IT-Sicherheit

IT-Sicherheit umfasst alle Maßnahmen, die zum Schutz von Informationen, Systemen und Infrastrukturen vor Schäden, Verlust oder unberechtigtem Zugriff dienen. Sie ist ein zentrales Thema in der Fachinformatik und prüfungsrelevant.

Schutzziele der IT-Sicherheit (CIA-Prinzip)

• Vertraulichkeit (Confidentiality) – Schutz vor unbefugtem Zugriff (z. B. Verschlüsselung, Zugriffskontrollen).
• Integrität (Integrity) – Schutz vor Manipulationen (z. B. Hashing, digitale Signaturen).
• Verfügbarkeit (Availability) – Sicherstellen der Betriebsbereitschaft (z. B. Redundanzen, Backup-Strategien).

Zusätzliche Schutzziele:

• Authentizität (Echtheit von Identitäten, z. B. digitale Zertifikate).
• Anonymität & Datenschutz (Schutz persönlicher Daten, z. B. DSGVO).

Mögliche Schäden durch IT-Sicherheitsvorfälle

• Imageschaden (Verlust des Vertrauens von Kunden und Partnern).
• Wirtschaftlicher Schaden (z. B. Erpressung durch Ransomware, Produktionsausfälle).
• Datenverlust (z. B. durch Löschung, Hardware-Defekte, unzureichende Backups).

Grundlegende Sicherheitsstrategien

• Prinzip der minimalen Rechte (Least Privilege) – Benutzer erhalten nur die Rechte, die sie wirklich brauchen.
• Need-to-Know-Prinzip – Zugang zu Informationen wird nur gewährt, wenn es erforderlich ist.
• Defense in Depth – Mehrschichtige Sicherheitsmaßnahmen (Firewall, VPN, Antivirensoftware, IDS/IPS).
• Zero Trust Model – Niemand wird standardmäßig vertraut, jede Aktion wird überprüft.

Gerätesicherheit

Device Security Check

Bei Zugriff auf ein Unternehmensnetzwerk können folgende Punkte geprüft werden:

• Betriebssystemversion / Sicherheitsupdates
• Antivirus-Software aktiv?
• Firewall aktiv?
• Gerät verschlüsselt?
• Unternehmensrichtlinien erfüllt?

Betriebssystemhärtung

• Deaktivieren unnötiger Dienste
• Einschränkung von Zugriffsrechten
• Sichere Konfiguration von Netzwerken & Diensten
• Automatische Updates aktivieren
• Logging & Monitoring einrichten

Sicherheitsmanagement & Compliance

Schutzbedarfskategorien

Einordnung von Informationen/Systemen nach:

• Normal: Kein großer Schaden bei Verlust
• Hoch: Erheblicher Schaden möglich
• Sehr hoch: Existenzbedrohend

Compliance

• Einhaltung gesetzlicher & betrieblicher Vorschriften (z. B. DSGVO, IT-Sicherheitsgesetz)
• Nachweis durch Dokumentation und Prozesse

Aufgaben des IT-Sicherheitsbeauftragten

• Entwicklung & Überwachung von Sicherheitskonzepten
• Schulung der Mitarbeitenden
• Überprüfung der Einhaltung von Richtlinien
• Risikobewertungen und Sicherheitsanalysen
• Ansprechpartner für Sicherheitsvorfälle

Sicherheitsstandards & Prinzipien

ISO 27001

• Internationale Norm für Informationssicherheitsmanagementsysteme (ISMS)
• Ziel: Schutz von Vertraulichkeit, Integrität und Verfügbarkeit

BSI IT-Grundschutz

• Deutscher Standard (Bundesamt für Sicherheit in der Informationstechnik)
• Stellt konkrete Maßnahmenkataloge zur Verfügung
• Besonders für Behörden und Unternehmen mit hohem Schutzbedarf

Security by Design

• Sicherheitsaspekte werden von Anfang an in die Entwicklung einbezogen
• Beispiel: Sichere Standardwerte, Eingabevalidierung, Rechteprüfung
• Vermeidet teure Nachbesserungen