Die Informationssicherheit und der Datenschutz sind zwei sehr nahe Verwandte, die sich in der Definition der Begriffe abgrenzen. Der Datenschutz kennt das personenbezogene Merkmal und die automatisierte Verarbeitung von Daten. Daten sind dabei materiell und werden in dieser Form gespeichert und verarbeitet. Hingegen ist „Information“ zuerst einmal immateriell, kann aber durch das festhalten auf Medien, analog wie digital, materiell existieren. Dabei versteht sich Information, im Gegensatz zum Datenschutz, nicht nur als solche mit personenbezogenen Merkmalen. Vielmehr kann es jede Art von Information sein, zum Beispiel das Knowhow eines Unternehmens, Patente oder bestimmte Rezepturen etc.

Der Begriff ISB, der als Abkürzung für IT-Sicherheitsbeauftragter Anwendung findet, eine Qualifikation, die ich auch besitze, wird auch häufig als Informations-Sicherheitsbeauftragter übersetzt. Diesen Ausdruck bevorzuge ich, da er allumfassend ist. Information kann digital existieren, analog existieren oder auch in den Köpfen von Menschen. Es sind die Köpfe von Menschen, die man nicht vergessen darf und die oftmals leider Information nicht so geheim halten, wie sie es sollten.

In der Informationssicherheit geht es darum mehr als nur personenbezogene Daten zu schützen. Es sollen auch alle betriebsgeheimen immateriellen Werte vor einer Kenntnis durch unberechtigte dritte Personen geschützt werden. Das ist natürlich wichtig und für jedes Unternehmen von existenzieller Bedeutung.

Die Grenzen zwischen Datenschutz, IT-Sicherheit und Informationssicherheit sind nicht immer eindeutig zu ziehen. Nicht zuletzt nennen sich deshalb die Aufsichtsbehörden auch regelmäßig „Der Beauftragte für den Datenschutz und die Informationssicherheit“. In der praktischen Arbeit trenne ich diese Bereiche auch nicht immer. Wer bei mir Datenschutz bestellt, der bekommt auch regelmäßig die IT-Sicherheit oder Informationssicherheit dazu. Oftmals ist es einfach nicht sinnvoll, das eine ohne das andere zu betrachten.

In der Informationssicherheit geht es im wesentlichem darum Maßnahmen zu treffen, die bestmöglich ausschließen, dass die immateriellen Werte eines Unternehmens, wie Knowhow, Softwarelösungen, Verfahren, Daten aller Art etc., in die Hände der Konkurrenz kommen. Hier muss man zusätzlich noch andere Bedrohungsszenarien als beim Datenschutz betrachten, zum Beispiel APTs (Advance Persistent Threats),  insbesondere darunter Spear-Phishing Attacken. Für beides, den Datenschutz sowie die Informationssicherheit, ist die IT-Sicherheit eine wesentliche Grundlage. Aber es ist nicht die ausschließliche Grundlage, denn neben den technischen Schwachstellen gibt es auch die menschlichen Schwachstellen.

Informationssicherheit – IT-Sicherheitsbeauftragter (ISB) nach DIN EN ISO/IEC 27001

Eine besondere Form der Informationssicherheit ist die Umsetzung durch das bestellen eines ISB. ISB steht für IT-Sicherheitsbeauftragte*r bzw. Informations-Sicherheitsbeauftragte*r. Der Gesetzgeber schreibt keinem Unternehmen, im Gegensatz zum Datenschutzbeauftragten, die Bestellung einer solchen Person vor. Es gibt auch keine Anforderungen an die Ausbildung und die notwendigen Kenntnisse oder Zertifizierungen. Auf dem Markt werden zahlreiche Angebote für eine Ausbildung zum ISB nach DIN EN ISO/IEC 27001 mit einem entsprechendem Zertifikat angeboten. Diese Ausbildungen sind inhaltlich gleichwertig zu DSC-Standard oder BSI-Standard. Näheres dazu finden Sie auf meiner Seite IT-Sicherheitsbeauftragter.