Informationssicherheit ist nicht IT-Sicherheit

Als ich mich intensiver mit Informationssicherheit beschäftigt habe, machte ich anfangs einen grundsätzlichen Fehler.

Da ich ein “Vollblut-IT’ler” bin, habe ich zunächst den Fokus auf IT Sicherheit und nicht auf Informationssicherheit gelegt.

Schaut man auf die sog. “Controls” der ISO 2700x oder die entsprechenden Kapitel im bsi Grundschutz Standard (dazu gibt es eine hilfreiche Zuordnungstabelle), so sind diese im ersten Moment recht “IT-lastig”.

Die Norm schafft allerdings schnell Klarheit:

“Informationen sind Daten, die für das Unternehmen von Wert sind.”

Dabei ist nicht zwingend festgelegt, dass diese Daten mit EDV-Systemen verarbeitet werden.

So können z.B. handschriftliche Unterlagen in einem Schrank als “Informationen” den selben Anspruch auf

    • Vertraulichkeit
    • Integrität
    • Verfügbarkeit und
    • Authentizität

haben, wie eine Word Datei auf einem Laptop.

Obwohl wir zwischenzeitlich sicher einen sehr großen Teil unserer Informationen mit der Hilfe von Computersystemen verarbeiten, sollten wir diesen Aspekt nicht vernachlässigen.

Ich mache z.B. immer noch Notizen bei Telefonaten eher auf einem Stück Papier als am Computer.

In Besprechungen sind Schreibblöcke immer noch anzutreffen.

Ausdrucke sind eine besonders schöne Kombination, weil die Information quasi einen Medienwechsel macht.
Vom Computer zum Papier.

Dabei behält die Information natürlich den gleichen Wert.

Mit Corona kamen die HomeOffices und damit bewegte sich einiges Papier vom Büro in den privaten Lebensraum.

Doch auch an diesem Ort müssen wir einige Dinge beachten:

    • geschäftliche Unterlagen sollten nicht offen herumliegen und verschlossen gelagert werden
    • der private Papierkorb ist kein geeignetes Mittel zur Vernichtung von Papierunterlagen
    • für wichtige Dokumente sollten es eine “Backup-Strategie” geben, z.B. durch digitale Kopien

Wenn wir einfach einmal unserer Blickwinkel verändern und die Information, und nicht das Medium oder die Art der Verarbeitung fokusieren, dann fallen Ihnen bestimmt noch viele weitere Dinge ein, die Sie umsetzen können.

Damit tragen Sie vielleicht nicht viel zur IT-Sicherheit bei, dafür aber einiges zur Informationssicherheit.