Wahllexikon

Wir liefern Erklärungen und Hintergrundinformationen zu Wahlen, Wahlrecht und digitaler Demokratie

IT-Sicherheit

Unter IT-Sicherheit versteht man die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme. Der Begriff IT-Sicherheit umfasst alle technologischen Maßnahmen zur Verhinderung oder Verringerung des Gefahrenpotenzials für IT-Anwendungen. Die Aufgabe der IT-Sicherheit ist es, Daten und Werte von Personen oder Unternehmen vor missbräuchlichem Zugriff und missbräuchlicher Entwendung und Verwendung (z.B. Hacker, Cyber-Kriminalität, Betrug) zu schützen.

Drei Schutzziele der IT-Sicherheit

Die drei wesentlichen (Teil-)Schutzziele der IT-Sicherheit sind die Vertraulichkeit (englisch: confidentiality), die Integrität (englisch: integrity) und die Verfügbarkeit (englisch: availability). Der Grad der Erfüllung von IT-Sicherheit kann als solches nicht gemessen werden, sondern die Definition der Stärke der IT-Sicherheit erfolgt über die Messung des Erfüllungsgrades dieser drei Teilziele:

1. Vertraulichkeit
Daten, Informationen oder Ressourcen werden vor Unbefugten gesichert. Vertraulichkeit ist also dann gegeben, wenn die geschützten Daten nur von den Berechtigten abgerufen werden können.

2. Integrität
Die Unversehrtheit der Daten, Informationen und Ressourcen wird sichergestellt. Integrität ist daher also dann gegeben, wenn geschützte Daten nicht unautorisiert verändert werden können.

3. Verfügbarkeit
Die gewünschte Nutzung eines IT-Systems ist jedem autorisierten Nutzer möglich. Verfügbarkeit ist daher also dann gegeben, wenn autorisierte Nutzer ihre Berechtigungen störungsfrei wahrnehmen können.

Sicherheitsmaßnahmen der IT-Sicherheit

Die Sicherheitsmaßnahmen zur Herstellung und Aufrechterhaltung der IT-Sicherheit lassen sich zunächst in technische und organisatorische Maßnahmen einteilen. Darüber hinaus kann eine Einteilung in präventive Maßnahmen, detektorische Maßnahmen und reaktive Maßnahmen erfolgen.

Beispiele für organisatorische Maßnahmen sind Mitarbeiterschulungen (Prävention), Regelungen zur Logfile-Auswertung (Detektion) und Security Incident Response Prozesse (Reaktion).
Beispiele für technische Maßnahmen sind Firewalls (Prävention), Intrusion Detection Systeme (Detektion) und Automatische Rekonfiguration (Reaktion).

Gesetzliche Maßnahme: IT-Sicherheitsgesetz

Am 25.07.2015 ist das von der Bundesregierung erlassene "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" in Kraft getreten. Dieses Gesetz verpflichtet die Betreiber besonders gefährdeter Infrastrukturen (z.B. Energie, Gesundheit, Telekommunikation) zum besonderen Schutz ihrer IT-Systeme durch die Einhaltung von Mindeststandards. Das Gesetz lässt allerdings offen, welche konkreten Infrastrukturen als kritisch im Sinne des Gesetzes gelten. Der Begriff kritische Infrastrukturen wird hier lediglich abstrakt definiert.

Zusätzlich müssen erhebliche Sicherheitsvorfälle an das BSI Bundesamt für Sicherheit in der Informationstechnik gemeldet werden. Ferner sieht das Gesetz die Überprüfung von Sicherheitskonzepten durch die Bundesnetzagentur, die Benachrichtigung der Nutzer über Sicherheitsvorfälle und die Vorlage eines Jahresberichts vor. Des Weiteren werden die Kompetenzen des Bundeskriminalamtes zur Bekämpfung der Cyber-Kriminalität gestärkt.

Lesen Sie auch:

Siehe auch: IT-Grundschutz, Datensicherheit, Datenschutz, BSI Bundesamt für Sicherheit in der Informationstechnik, Common Criteria

< Zur Übersicht