Informationssicherheit ist nicht nur IT-Thema

IT durchzieht fast alle Bereiche in den Unternehmen und steht allein deshalb schnell im Vordergrund, wenn es um den Schutz von Informationen geht. Informationen in IT-Systemen sind im Gegensatz zu klassisch physisch gebundenen Informationen in Windeseile kopiert und in falsche Hände geleitet. Der Schaden ist somit im Fall der Fälle meistens viel größer als in der analogen Welt. Daten in der IT lassen sich zudem auch viel leichter ohne Spuren manipulieren. Ohne besonderen Schutz (Logging) fallen solche Eingriffe im Zweifel erst viel zu spät auf. Manipulationen auf Papier sind in der Regel schwieriger zu kaschieren.

Dass die IT beim Thema Sicherheit im Vordergrund steht, hat also gute Gründe. Viele assoziieren mit dem Begriff Informationssicherheit sogar “IT-Sicherheit”. Das “I” im Kürzel ISMS steht jedoch für Information und nicht für Informationstechnik (IT). Ein ISMS im Sinne der ISO 27001 umfasst als Informations-Sicherheits-Management-System ausdrücklich das gesamte Unternehmen, nicht nur die Abteilung IT. Die IT ist ‘nur’ ein Teilbereich der Informationssicherheit – allerdings in der Regel der Bedeutendste.

Ein Informations-Sicherheits-Management-System muss das gesamte Unternehmen im Blick haben und für ein konsistentes Framework sorgen. Die besten Berechtigungssysteme in der IT haben wenig Wert, wenn durch eine laxe Zutrittskontrolle oder einer nicht konsequent befolgten Richtlinie zur steten Begleitung von Besuchern Angreifer direkten physischen Zugang zur IT-Infrastruktur bekommen. Wer als geschulter Profi physischen Zugriff auf IT-Systeme erhält, hat sehr gute Chancen, andere Sicherheitssysteme zu umgehen und darüber weitere Zugänge zu etablieren, die dann in aller Ruhe nach dem Besuch ausgenutzt werden können.