Zum Inhalt springen Zur Navigation springen
Informationstechnik (IT): Was ist das und was fällt darunter?

Informationstechnik (IT): Was ist das und was fällt darunter?

Datenschutz, IT, Forensik, Informationssicherheit, IT-Sicherheit und Datensicherheit: Dieser Blog beschäftigt sich mit vielen Themen, die nicht nur begrifflich nahe beieinander liegen. Da kann man schon mal durcheinander kommen. In dem heutigen Artikel wollen wir deshalb erklären, wie diese Gebiete zusammenhängen und was sich hinter den einzelnen Begriffen verbirgt.

Die wunderbare Welt der Informationstechnik (IT)

Egal ob Bäcker um die Ecke, Handwerker, Start-up, Mittelständler oder Großkonzern. Kein Unternehmen kommt heute noch ohne IT aus. Sie wird z.B. zur Kommunikation, zur Automatisierung von Geschäftsprozessen oder zur Verwaltung und Organisation eingesetzt. Doch hinter dem kurzen Begriff IT verbirgt sich mehr, als man zunächst vermuten mag.

Die Informationstechnik oder Informationstechnologie (IT) ist ein weiter Oberbegriff. Darunter fällt jegliche Technik zur Verarbeitung von Informationen. Im Digitalzeitalter meint man damit aber meist den Einsatz von Computern zur Erstellung, Verarbeitung, Speicherung, Abfrage und zum Austausch aller möglichen Daten. Der Begriff umfasst damit nicht nur deren Hardware und Software, sondern auch Bereiche wie Netzwerke (Verbindung von Geräten und Systemen, sodass diese miteinander kommunizieren können) oder Datenbanken als System der elektronischen Datenverwaltung.

Dadurch dass so viele wichtige Geschäftsabläufe heute an der IT hängen, sind Unternehmen von dieser stark abhängig. Dadurch erhöht sich zudem die Angriffsfläche oder der -anreiz für Kriminelle von außen, die diesen Umstand etwa bei Ransomware Attacken für sich nutzen. Die Nutzung von Informationstechnik kommt daher vor allem nicht ohne eins aus: Sicherheit.

Unterschied zwischen IT-Sicherheit, Datensicherheit und Datenschutz

Nun gibt es im Bereich der IT gleich mehrere Begriffe, die alle Sicherheit oder Schutz im Namen tragen und etwas mit Daten, Systemen oder Informationen zu tun haben. Doch was ist hier was? Vorab, erfahrungsgemäß ist eine exakte Abgrenzung oder klare Definition der Begriffe nicht ohne weiteres möglich, da diese je nach Verfasser und Kontext unterschiedlich interpretiert werden können. Dennoch möchten wir Ihnen mit der folgenden Abgrenzung etwas Orientierung bieten:

Was versteht man unter Datenschutz?

„Datenschutz schütz keine Daten, sondern Menschen“, so oder so ähnlich lautet der mantraartige Satz, den viele Datenschutzbeauftragte Teilnehmern ihrer Grundschulung immer wieder vorbeten. Datenschutz schützt personenbezogene Daten, also Informationen, die sich auf eine Person beziehen. Dieser Schutz ist in Deutschland Ausfluss des vom Bundesverfassungsgerichts geschaffenen Grundrechts auf informationelle Selbstbestimmung, welches den Bürger davor schützen soll, dass er nicht mehr wissen kann, wer was wann und bei welcher Gelegenheit über ihn weiß. Auf europäischer Ebene ist der Schutz personenbezogener Daten selbst ein Grundrecht (Art. 8 GRCh), welches aber immer mit dem Grundrecht auf Privatsphäre (Art. 7 GRCh) zusammen gelesen wird. Dieser Schutz hat zur Folge, dass es Regeln gibt, die einzuhalten sind, wenn personenbezogene Daten von Dritten verarbeitet werden sollen. Diese Vorgaben, ob Daten verarbeitet werden dürfen, findet man hauptsächlich in der DSGVO.

Was ist Datensicherheit?

Datensicherheit befasst sich mit dem Schutz von Daten, unabhängig davon, ob sie einen Personenbezug aufweisen oder nicht. Im Gegensatz zum Datenschutz umfasst der Begriff Datensicherheit auch Daten ohne Personenbezug, wie beispielsweise geheime Konstruktionspläne, sowohl in digitaler als auch analoger Form (z. B. auf Papier).

Das Hauptziel der Datensicherheit besteht darin, Sicherheitsrisiken zu begegnen und die Daten vor Manipulation, Verlust oder unberechtigter Kenntnisnahme zu schützen. Dabei geht es nicht darum, ob Daten überhaupt erhoben und verarbeitet werden dürfen (das fällt unter den Datenschutz), sondern um die Frage wie Daten verarbeitet werden und welche Maßnahmen zum Schutz der Daten ergriffen werden müssen. Im Rahmen des Datenschutzrechts ist die Datensicherheit nach Art. 32 DSGVO durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu gewährleisten.

Informationssicherheit und IT-Sicherheit

Die Begriffe IT-Sicherheit und Informationssicherheit werden von Laien oft synonym verwendet. Sollte jemand dennoch mal von Informationssicherheit zu sprechen, hatte er wahrscheinlich schon mal Berührungspunkte mit dem IT-Grundschutz des BSI. Dann geht es ihm darum zu betonen, dass es um den Schutz jeglicher Art von Informationen geht. Dabei ist hier unerheblich, ob es sich um digitale oder analoge Informationen handelt und ob diese einen Personenbezug haben. Zur Veranschaulichung wird hier gerne das handschriftlich, auf Papier geschriebene Coca-Cola Rezept von 1886 bemüht. Teilweise wird die Datensicherheit als ein Teil der Informationssicherheit angesehen, da diese umfassender ist.

Die IT-Sicherheit hingegen ist eigentlich nur ein Teil der Informationssicherheit und bezieht sich auf elektronisch gespeicherte Informationen und IT-Systeme. Dabei wird unter IT-Sicherheit nicht nur der Schutz der technischen Verarbeitung von Informationen verstanden. Vielmehr fällt auch die Funktionssicherheit darunter, also das fehlerfreie Funktionieren und die Zuverlässigkeit der IT-Systeme.

Gemeinsame Schutzziele der Daten-, Informations- und IT-Sicherheit

Trotz leicht unterschiedlicher Schutzgüter wie Daten, Informationen, Systeme oder Kommunikationswege, haben sich bei der Datensicherheit und IT-Sicherheit sowie der IT-Sicherheit gemeinsame Schutzziele herauskristallisiert, um Bedrohungen für diese besser beschreiben zu können. Diese werden meist in die Kategorien Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit unterteilt.

  • Vertraulichkeit: Daten / Systeme sind nur befugten Personen zugänglich.
  • Integrität: Daten / Systeme korrekt, unverändert bzw. verlässlich sind.
  • Authentizität: Nachweisbare Echtheit, Zuverlässigkeit und Glaubwürdigkeit einer Mitteilung.
  • Verfügbarkeit: Daten / Systeme stehen zur Verfügung und können bei Bedarf von autorisierten Personen genutzt werden.

Um diese Ziele zu erreichen können Unternehmen eine Vielzahl von technischen Maßnahmen, wie etwa die Verschlüsselung von Daten, aber auch organisatorische Maßnahmen, wie Mitarbeiterschulungen zum richtigen Umgang mit Daten und Systemen, treffen.

IT-Forensik: Wenn die IT-Sicherheit doch einmal versagt

Absolute Sicherheit gibt es nicht, auch nicht in der IT-Sicherheit. So ist es nur eine Frage der Zeit, bis eines der genannten Schutzziele verletzt wird. Sei es durch Unachtsamkeit von Mitarbeitern, weil Fehler nun mal passieren, oder durch Cyberkriminelle, die ständig an neuen Angriffsmethoden entwickeln, um Sicherheitsmaßnahmen zu umgehen und versuchen, neu entdeckte Schwachstellen auszunutzen.

Gerade die letztgenannten Konstellationen können ein Fall für die IT-Forensik sein. Hinter dem Begriff verbirgt sich der Prozess der Sammlung, Analyse, Rekonstruktion und Aufarbeitung von digitalen Artefakten, die bei der Nutzung von Informationstechnologie anfallen. Dadurch können entweder Angreifer im Nachhinein zu überführt oder zumindest deren genutzte Angriffswege für weitere Versuche versperrt werden oder im Rahmen der Incident Response wird bei einem laufenden Angriff auf die IT versucht,  dass weitere Schäden wie Datenabflüsse oder Verschlüsselung verhindert werden und der Geschäftsbetrieb so schnell wie möglich nach dem Cyberangriff sicher wieder aufgenommen werden kann.

Chancen und Risiken gehen bei der IT oft Hand in Hand

Bei der Nutzung von Informationstechnologie (IT) im Unternehmen gehen Chancen und Risiken oft Hand in Hand. Je mehr Prozesse sinnvoll automatisiert und miteinander verknüpft werden, desto effizienter wird das Unternehmen. Gleichzeitig wird dadurch aber auch die IT-Infrastruktur komplexer und es wird schwieriger, jedes einzelne Element vollständig zu überwachen und abzusichern. Der Einsatz neuer Technologien wie von Large Language Models verspricht, innovative Lösungen zu generieren, die zu einem nachhaltigen Wachstum führen können. Gleichzeitig mussten einige Unternehmen schon schmerzhaft lernen, dass sich dadurch auch neue Wege ergeben, wie schützenswerte Informationen ungewollt Dritten offenbart werden können.

Der technologische Fortschritt und die ständige Weiterentwicklung von IT-Systemen erfordern eine kontinuierliche Evaluation sowie fortlaufende Investitionen, um sicherzustellen, dass die IT-Infrastruktur den aktuellen Anforderungen des Unternehmens auch im Sinne der Sicherheit gerecht wird und etwaige Risiken minimiert werden. Nur so lassen sich Unternehmens gefährdende Szenarien verhindern.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.