Was ist Informationssicherheit?

Informationssicherheit ist der Prozess des Schutzes aller Unternehmensinformationen, sei es in digitaler oder physischer Form. Unternehmen schützen Informationen im Zusammenhang mit ihren Abläufen und Kunden, um ihren Ruf, das Vertrauen ihrer Kunden und die Einhaltung gesetzlicher Vorschriften zu wahren. Informationssicherheit umfasst die Prozesse, Tools und Technologien, die dazu beitragen, dass alle Informationen nur nach entsprechender Autorisierung eingesehen, kopiert, geändert oder vernichtet werden können.

Informationssicherheit unterstützt Unternehmen, indem sie dazu beiträgt, die Integrität, Verfügbarkeit und Vertraulichkeit ihrer privaten Daten und Geschäftssysteme zu gewährleisten. Es gibt mehrere Gründe, warum Informationssicherheit wichtig ist.

Sicherstellung der Geschäftskontinuität

Effektive Informationssysteme ermöglichen es Unternehmen, auch bei unerwarteten Sicherheitsereignissen auf ihre Daten und Systeme zuzugreifen und aufrechtzuerhalten. Die Planung der Geschäftskontinuität umfasst den Einsatz einer Reihe von Sicherheitssoftware, die Erstellung von Richtlinien, die bei Ereignissen zu befolgen sind, und die Implementierung technischer Sicherheitsvorkehrungen, die zum Schutz eines Unternehmens beitragen.

Aufbau von Kundenvertrauen

Informationssicherheit verringert die Wahrscheinlichkeit unerwarteter Sicherheitsereignisse und ermöglicht es Unternehmen, ihren Kunden einen unterbrechungsfreien Service zu bieten. Wenn Unternehmen in der Vergangenheit stets die Governance-Vorgaben eingehalten, Best Practices befolgt und sichere Entwicklungsverfahren implementiert haben, zeigen sie ihren Kunden, dass sie die Daten des Benutzers ernst nehmen und schützen.

Sicherheitsrisiken mindern

Je nach Branche, in der ein Unternehmen tätig ist, kann es mehrere potenzielle Risiken geben, die es berücksichtigen muss. Informationssicherheit trägt dazu bei, technische und verfahrenstechnische Kontrollen zur Steuerung und Minderung von Risiken zu implementieren.

Unternehmen können neue Sicherheitsmanagement-Technologien integrieren, die die Wahrscheinlichkeit unerwarteter Sicherheitsereignisse verringern und die Fähigkeit des Unternehmens zum Risikomanagement verbessern.

Schutz der Markenreputation

Informationssicherheit schützt die Reputation einer Marke, indem sie ihre Fähigkeit verbessert, zuverlässig Service zu erbringen, die Privatsphäre ihrer Kunden zu schützen und betriebliche Anforderungen zu erfüllen. Das Auftreten unbeabsichtigter Sicherheitsereignisse kann die Reputation einer Marke schädigen; effektive Informationssicherheitspraktiken verringern jedoch die Wahrscheinlichkeit, dass dies geschieht.  

Es gibt mehrere wichtige Grundsätze der Informationssicherheit, die jedes Unternehmen befolgt.

Vertraulichkeit

Vertraulichkeit trägt dazu bei, dass private Geschäftsdaten nur von autorisierten Personen zugreifen können. Dieser Grundsatz ist sowohl technischer als auch physischer Natur, da Sie Zugriffskontrollen für digitale Dateien implementieren und auch unbefugte Personen daran hindern, an einem Büro zuzugreifen. Die Vertraulichkeit erstreckt sich auch auf die Verwendung von Verschlüsselung, die Sicherung von Daten während der Übertragung und im Ruhezustand sowie die Gewährleistung, dass alle Unternehmensdaten geschützt sind.

Integrität

Integrität bezieht sich auf die Genauigkeit, Zuverlässigkeit und Konsistenz von Daten während ihres gesamten Lebenszyklus innerhalb eines Unternehmens. Dieser Grundsatz zielt darauf ab, Daten zu schützen, indem sichergestellt wird, dass sie korrekt sind und nicht ohne Wissen ihrer Eigentümer verändert wurden. Die Durchsetzung der Datenintegrität in Informationssystemen umfasst die Einbindung digitaler Datensignaturen, die Verwendung kryptografischer Hash-Funktionen, die Speicherung von Daten in unveränderlichen Ledgern und die Validierung von Daten während ihres gesamten Lebenszyklus.

Verfügbarkeit

Verfügbarkeit stellt sicher, dass autorisierte Benutzer ohne Verzögerungen oder Unterbrechungen auf alle benötigten Daten zugreifen können. Dieses Prinzip zielt darauf ab, Backup- und Wiederherstellungsstrategien zu implementieren, damit auf die Daten jederzeit zugegriffen werden kann. Darüber hinaus umfasst die Verfügbarkeit den Schutz vor Störungen durch Dritte, die Überwachung des Zustands der Speicher in Rechenzentren und die Einbindung von Fehlertoleranz in die Datenarchitektur.

Nichtabstreitbarkeit

Die Nichtabstreitbarkeit trägt dazu bei, dass jede Maßnahme, die in Bezug auf Daten ergriffen wird, nachverfolgt, überwacht und protokolliert wird. Durch die Einbettung der Nichtabstreitbarkeit in Informationssicherheitssysteme entwickeln Unternehmen einen überprüfbaren Pfad hinter jedem einzelnen Datensatz. Wann immer ein Benutzer mit Informationen interagiert, sie ändert, auf sie zugreift oder ihre Bewegung oder Änderungen genehmigt, werden diese Faktoren in einem unveränderlichen Ledger protokolliert.

Informationssicherheit

Informationssicherheit ist die Praxis des Schutzes von Informationssystemen, indem sichergestellt wird, dass geschäftskritische Vorgänge unterstützt werden. Dies ist ein umfassenderes Prinzip, das die Bewertung und Einhaltung von Sicherheitsrahmenwerken wie ISO 27001, das aktive Management neu auftretender Risiken, die regelmäßige Überprüfung von Sicherheitssystemen und die kontinuierliche Überwachung potenzieller Bedrohungen umfasst. 

Ein Informationssicherheits-Managementsystem (ISMS) definiert, wie eine Organisation ihre Informationssicherheit über den gesamten Lebenszyklus von Daten hinweg verwaltet. Dieses System legt in der Regel fest, wie Menschen, Prozesse und Technologien zusammenwirken, um umfassende Sicherheitskontrollen für alle Informationssysteme innerhalb des Unternehmens zu gewährleisten.

Internationale Standards und Frameworks bieten beschreibende und präskriptive Leitlinien, die Unternehmen im Rahmen eines Compliance-Programms bei der Informations- und Datensicherheit unterstützen. Im Folgenden finden Sie einige Beispiele für Standards und Frameworks, die Ihr Unternehmen befolgen kann.

ISO-27001

ISO-27001 konzentriert sich auf vier Hauptthemen: organisatorische, personelle, physische und technologische Sicherheitsverbesserungen. Jede dieser Kategorien zielt darauf ab, die Sicherheit auf unterschiedliche Weise zu verbessern, beispielsweise:

• Durchführung von Sicherheitsschulungen für Mitarbeiter im Bereich „Menschen“.
• Implementierung strenger Zugriffskontrollrichtlinien für Büros im Bereich „Physische Sicherheit“.
• Implementierung von Verschlüsselung für Daten im Ruhezustand und während der Übertragung im Bereich „Technologie“.

Jede dieser Maßnahmen trägt zu einem höheren Standard der Informationssicherheit bei.

• AWS verfügt über eine Zertifizierung für die Einhaltung der Norm ISO/IEC 27001:2022. Das bedeutet, dass wir intern unsere Informationssicherheitsrisiken systematisch bewerten und dabei die Auswirkungen von Bedrohungen und Schwachstellen berücksichtigen.
• Wir entwickeln und implementieren eine umfassende Reihe von Informationssicherheitskontrollen und anderen Formen des Risikomanagements, um Sicherheitsrisiken für Kunden und die Architektur zu adressieren.
• Wir verfügen über einen übergreifenden Managementprozess, um sicherzustellen, dass die Informationssicherheitskontrollen unseren Anforderungen kontinuierlich entsprechen.

PCI-DSS

PCI-DSS ist ein weiterer weit verbreiteter Standard, der dazu beiträgt, dass alle Kartenzahlungen, einschließlich des Speicherens, der Übertragung und der Verarbeitung von Finanzdaten, auf sichere Weise erfolgen. Alle Entitäten, die Karteninhaberdaten (CHD) oder sensible Authentifizierungsdaten (SAD) speichern, verarbeiten oder übertragen, einschließlich Händler, Verarbeiter, Acquirer, Emittenten und Service, müssen sich nach dem PCI-DSS-Standard zertifizieren lassen.

Sie können sich die Liste der AWS-Services im aktuellen Geltungsbereich für PCI DSS ansehen.

HIPAA/HITECH

HIPAA (Health Insurance Portability and Accountability Act) ist ein US-Bundesgesetz, das den Schutz personenbezogener Gesundheitsdaten (PHI) gewährleistet, um die Vertraulichkeit der Daten zu gewährleisten und eine unbefugte Offenlegung zu verhindern. HIPAA gilt für „betroffene Einrichtungen” (Krankenkassen, Clearingstellen im Gesundheitswesen und Gesundheitsdienstleister, die Gesundheitsdaten elektronisch übermitteln) und deren Geschäftspartner.

Sie können sich die Liste der AWS-Services ansehen, die derzeit unter HIPAA fallen.

FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) ist ein Programm der US-Regierung, das die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Services, die von Bundesbehörden genutzt werden, standardisieren soll.

Sie können sich die Liste der AWS-Services ansehen, die derzeit unter FedRAMP fallen.

DSGVO

Die DSGVO (Datenschutz-Grundverordnung) ist ein Rechtsrahmen der EU zum Schutz der Daten von EU-Bürgern. Es handelt sich um einen globalen Standard, da jedes Unternehmen, das in irgendeiner Weise mit EU-Kunden in Kontakt treten möchte, die DSGVO einhalten muss. Die DSGVO zielt darauf ab, die Datenminimierung zu fördern, eine rechtmäßige Grundlage für die Datenerhebung zu gewährleisten und den Benutzern das Recht zu geben, die Löschung ihrer Daten als Anforderung vorzubringen.

AWS-Kunden können alle AWS-Services zur Verarbeitung personenbezogener Daten (im Sinne der DSGVO) nutzen, die unter ihren AWS-Konten (Kundendaten) in die AWS-Services hochgeladen werden, und dabei die DSGVO einhalten.

FIPS 140-3

FIPS 140-3 ist ein kryptografisches Modul, das alle US-Behörden, die im föderalen Bereich tätig sind, nutzen müssen. Dieser Standard ist Teil von FedRAMP und verlangt von Unternehmen, eine Vielzahl von Schutz- und Präventionsmaßnahmen zu ergreifen.

AWS bietet eine große Auswahl an FIPS-Endpunkten nach AWS-Service.

Es gibt mehrere Hauptkategorien von Informationssicherheitsprogrammen, die zusammenwirken, um Workloads und Anwendungen zu schützen.

Datenschutz

Datenschutz bezieht sich auf alle Dienste, die dazu beitragen, sensible Informationen, Konten und Workloads vor unbefugtem Zugriff zu schützen. Zu den zentralen Datenschutzdiensten gehören die Verschlüsselung von Daten während der Übertragung und im Speicher, die Schlüsselverwaltung und die Wiederherstellung sensibler Daten.

Netzwerk- und Anwendungsschutz

Netzwerk- und Anwendungsschutztechnologien beziehen sich auf alle Strategien und Richtlinien, die Ihr Unternehmen an Netzwerksicherheitskontrollpunkten bereitstellt. Diese Technologien helfen dabei, eingehenden Datenverkehr zu identifizieren, zu filtern und unbefugtes Zugreifen auf Ihr Netzwerk zu verhindern. Zu den Kerntechnologien gehören Firewalls, VPNs, Endpunktdetektion und andere Grenzen auf Anwendungsebene, die die Sicherheit Ihres Netzwerks verbessern.

Identitäts- und Zugriffsverwaltung

Mit Sicherheitstools für die Identitäts- und Zugriffsverwaltung (IAM) kann Ihr Unternehmen Zugriffskontrollen verwalten, Berechtigungen zuweisen und festlegen, welche Konten auf sensible Daten zugreifen dürfen. Identitätskontrollen helfen dabei, die Zugriffsebene bestimmter Konten zu bestimmen und festzulegen, welche Daten diese Konten auf dieser Zugriffsebene zugreifen dürfen und mit ihnen interagieren dürfen. Dies betrifft sowohl Kontrollen auf Datenebene als auch Kontenberechtigungssysteme.

Compliance und Auditing

Compliance und Auditing beziehen sich auf die Fähigkeit, Best Practices zu befolgen, Ihre Umgebung zu überwachen und sicherzustellen, dass die Compliance-Standards in Ihrem gesamten Unternehmen eingehalten werden. Je nach Branche, in der Ihr Unternehmen tätig ist, variieren die genauen Standards, die Sie prüfen und einhalten sollten.

Physische Sicherheitskontrollen

Physische Sicherheitskontrollen sind eine weitere Form der Zugriffskontrolle, die sich auf physische Büros, Server und Geschäftsumgebungen bezieht. Dazu gehören die sichere Gestaltung von Standorten, die Planung der Verfügbarkeit und die Umsetzung von Richtlinien für den physischen Zugriff. Die physische und umgebungsbezogene Sicherheit umfasst auch die Überwachung, wie aufzugreifen ist, die Protokollierung von Bewegungen und die Sicherstellung, dass Daten für Audits durch das Unternehmen aufbewahrt werden. 

Wenn ein Unternehmen Cloud-Dienste nutzt, werden Sicherheit und Compliance zu einer gemeinsamen Verantwortung des Cloud-Anbieters und des Unternehmens. Diese doppelte Verantwortung wird als Modell der geteilten Verantwortung bezeichnet und bezieht sich auf die jeweiligen Aufgaben, die jede Partei versenden muss, um die Cloud-Sicherheit zu gewährleisten.

Der Kunde übernimmt die Verantwortung für die Verwaltung von Kundendaten, Plattform, Anwendungen, Identitäts- und Zugriffsmanagement, Verschlüsselung von Kundendaten und Netzwerkkonfiguration sowie für weitere Aufgaben. Der Cloud-Anbieter ist für die gesamte Infrastruktur verantwortlich, auf der die Services innerhalb der Cloud ausgeführt werden, wie beispielsweise Hardware, Software oder Netzwerke, die vom Cloud-Anbieter betrieben werden.

Die spezifische Ausgestaltung der geteilten Verantwortung hängt davon ab, mit welchem Cloud-Anbieter ein Unternehmen zusammenarbeitet. Die Aufteilung dieser Verantwortung wird allgemein als Sicherheit „der“ Cloud im Gegensatz zur Sicherheit „in“ der Cloud verstanden.

Sicherheit hat bei AWS oberste Priorität. AWS ist als weltweit sicherste Cloud-Infrastruktur konzipiert, auf der Anwendungen und Workloads erstellt, migriert und verwaltet werden können. 1Untermauert wird dies durch das Vertrauen von Millionen von Kunden, darunter besonders sicherheitssensible Organisationen wie Behörden, Gesundheitseinrichtungen und Finanzdienstleister.

Sowohl AWS als auch der Kunde sind für die Sicherheit verantwortlich. Dieses geteilte Modell bedeutet für den Kunden eine Arbeitsentlastung, da die Komponenten des Hostbetriebssystems und der Virtualisierungsebene von AWS ausgeführt, verwaltet und gesteuert werden und zudem für die physische Sicherheit der Standorte gesorgt wird, an denen die Services ausgeführt werden. Wir bieten Support für eine Vielzahl von Sicherheitsstandards und Compliance-Zertifizierungen, darunter PCI-DSS, HIPAA/HITECH, FedRAMP, DSGVO und FIPS 140-3, und helfen unseren Kunden so, die Compliance-Anforderungen weltweit zu erfüllen. Darüber hinaus bieten wir Ihnen die vollständige Kontrolle über Ihre eigenen Daten, sodass Sie selbst bestimmen können, wie Ihre Daten verwendet werden, von wem darauf zugegriffen werden darf und wie sie verschlüsselt werden.

AWS-Sicherheitsservices können Ihre Bemühungen um Informationssicherheit in der Cloud zusätzlich Support leisten. Beispielsweise:

• AWS-Audit- und Konfigurationsdienste bieten Ihnen einen umfassenden Überblick über Ihren Compliance-Status und überwachen kontinuierlich Ihre Umgebung.
• Mit AWS-Datenschutzdiensten wie AWS Identity and Access Management (IAM) können Sie sicher darauf zugreifen, welche AWS-Services und -Ressourcen zugänglich sind. AWS CloudTrail und Amazon Macie ermöglichen Compliance, Erkennung und Auditing, während AWS CloudHSM und AWS Key Management Service (KMS) Ihnen die sichere Generierung und Verwaltung von Verschlüsselungsschlüsseln ermöglichen. AWS Control Tower bietet Governance und Kontrollen für die Datenresidenz.
• AWS-Erkennungs- und Reaktionsdienste unterstützen Sie dabei, Ihre Sicherheitslage zu verbessern und die Sicherheitsabläufe in Ihrer gesamten AWS-Umgebung zu optimieren.
• AWS-Identitätsdienste unterstützen Sie bei der sicheren Verwaltung von Identitäten, Ressourcen und Berechtigungen, die skalieren.
• AWS-Netzwerk- und Anwendungsschutzdienste unterstützen Sie bei der Durchsetzung detaillierter Sicherheitsrichtlinien an Netzwerk-Kontrollpunkten in Ihrem gesamten Unternehmen.

Beginnen Sie noch heute mit der Informationssicherheit in AWS, indem Sie ein kostenloses Konto erstellen.