Cybersicherheit – Informationssicherheit
Bevor wir uns mit den Besonderheiten von Daten und Informationen befassen, gehen wir zunächst die Definition durch, die in früheren Ausgaben von ISO/IEC 27000 enthalten war.
Dieser Begriff ist in den neueren Ausgaben nicht mehr enthalten, da er in Standardwörterbüchern leicht verfügbar ist. Der Begriff „Informationen“ bezieht sich auf die Ansammlung von Wissen oder Daten durch eine Person oder Organisation, die für beide Seiten von Nutzen sind. Für die Speicherung und Übertragung von Informationen werden Datenträger verwendet. Papier, Fotos und auf Film aufgenommene Filme sind Beispiele für analoge oder nicht-digitale Medien; zu den digitalen Medien gehören Computer und Wechselspeicher (z. B. USB-Sticks, CDs und DVDs). Das menschliche Gehirn, das Informationen speichert, ist ein Beispiel für ein nicht-digitales Medium, das nicht digital ist. Gespräche zwischen Menschen sind eine weitere Methode der Informationsübermittlung, die ständig berücksichtigt werden muss, da man immer den Menschen im Auge behalten muss. Informationen können über die Post, das Telefon (das heute auf einer gemischten Technologie basiert) und über Computernetzwerke übermittelt werden.
Die verfügbaren Informationen und Daten
Die Informationssicherheit ist nicht auf die Computersicherheit oder die Sicherheit im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) beschränkt, die sich nur auf Informationen bezieht, die in digitaler Form gespeichert sind und von Systemen der Informations- und Kommunikationstechnologie (IKT) verarbeitet werden. Vielmehr umfasst die Informationssicherheit alle Systeme, die zur Erfassung, Änderung, Speicherung, Übertragung und Vernichtung von Informationen eingesetzt werden.
Vorfälle im Bereich Informationsssicherheit sind vielfältig
Zum Beispiel:
- Im Jahr 48 v. u. Z, wurde die Bibliothek von Alexandria durch einen Brand zerstört;
- Im Jahr 1998 schickte das italienische Finanzministerium Millionen von Steuerbescheiden an die falschen Steuerzahler
- Im Jahr 2003 kam es in Italien zu einer Energieknappheit, die in einigen Gebieten mehr als 24 Stunden andauerte
- Im Jahr 2007 fielen einige Zeichnungen des Ferrari F2007 in die Hände des Konkurrenten McLaren;
- Im Jahr 2010 wurde der Leiter der Terrorismusbekämpfung von ScotRail ermordet
Da der Begriff „Information“ intuitiv eine allgemeinere Bedeutung hat, sprechen wir lieber von „Informationen“ als von „Daten“. Dies ist einer der Gründe dafür. Im engeren Sinne umfasst die Informationssicherheit die Datensicherheit, die durch die folgenden vier Formen der Wissensdarstellung veranschaulicht wird: Daten beziehen sich auf die Sammlung spezifischer Fakten, Statistiken, sensorischer Erfahrungen und anderer Arten von Informationen; Wissen wird als Information definiert, die von einer bestimmten Person empfangen und verarbeitet wurde. Weisheit kann definiert werden als die Fähigkeit, sinnvolle Verbindungen zwischen unterschiedlichen Wissensbeständen zu ziehen, um die eigene Entscheidungsfähigkeit zu verbessern.
Schutz sensibler Informationen
Die folgende Definition ist in ISO/IEC 27000 zu finden. Der Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ist das, was mit dem Begriff „Informationssicherheit“ gemeint ist. Daher ist es unerlässlich, die drei oben genannten Attribute zu spezifizieren. Der Zustand, in dem Informationen nicht für Personen, Organisationen oder Verfahren zugänglich gemacht oder weitergegeben werden, die nicht berechtigt sind, sie zu erhalten; dieser Zustand wird als Vertraulichkeit bezeichnet.
Integrität ist definiert als die Eigenschaft, genau und umfassend zu sein; Verfügbarkeit ist der Zustand, in dem Informationen auf Anfrage einer autorisierten Stelle, innerhalb der vereinbarten Zeitrahmen, erreichbar und nutzbar sind. Diese Begriffe werden üblicherweise verwendet, wenn von den Grenzen der CIA die Rede ist.
Aufrechterhaltung vollständiger Geheimhaltung
Manche Menschen haben die falsche Vorstellung, dass Informationssicherheit und Vertraulichkeit dasselbe sind. Die Sätze „ein sicherer Computer ist abgeschaltet oder, besser noch, kaputt“ und „das einzige wirklich sichere System ist abgeschaltet, in einem Betonklotz eingeschlossen, in einem Raum mit bleiverglasten Wänden versiegelt und von bewaffneten Wachen geschützt, und selbst dann könnte man noch Fragen stellen“ sind gängige Redewendungen im Bereich der Informations- und Kommunikationstechnologie (IKT). Diese Strategie berücksichtigt natürlich nicht die verschiedenen Informationsquellen, die zur Verfügung stehen. Es ist üblich, Vertraulichkeit mit Geheimhaltung gleichzusetzen; das Erfordernis des Schutzes der Vertraulichkeit bedeutet jedoch nicht, dass Informationen niemandem zugänglich gemacht werden dürfen, sondern vielmehr, dass festgelegt wird, wer die Befugnis hat, auf das betreffende Material zuzugreifen. Wie die folgende Abbildung zeigt, ist es nicht immer einfach, die Merkmale der Geheimhaltung einer Information festzustellen und die Personen zu identifizieren, die Zugang zu ihr haben.
Mitarbeiterdaten
In einem Unternehmen sind Informationen über Mitarbeiter immer unter Kontrolle, aber bestimmte Personen wie der beauftragte Arzt, die Geschäftsleitung, die Führungskräfte, bestimmte Behörden, der Buchhalter und die Rechtsabteilung haben Zugang zu diesen Informationen. Jede dieser Gruppen sollte nicht auf alle Daten zugreifen können, sondern nur auf eine Teilmenge davon, z. B. Gesundheitsdaten für den Arzt, Gehaltsabrechnungen für die Verwaltung usw. Es ist möglich, dass sich der Grad der Geheimhaltung der Informationen im Laufe der Zeit ändert. Der Freedom of Information Act in den Vereinigten Staaten ist ein hervorragendes Beispiel für diese Idee, da er vorschreibt, dass Informationen, die sich im Besitz der Regierung befinden, spätestens fünfzig Jahre nach ihrer Entstehung freigegeben werden müssen (d. h. die Beschränkungen, die ihre Geheimhaltung betreffen, müssen aufgehoben werden).
Entwicklungsdaten
Die Merkmale eines neuen Fahrzeugtyps müssen geheim gehalten werden. Während der Entwicklung der Fahrzeuge müssen die Informationen für die Konstrukteure zugänglich sein. Wenn die Fahrzeuge produziert werden, müssen die Informationen für die Arbeiter zugänglich sein. Wenn die Fahrzeuge schließlich verkauft werden sollen, müssen die Informationen, wenn auch nur teilweise, der Öffentlichkeit zugänglich gemacht werden. Ehrlichkeit und Integrität Unsicherheit besteht dann, wenn etwas fälschlicherweise oder auf unerlaubte Weise verändert wurde. Zur Veranschaulichung von Beispiel In dem Film Superman III von 1983 veruntreut Richard Pryor erfolgreich Geld von seinem Arbeitgeber, indem er das Buchhaltungssystem manipuliert. Da er in der Buchhaltung arbeitete, erhielt er Zugang zum System und konnte die erfassten Informationen einsehen; er durfte jedoch keine eigenen Änderungen an den Daten vornehmen. Das Löschen von Informationen ist eine schwerwiegende Art der Veränderung, die auch die Integrität des Datensatzes beeinträchtigt.
Verfügbarkeit
Wie bereits angedeutet, geht es den meisten Menschen in erster Linie um die Wahrung ihrer Privatsphäre. Andererseits sind viele Fachleute auf dem Gebiet der Informationstechnologie der Ansicht, dass die Sicherheit durch die Fähigkeit definiert wird, benötigte Informationen so schnell wie möglich bereitzustellen. Der Parameter der Verfügbarkeit hingegen kann wie folgt umformuliert werden, da dies natürlich nicht immer der Fall sein kann: „Die Informationen müssen denjenigen zur Verfügung stehen, die sie benötigen und die Befugnis haben, sie innerhalb der festgelegten Frist zu erhalten.“
Die „Verzögerung“ kann im Zusammenhang mit einer Aktienbörse in Millisekunden, im Zusammenhang mit einer Online-Shopping-Website in Sekunden oder im Zusammenhang mit einer Bankfiliale in einigen Minuten gemessen werden. Der Grad, in dem etwas für die Nutzer verfügbar ist, kann sich auf seine Geheimhaltung oder Integrität auswirken. Die oberste Führungsebene ist dafür verantwortlich, zu bestimmen, welche Aspekte der Informationssicherheit wichtiger sind als andere, und dieses Wissen in der Politik zu kommunizieren. Die Verfügbarkeit von Informationen wird durch Sicherungskopien verbessert; dies kann jedoch zu einem Anstieg der Vertraulichkeitsprobleme führen, da die Daten dupliziert werden und gestohlen werden können.
Zusätzliche Sicherheitsmerkmale
Die traditionelle Definition von Informationssicherheit umfasst die drei oben genannten Merkmale. Einige Personen fügen zusätzliche Eigenschaften hinzu, wie z. B. authentische, vollständige und nicht widerlegbare Informationen. Wenn Informationen als wahr verifiziert werden können, sagen wir, dass die Informationen echt sind. Der Begriff „unechte Informationen“ bezieht sich auf Daten, die ohne die Erlaubnis des Eigentümers geändert wurden, daher ist dieser Aspekt der Integrität eine Untermenge der allgemeinen Integrität. Wenn die Informationen keine Lücken aufweisen, kann man sagen, dass sie vollständig sind. Ein Defizit ist dasselbe wie das Löschen aller Daten oder nur eines Teils davon, was eine weitere Unterart der Integrität ist. Eine Information gilt als abgelehnt, wenn die Quelle der Information sich später selbst widerspricht. Wenn man über Informationen verfügt, die nicht widerlegt werden können, wie z. B. der Nachweis, dass Vereinbarungen eingehalten und Verpflichtungen pünktlich bezahlt werden, wird ihre Bedeutung sofort deutlich. Ein Dokument, das von seinem Verfasser unterzeichnet wurde, ist ein Beispiel für eine Information, die nicht angefochten werden kann. Anders ausgedrückt: Eine Information gilt als unanfechtbar, wenn sie eine Unterschrift oder eine andere Art von ähnlicher Authentifizierung besitzt; dieses Kriterium kann auch als Teilmenge der Integrität betrachtet werden. Die Rückverfolgbarkeit bezieht sich auf die Möglichkeit, festzustellen, wer eine Information besitzt oder Zugang zu ihr hatte und wer sie verändert hat. Es liegt auf der Hand, dass die für die Rückverfolgung einer Information erforderlichen Daten Bestandteil der Information selbst sein müssen; daher kann die Rückverfolgbarkeit in einigen Zusammenhängen als Untermenge der Integrität betrachtet werden. Ein weiterer Aspekt von Informationen, der durch Gesetze zum Schutz personenbezogener Daten geregelt wird, ist das „Recht auf Vergessenwerden“, auch bekannt als „Recht auf Löschen“ oder „Recht auf Informationslöschung“. Dies bezieht sich auf die Notwendigkeit, Informationen zu löschen, wann immer dies möglich ist, um die Rechte der betroffenen Personen zu schützen.
Auswirkungen auf C I A
Jedes Ereignis hat das Potenzial, eines oder mehrere der Merkmale zu beeinflussen. Die Beispiele für Ereignisse und CIA-Parameter sind miteinander verknüpft. Man kann unterschiedlicher Meinung darüber sein, welche Kriterien auf ein bestimmtes Szenario angewendet werden können. Zunächst muss festgestellt werden, ob ein Parameter entsprechend der direkten oder indirekten Auswirkung des Ereignisses zugewiesen wird: Bei gestohlenen Passwörtern, wie im Fall von Sony, wirkt sich die direkte Auswirkung nur auf die Vertraulichkeit aus; sie kann jedoch später die Verfügbarkeit und Integrität betreffen (wenn diese Passwörter zur Änderung der Daten verwendet werden); dies war bei Sony der Fall (Sony musste die Website mehrere Monate lang sperren). Feuer steht im Zusammenhang mit Integrität und Verfügbarkeit, jedoch besteht die Möglichkeit, dass die Geheimhaltung beeinträchtigt wird, wenn die Evakuierung eines Gebäudes zur Verbreitung sensibler Papierunterlagen führt oder Unbefugten Zugang zu der Einrichtung ermöglicht.
Schutz von Informationen
Schutz von Informationstechnologie und Computern Wenn wir von Informationssicherheit sprechen, die sich nur auf Daten bezieht, die auf Computersystemen gespeichert sind oder zwischen diesen übertragen werden, bezeichnen wir diese Art von Sicherheit als Computer-, Digital-, IT- oder IKT-Sicherheit. Bestimmte Systeme der Informations- und Kommunikationstechnologie (IKT), einschließlich der in der Industrie verwendeten, können als nicht wichtig für die Informationssicherheit angesehen werden, da sie nicht mit sensiblen Daten umgehen.
Im Jahr 2016 gab es in Finnland eine Woche lang kein warmes Wasser, weil das Heizungssystem von Hackern mit Hilfe von Informations- und Kommunikationstechnologie angegriffen wurde . Dies ist technisch gesehen kein Angriff, der sich auf die Informationen auswirkt, aber es handelt sich offensichtlich um einen Vorfall, der die Informations- und Kommunikationstechnologie betrifft. Im Jahr 2021 drang ein unbekannter Angreifer in das Netzwerk einer Wasseraufbereitungsanlage in Florida (Vereinigte Staaten von Amerika) ein und änderte die Mengen der chemischen Dosierungen. Obwohl dieser Angriff Auswirkungen auf die Informationen über die Dosierungen hatte, wurde er von einigen als bedeutend für die Sicherheit der Industrie und nicht für die Informationssicherheit eingestuft. Wir werden den Begriff „Cybersicherheit“ in diesem Artikel auch nicht oft verwenden, da er ein Synonym für „Informations- und Kommunikationstechnologiesicherheit“ ist, obwohl er einen eindrucksvolleren Namen hat.
Informationstechnologie
Der Begriff leitet sich von dem Wort „Cyberspace“ ab, das erstmals 1986 von William Gibson als Bestandteil seiner Cyberpunk-Literatur verwendet wurde. Gibson tat dies vielleicht deshalb, weil der Begriff „Internet“ zu dieser Zeit noch nicht weit verbreitet war. Gibson selbst hat zugegeben, dass er das griechische Wort „Cyber“ (von dem sich auch die Ausdrücke „Regierung“ und „Kybernetik“ ableiten) verwendet hat, ohne zu wissen, was es bedeutet, sondern weil er es faszinierend fand. Im Laufe der Jahre haben viele Menschen versucht, einen Weg zu finden, um die Verwendung der Begriffe „Cybersicherheit“ und „Cyberspace“ in wissenschaftlichen Zusammenhängen zu erklären, aber sie waren nicht in der Lage, sich auf eine strenge Antwort zu einigen oder zu ihr zu gelangen. Dies hat zu Missverständnissen geführt und unrealistische Erwartungen geweckt. Es ist wichtig, ein solides Verständnis des grundlegenden Aspekts des Problems zu haben, nämlich dass die Cybersicherheit zweifellos mit IKT-Systemen zusammenhängt.
Zu diesen Systemen gehören nicht nur solche, die mit realen Informationen umgehen (wie Papiere und Tabellen), sondern auch Konfigurationen. In einer Vielzahl von Kontexten, wie Gas- und Stromverteilungsnetzen, Kühl- und Heizsystemen, Industrie- und Wohnsystemen usw., spielen diese Konfigurationen eine äußerst wichtige Rolle. Im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) bezeichnet der Begriff „Cybersicherheit“ den Prozess des Schutzes potenziell anfälliger Vermögenswerte. Darunter fällt die Sicherheit der folgenden Dinge:
Internet der Dinge
Internet der Dinge (IoT), zu dem Geräte gehören, die in Fabriken (Industrial IoT oder IIoT) und für die Hausautomatisierung verwendet werden; Operational Technology (OT), zu der die industriellen Kontrollsysteme (ICS) gehören, zu denen die überwachende Steuerung und Datenerfassung (SCADA) gehört, die in Netzen verwendet werden, die die Strom-, Gas- und Wasserversorgungsnetze usw. steuern; Technologien für Hausautomatisierungssysteme. In vielen Bereichen wird der Begriff Resilienz der Verfügbarkeit vorgezogen, obwohl die beiden Konzepte in gewisser Weise vergleichbar sind; allerdings bezieht sich die Verfügbarkeit auf Informationen, während sich die Resilienz auf Geräte bezieht. Dies schließt nicht die umgebungsbedingten oder physischen Sicherheitsvorkehrungen für Systeme der Informations- und Kommunikationstechnologie ein. Jemand betrachtet die Sicherheit des Internets, die auch Themen wie Cybermobbing umfassen kann, als Teil des Bereichs der Cybersicherheit (Cybermobbing). „Der Prozess der Bewahrung von Informationen durch Vorbeugung, Erkennung und Reaktion auf Bedrohungen“, wie er vom National Institute of Standards and Technology (NITS) definiert wird, der Einrichtung, die das Wort mit ihrem Cybersecurity Framework o CSF populär gemacht hat, ist viel zu allgemein. Ferner muss darauf hingewiesen werden, dass die im CSF vorgeschlagenen Sicherheitsverfahren grundlegende Internet-Sicherheitsprotokolle sind.
Struktur, Verfahren und Rollen der Organisation
In Übereinstimmung mit den Regeln der ISO werden wir den Begriff „Organisation“ für alle Arten von Unternehmen verwenden, einschließlich Institutionen, Verbände, Agenturen usw. Eine andere Definition ist die eines Unternehmens. Viele verschiedene Definitionen unterscheiden zwischen Geschäftstätigkeiten, d. h. solchen, die aktiv zur Produktion oder zur Erbringung von Dienstleistungen beitragen, und unterstützenden Tätigkeiten. Der Begriff „Unternehmen“ kann in bestimmten Kontexten auch für Personen gelten, die nicht aktiv an der Verwaltung von Informations- und Kommunikationstechnologiesystemen (IKT) beteiligt sind. Da die Informationssicherheit sowohl für den Geschäftsbetrieb als auch für den Support wichtig ist, wird dieser Begriff in diesem Buch nirgends verwendet. Prozesse und Funktionen, die eine Organisation ausmachen, werden im Folgenden in Kategorien unterteilt.
Prozesse im Unternehmen
Die Norm ISO/IEC 27000 liefert uns folgende Definition. Ein Prozess ist eine Gruppe von Aktionen, die miteinander verbunden sind oder miteinander interagieren, um Eingaben in Ausgaben zu verwandeln. Trotz der scheinbaren Einfachheit dieses Begriffs steckt eine Menge Nuance darin. Betrachten wir zur Veranschaulichung von dem Vorgang der Personalschulung. Die Anforderungen an die Mitarbeiterschulung sind die Inputs, während das Ergebnis die Verbesserung der vorhandenen Fähigkeiten der Arbeitnehmer ist. Die Dinge sind jedoch nicht so einfach, wie sie scheinen. Die Preise, das Budget, die Kurstermine, die Verfügbarkeit (falls vorhanden) einer Schulungseinrichtung, Angebote und Rechnungen von Anbietern sowie die Tage, an denen der Ausbilder und das Personal verfügbar sind, werden als Inputs betrachtet. Die Outputs bestehen aus einem Vergleich der Kosten und des Budgets, der Auswahl einer Schulungstechnik, Angebotsanfragen, Aufträgen und Zahlungen an Anbieter, Einladungen zum Kurs und den Ergebnissen von Tests, die durchgeführt wurden. Es gibt viele verschiedene Dinge, die getan werden müssen, wie z. B. die Zusammenstellung einer Liste der erforderlichen Schulungsanforderungen, die Überwachung der Ausgaben und die Bewertung, wie sie sich zu den verfügbaren Mitteln verhalten, die Festlegung der Kurse, Termine, Personen und Orte, die genutzt werden sollen, die Kontaktaufnahme mit den Anbietern und deren Bezahlung, die Sammlung und Übermittlung der Testergebnisse und vieles mehr. Es gibt eine Vielzahl von Instrumenten, die zur Erledigung jeder dieser Aufgaben eingesetzt werden können (IT oder nicht IT). Eines der Merkmale von Prozessen ist, dass sie unter Kontrolle gehalten werden müssen, eine Anforderung, die in der Definition des Begriffs implizit enthalten ist. Dies ist notwendig, um sicherzustellen, dass die Prozesse zu den gewünschten Ergebnissen führen und dass Abweichungen vom vorgesehenen Weg vermieden oder zumindest erkannt werden können.
Erfolgreiche Maßnahmen
Die Kontrolle kann sowohl täglich durch die Mitarbeiter und ihre Vorgesetzten als auch periodisch durch Kontrollen oder Bewertungen der Effektivität und Effizienz des Prozesses erfolgen. In der ISO 9000-Norm heißt es dazu Folgendes: Der Grad, zu dem die geplanten Aktivitäten durchgeführt und die geplanten Ergebnisse erreicht werden, wird als Effektivität definiert. Das Verhältnis zwischen den erzielten Ergebnissen und den eingesetzten Ressourcen wird als Effizienz bezeichnet. Der Erfolg des Lernmanagementprozesses kann auf verschiedene Weise gemessen werden, u. a. durch die Ergebnisse von Tests, die entstandenen Kosten und den Grad der Zufriedenheit von Führungskräften und Auszubildenden. Prozesse weisen die folgenden Merkmale auf:
Lieferanten und Stakeholder
Jeder Input kommt entweder von einer internen Funktion oder einer externen Einheit, wie z. B. Kunden, Lieferanten oder Partnern; für jede Aufgabe im Prozess werden Werkzeuge verwendet (z. B. Formulare und Kommunikationsmittel für Verwaltungsaufgaben; Maschinen und Anlagen für Fertigungstätigkeiten; Software für Computersysteme); für jede Aufgabe sind Verantwortlichkeiten zugewiesen; es gibt festgelegte Verfahren zur Steuerung des Prozesses; jeder Prozess hat Outputs, und jeder Output hat Empfänger, entweder innerhalb oder außerhalb der Organisation; jeder Prozess hat Outputs, und jeder Output hat Empfänger, entweder innerhalb oder außerhalb der Organisation. Bei der Entwicklung von Prozessen werden diese Ausdrücke verwendet; die Prozesse werden so abgebildet und modelliert, wie sie sein sollen und nicht, wie sie tatsächlich sind.
Es ist nicht notwendig, jedes Element eines Prozesses bei der Abbildung oder Modellierung zu spezifizieren, da das tatsächliche Leben immer komplizierter ist als jede Erklärung, die jemals gegeben werden könnte. Das Wichtigste ist, über genügend Details zu verfügen, um die Prozesse zu überwachen, sie den interessierten Parteien (einschließlich derjenigen, die sie umsetzen müssen) zu erklären und die Art und Weise, wie sie durchgeführt werden, zu verbessern.
Aspekte der Arbeitsweise
Eine Organisation ist in Funktionen unterteilt, die im Wesentlichen Teams von Personen sind, die gemeinsam an bestimmten Projekten arbeiten und in der Regel in separaten Büros oder Abschnitten eines Organigramms untergebracht sind.
Für die Kommunikation innerhalb einer Funktion oder zwischen verschiedenen Funktionen müssen vorher festgelegte Kanäle genutzt werden. Wenn es um das Ausbildungsverfahren geht, sind unter anderem der Manager der Auszubildenden, das Personalbüro, die Finanzabteilung und die Einkaufsabteilung betroffen. Diese Funktionen können über E-Mail, Computeranwendungen, Papier oder sogar mündlich miteinander kommunizieren.
Verfahren, Endprodukte und Menschen Verfahren sind ein wesentlicher Bestandteil, aber sie allein können den Erfolg der Einführung eines Managementsystems für Informationssicherheit nicht garantieren. Zusätzlich wichtig sind die Produkte und die Menschen. Es ist wichtig, geschulte Mitarbeiter zu beschäftigen, die wissen, wie sie die Informationssicherheit durch die Anwendung geeigneter Verfahren und die Nutzung von Lösungen, die auf ihre Bedürfnisse zugeschnitten sind, erreichen können. Produkte, Prozesse (oder Verfahren) und Menschen bilden das Dreigestirn, das als die drei P bekannt ist. In Anhang B stellen wir ein viertes P vor, das für die Anbieter (Partner) gilt.
Ein frischgebackener Fahrer am Steuer eines Rennwagens wird nicht nur keine Preise gewinnen, sondern aufgrund mangelnder Erfahrung, unzureichender Kenntnis der entsprechenden Verfahren und übermäßigem Vertrauen in die eigenen Fähigkeiten auch sich selbst und andere in Gefahr bringen. Wenn ein guter Fahrer am Steuer eines weniger schwierigen Fahrzeugs säße, wäre der Ausgang des Rennens aufgrund seiner besseren Vorbereitung und seines theoretischen und praktischen Fachwissens fast sicher günstiger. Das beste Ergebnis ist jedoch der Sieg, und den kann man nur mit dem richtigen Auto, dem richtigen Fahrer (zusammen mit seinem Mechanikerteam) und den richtigen Verfahren erreichen. Welches der drei P’s wird als das wichtigste angesehen? Keines von ihnen; um unser gemeinsames Ziel zu erreichen, muss jeder seinen Beitrag leisten, und zwar in umfassender Weise.
Instrumente zur Informationssicherheit
Wenn es um den Schutz sensibler Daten geht, ist ein Antivirenprogramm zweifelsohne ein unverzichtbares Instrument, aber auch die Verfahren, mit denen es auf dem neuesten Stand gehalten wird, und die Personen, die für seine Installation und Einstellung verantwortlich sind, sind entscheidend. Wenn es um den Menschen geht, muss man sich mit einer Reihe von Problemen befassen, von denen jedes eine bestimmte Maßnahme erfordert.
Wie in der Formel 1, wo es Mechaniker, Ingenieure und Spezialisten gibt, die jeweils für eine scheinbar einfache Aufgabe wie den Wechsel einer Schraube am Rad ausgebildet sind, ist die Informationssicherheit heute ein Thema, das so kompliziert ist, dass man nicht nur einen, sondern viele Spezialisten braucht, die sich mit bestimmten Verfahren befassen und bestimmte Produkte einsetzen. Dies ist vergleichbar mit der Situation, in der es in der Formel 1 Mechaniker, Ingenieure und Spezialisten gibt, die jeweils für eine scheinbar einfache Aufgabe wie den Wechsel einer Schraube am Rad ausgebildet sind.
Sie benötigen insbesondere einen Fachmann für Informationssicherheitsmanagement, der eng mit dem Leiter der Informationssysteme zusammenarbeitet und auf die Unterstützung einer Vielzahl anderer Fachleute angewiesen ist (z. B. für Netzwerkausrüstung, Server, persönliche Geräte und Softwareanwendungen).