Codes [erfordern]“.⁵ NIST definiert Cybersicherheit als „die Fähigkeit, die Nutzung des Cyberspaces vor Cyberangriffen zu schützen oder zu verteidigen“.⁴  Security Scorecard vereinfacht die NIST-Definition: „Cybersicherheit bezieht sich auf die Verhinderung von äußeren Angriffen gegen eine Organisation, [und sie ist] der Rahmen für den Schutz und die Sicherung von allem, was anfällig ist. Sie schützt also vor [technologiespezifischen] Hacks, Angriffen oder unbefugtem Zugriff“.⁶

Zu den Strategien und Tools, die im Bereich der Cybersicherheit eingesetzt werden, gehören die folgenden Beispiele:

• Identity und Access Management

• Risk Management

• Incident Management

• Antivirus und Antimalware Software

• Software Patches

• Firewalls

• Zwei-Faktor-Authentifizierung

• Encryption

Aufgrund der kritischen Natur der Cybersicherheit ist es für ein Unternehmen unerlässlich, einen umfassenden Cybersicherheitsplan zu erstellen. Viele Unternehmen setzen das umfassende Fachwissen eines eigenen Chief Security Officers (CSO) oder Chief Information Security Officers (CISO) voraus, um den Betrieb zu verantworten.

InfoSec im Vergleich mit Cybersecurity

Die Begriffe InfoSec und Cybersecurity sind leicht als Synonyme für Cyberresilienz zu verstehen. Beide Konzepte umfassen den Schutz von Informationen, das Management und die Abschwächung von Risiken und Störfällen sowie die Verringerung der Auswirkungen, die ein Störfall mit sich bringen würde. 

Sie sind jedoch nicht austauschbar. Es bestehen klare Unterscheidungen zwischen den beiden Begriffen, die darin liegen, wie die Daten gespeichert werden oder welche Form die Daten haben.

InfoSec befasst sich in erster Linie mit der Sicherung von Daten, unabhängig davon, ob es sich um digitale oder analoge Daten handelt. Das Konzept von InfoSec lässt sich im Grunde genauso gut auf den Schutz des Inhalts Ihres privaten Tresors anwenden wie auf den Schutz aller digitalen Daten Ihres Unternehmens. Eine Firewall ist für InfoSec wichtig. Ebenso wichtig sind aber auch Methoden zum Schutz physischer Werte, wie z. B. Sicherheitspersonal und verschließbare Türen oder ähnliche Maßnahmen, die den Zugriff auf bestimmte Bereiche auf diejenigen Mitarbeiter beschränken, die diesen benötigen.

SecurityScorecard weist darauf hin, dass „Cybersicherheit [sich] ausschließlich auf den Schutz von Daten bezieht, die in digitaler Form vorliegen, einschließlich digitaler Informationen, Systeme und Netzwerke“.⁶ Die Tatsache, dass sich die Cybersicherheit ausschließlich auf digitale Daten bezieht, hilft dabei, sie von InfoSec zu unterscheiden.

Auf der CSO-Website wird der Unterschied zwischen InfoSec und Cybersicherheit anders erklärt: „Cybersicherheit ist die umfassendere Praxis des Schutzes von IT-Ressourcen vor Angriffen und Informationssicherheit ist eine spezifische Disziplin unter dem Oberbegriff Cybersicherheit“.⁷ CSO erweitert dieses Konzept und weist darauf hin, dass „Netzwerksicherheit und Anwendungssicherheit Schwesterverfahren von InfoSec sind, die sich auf Netzwerke bzw. App Code konzentrieren“.⁷

Anwendung von InfoSec für die Sicherheit von Rechenzentren

Wenn es um die praktischen Anwendungen von InfoSec geht, ist es ratsam, die Sicherheit von Rechenzentren in Betracht ziehen, unabhängig davon, ob sie von einem Unternehmen direkt oder von einem Cloud-Service-Anbieter verwaltet werden. Rechenzentren sind sehr komplex. Sie erfordern sowohl physische Sicherheit als auch Softwaresicherheit oder virtuelle Sicherheit. Das Design, die Anordnung und der Standort des Gebäudes, in dem sich das Rechenzentrum befindet, werden häufig in die Strategien für die physische Sicherheit einbezogen. Dazu gehört auch, dass das Rechenzentrum an keiner Hauptverkehrsstraße liegt und Pufferzonen um das Rechenzentrum eingerichtet werden. Weitere Techniken und Tools zur Optimierung der physischen Sicherheit eines Rechenzentrums sind u. a. die folgenden:

• Sicherheitspersonal, Überwachungkameras und Alarmsysteme

• Zwei-Faktor-Authentifizierung, persönliche PIV (Personal Identity Verification) und persönliche Passcodes

• Badge Readers und biometrische Systeme, wie Fingerabdruckleser, Gesichtserkennungssoftware und Iris-Scanner

Neben dem Schutz vor unbefugtem Zugriff kann die physische Sicherheit auch dazu dienen, Schäden am Rechenzentrum infolge einer Katastrophe oder einer ähnlichen Störung zu verhindern. Wenn beispielsweise ein massiver Stromausfall auftritt und die Stromversorgung nicht schnell wiederhergestellt wird, kann es schwierig sein, eine angemessene Kühlung für alle Server des Rechenzentrums herzustellen. Dies kann zu Schäden an den Servern führen. Der Einsatz von Redundanzsystemen, wie z. B. zusätzliche Stromversorgungen und Kühlsysteme, die mit weniger Strom länger laufen, hilft jedoch, Schäden zu vermeiden und die Integrität der Server zu gewährleisten.

Während bei der physischen Sicherheit verschiedenste Tools und Techniken eingesetzt werden, um die Sicherheit eines Rechenzentrums und seiner Daten zu gewährleisten, kommen bei den Prozessen der Softwaresicherheit digitale Tools und Techniken zum Einsatz. Diese digitalen Tools und Techniken verhindern den unbefugten Zugriff auf das Netz des Rechenzentrums. Dazu gehört alles, was das Rechenzentrum beschädigen oder zu Diebstahl von oder unbefugtem Zugriff auf Daten führen könnte. Tools für das Security Information und Event Management (SIEM) helfen bei der Beaufsichtigung und Verwaltung des Rechenzentrums in Echtzeit. SIEM kann verwendet werden, um den Zugriff auf verschiedene Teile des Rechenzentrums und seine Daten sowie Alarmsysteme und Sensoren zu kontrollieren.

Bevor irgendetwas im Netzwerk des Rechenzentrums bereitgestellt wird, muss gescannt und bewertet werden, ob diese Bereitstellung die Integrität des Netzwerks des Rechenzentrums gefährdet. Diese Scans suchen in der Regel nach Malware oder ähnlich schädlicher Software oder schädlichem Code.

Was sind die zentralen Bestandteile von InfoSec?

Die sogenannte CIA-Triade wurde erstmals 1977 in einer NIST-Veröffentlichung erwähnt. Sie besteht aus den zentralen Bestandteilen, die das Herzstück von InfoSec bilden.⁸ Diese drei Prinzipien sind: 

• Vertraulichkeit

• Integrität

• Verfügbarkeit

Was ist Vertraulichkeit?

Vertraulichkeit ist zweifellos das Element, das am meisten mit InfoSec in Verbindung gebracht wird. Sie bezieht sich auf den Schutz der Privatsphäre und die Aufrechterhaltung autorisierter Beschränkungen für die Offenlegung und den Zugriff auf Daten, Informationen, Software oder dergleichen. CSO weist darauf hin, dass Ihre IT-Sicherheit zur Wahrung der Vertraulichkeit „in der Lage sein muss, zu erkennen, wer versucht, auf Daten zuzugreifen, und die Versuche von Unbefugten zu blockieren“.⁷ Zu den Tools, die Ihre Cyberresilienz erhöhen und die Vertraulichkeit Ihrer Daten gewährleisten, gehören:

• Ein-Faktor-Authentifizierung (SFA), Zwei-Faktor-Authentifizierung (2FA), Multi-Faktor-Authentifizierung (MFA) und andere ähnliche Arten der Authentifizierung

• Kennwortbasierte Authentifizierung, die am häufigsten verwendete Art der Authentifizierung

• Symmetrische und asymmetrische Verschlüsselung

• Produkte und Services für das Identitäts- und Zugriffsmanagement

Was ist Integrität?

Integrität bezieht sich auf die Aufrechterhaltung der Homöostase Ihrer Daten und den Schutz vor unsachgemäßer oder unbefugter Änderung oder Zerstörung. Viele der Tools und Praktiken zur Gewährleistung der Vertraulichkeit von Daten sind identisch mit den Praktiken, die zum Schutz der Integrität Ihrer Daten eingesetzt werden.

Zu den Tools, die Ihre Cyberresilienz erhöhen und zur Gewährleistung der Datenintegrität beitragen, gehören:

• Alphanumerische Werte wie Prüfsummen oder Hashes. Sie stellen den Inhalt einer Datei eindeutig dar und werden häufig zur Überprüfung der Integrität einer Datei verwendet. Dazu gehört beispielsweise ein Datei-Installationsprogramm, das von einer externen Website heruntergeladen wurde.

• VCS (Version Control Systems) helfen den Nutzern, den Verlauf ihrer Dateien zu verfolgen. Dazu gehört auch, welche Änderungen an ihren Dateien vorgenommen und wann diese Änderungen vorgenommen wurden.

  • Git ist ein Beispiel für ein VCS und GitHub ist eine Website, die Projekte mit Git hostet.

• Häufige Datensicherungen tragen dazu bei, dass Ihre Daten auf dem neuesten Stand wiederhergestellt werden.
  • In Verbindung mit Datensicherungen und der Festlegung von Zielen für die RTO (Recovery Time Objectives) und die RPO (Recovery Point Objectives) wird sichergestellt, dass der Wiederherstellungsprozess im Falle einer Störung wesentlich effizienter verläuft.

• Ein Cyber-Vault schützt Ihre kritischen Daten vor schädlichen Cyberbedrohungen. Cyber-Vaults fungieren als sicherheitsrelevante, isolierte Vaults mit unveränderlichem Speicher. Analytische Scans überwachen Ihre Daten und erkennen potenzielle Bedrohungen, einen unbefugten Zugriff oder ähnliche Probleme. Als Lösung für die Wiederherstellung von Cyberdaten sorgen Cyber-Vaults dafür, dass Ihre Daten sauber, geschützt und zugänglich sind, wenn Sie diese wiederherstellen müssen.

SecurityScorecard weist darauf hin, dass Sie durch die Wahrung der Integrität „die Unabstreitbarkeit (Non-Repudiation) von Informationen und die Authentizität [Ihrer Daten]“ sicherstellen.5 CSO vertritt einen ähnlichen Standpunkt und definiert Unabstreitbarkeit (Non-Repudiation) als „die Möglichkeit, die Integrität der Daten insbesondere in juristischen Kontexten beweisen [zu können]“.⁷

Was ist Verfügbarkeit?

Während die Integrität viele Ähnlichkeiten mit der Vertraulichkeit aufweist, ist die Verfügbarkeit ein nahezu perfektes Spiegelbild der Vertraulichkeit. Der Hauptunterschied besteht darin, dass sich das Konzept der Integrität darauf bezieht, auf welche Daten unberechtigte Nutzer keinen Zugriff haben sollten. Das Konzept der Verfügbarkeit bezieht sich darauf, welche Daten berechtigten Nutzern zugänglich sein sollten.

Eine Möglichkeit, die Zugänglichkeit Ihrer Daten zu gewährleisten, besteht darin, die richtigen Berechtigungen zu bestimmen. CSO vertritt die Ansicht, dass Sie die Datenverfügbarkeit sicherstellen können, indem Sie „die Netzwerk- und Computerressourcen an das zu erwartende Datenzugriffsvolumen anpassen und eine gute Sicherungsrichtlinie für die Wiederherstellung nach einem Katastrophenfall umsetzen“.⁷

Die Sicherstellung der Vertraulichkeit und der Verfügbarkeit Ihrer Daten ist ein Balanceakt, den viele Unternehmen nur schwer bewältigen können. Wie bei der Integrität sollten Sie einen regelmäßigen Zeitplan für die Replikation und Sicherung Ihrer Dateien erstellen. Diese Prozesse tragen dazu bei, Ihre Disaster Recovery zu rationalisieren und eine schnelle Wiederherstellung zu gewährleisten. Um die Datenverfügbarkeit zu gewährleisten, sollten „Sie nicht nur Ihre Dateien regelmäßig sichern, sondern auch die Netzwerk- und Computerressourcen an das zu erwartende Datenvolumen [anpassen]“, so CSO.⁷

Was ist Disaster Recovery as a Service?

Disaster Recovery as a Service (DRaaS) ist eine wichtige Komponente der Verfügbarkeit. Sie stellt sicher, dass Sie entweder immer Zugriff auf Ihre Daten, IT-Ressourcen und Anwendungen haben oder dass diese, wenn sie nicht sofort verfügbar sind, schnell wieder verfügbar machen. 

Gartner stellt in seinem Market Guide for Disaster Recovery as a Service fest, dass „DRaaS eine hervorragende Option für Infrastruktur- und Operations-Führungskräften ist, welche die IT-Ausfallsicherheit kostengünstig verbessern, Compliance- oder gesetzliche Anforderungen erfüllen und Ressourcenmängel beheben wollen“.⁹

Techopedia definiert DRaaS als „ein Cloud-Computing- und Backup-Service-Modell, das Cloud-Ressourcen zum Schutz von Anwendungen und Daten nutzt und [als zweite Infrastruktur fungiert, die] einem Unternehmen einen vollständiges Sicherungsservice bietet, der die Business Continuity im Falle eines Systemausfalls ermöglicht“.¹⁰

IBM weist darauf hin, dass DRaaS „eine kontinuierliche Replikation von kritischen Anwendungen und Infrastrukturen, sowie Daten und Systemen für eine schnelle Wiederherstellung nach einem IT-Ausfall bietet [und] die folgenden Features umfasst:

• Zuverlässige, verifizierbare, konsistente [RTOs] in Minuten und [RPOs] in Sekunden

• Kundenspezifische Lösungsarchitekturen [einschließlich] Private, Public und Hybrid Cloud-, Datenträger- und Bandkombinationen“¹¹

IBM weist auch darauf hin, dass DRaaS „die Widerstandsfähigkeit von Unternehmen unterstützt“¹⁰ und „umfassende Disaster Recovery Services bietet, darunter Disaster Recovery Orchestration Processes, Disaster Recovery Health Monitoring [und] fortlaufende Replikation von Anwendungen, Infrastruktur, Daten und Cloud-Systemen“.¹²

„DRaaS ist oft paarweise mit einem Disaster Recovery Plan (DRP) oder einem Business Continuity Plan (BCP) verbunden“.¹⁰ Wenn DRaaS ordnungsgemäß funktioniert, sollten Unternehmen in der Lage sein, ihre täglichen Prozesse - trotz Störungen oder notwendigen Reparaturen - fortzusetzen, indem sie diese auf virtuellen Maschinen (VMs) ausführen.

Gartner weist darauf hin, dass der DRaaS-Anbieter „den Service als vollständig verwaltetes Angebot, als unterstütztes Recovery-Angebot oder als Software-as-a-Service-Modell (SaaS) anbieten kann“.⁹ Der Service DRaaS sollte „als eigenständiges, industrialisiertes Angebot vermarktet und verkauft werden und [mindestens] die folgenden Funktionen umfassen“:

• On-Demand Recover Cloud bei geplanten Übungen und Ankündigungen
• Server Images und Replikation von Produktionsdaten in die Cloud
• Automatisiertes Failover und Failback zwischen On-Prem und Cloud
• Recovery Time Service-Level Agreements (SLAs)⁹
  

Ressourcen

1. Five Key Technologies for Enabling a Cyber-Resilience Framework [Fünf Schlüsseltechnologien zur Schaffung eines Rahmens für die Widerstandsfähigkeit gegen Cyberangriffe], ITC. Oktober 2020. 
2. Information Security (IS) [Informationssicherheit], Techopedia
3. Information Security Resources [Informationssicherheitsressourcen], SANS
4. Glossary of Key Information and Security Terms [Glossar der wichtigsten Informationen und Sicherheitsbegriffe], NIST, Mai 2013
5. Cybersecurity [Cybersicherheit], Techopedia
6. The Difference Between Cybersecurity and Information Security [Der Unterschied zwischen Cybersicherheit und Informationssicherheit], SecurityScorecard, 4. Mai 2020
7. What is information security? [Was ist Informationssicherheit?] Definition, principles, and jobs [Definition, Prinzipien und Jobs], CSO, 17. Januar 2020
8. Post-processing audit tools and techniques [Audit-Tools und Techniken für die Nachbearbeitung], U.S. Department of Commerce, National Bureau of Standards, Oktober 1977
9. Market Guide for Disaster Recovery as a Service (DRaaS) [Marktleitfaden für Disaster Recovery nach einem Stör-/Katastrophenfall], Gartner, 25. Juni 2020
10. Disaster Recovery as a Service (DRaaS), Techopedia
11. Disaster recovery, IBM
12. DRaaS hybrid platform recovery, Kyndryl