4 Min. Lesezeit

IT-Sicherheit vs Informationssicherheit: Der Unterschied

IT-Sicherheit vs Informationssicherheit: Der Unterschied

Ein Unternehmen investiert in eine neue Firewall, schult die Mitarbeiter zu Phishing und fühlt sich sicher. Trotzdem liegt drei Monate später ein vertraulicher Vertrag offen auf dem Schreibtisch im Empfangsbereich, für jeden Besucher einsehbar. Genau hier zeigt sich der Unterschied zwischen IT-Sicherheit und Informationssicherheit, den viele Verantwortliche in KMUs nicht sauber trennen.

IT-Sicherheit schützt Systeme und Netzwerke. Informationssicherheit schützt Informationen, unabhängig davon, ob sie auf einem Server liegen oder auf Papier im Aktenschrank. Wer nur die Technik absichert, lässt eine Lücke offen, die kein Virenscanner schließen kann.

In diesem Artikel erfahren Sie, wie beide Begriffe zusammenhängen, wo genau die Grenze verläuft und was das für Ihre Sicherheitsstrategie bedeutet, auch mit Blick auf die IT-Sicherheit als Grundlage und die Schutzziele der Informationssicherheit.

 

Das Wichtigste in Kürze
  • 1 IT-Sicherheit schützt Technik. Informationssicherheit schützt Informationen, egal ob auf einem Server, auf Papier oder in einem Gespräch.
  • 2 IT-Sicherheit ist ein Teilbereich der Informationssicherheit. Wer nur die Technik absichert, lässt organisatorische Lücken offen, die kein Virenscanner schließen kann.
  • 3 Die Formel: Datenschutz + IT-Sicherheit = Informationssicherheit. Alle drei Ebenen zusammen ergeben einen belastbaren Schutz.
  • 4 Beide Konzepte basieren auf denselben drei Schutzzielen: Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triad), angewandt auf digitale und analoge Informationen.
  • 5 NIS2 verpflichtet Betreiber wichtiger Einrichtungen, beide Ebenen gemeinsam zu betrachten. IT-Sicherheit und Informationssicherheit getrennt zu managen ist für diese Unternehmen keine Option mehr.

 

Definition: Was ist IT-Sicherheit, was ist Informationssicherheit?

IT-Sicherheit bezeichnet den Schutz von Computersystemen, Netzwerken und digitalen Daten vor unbefugtem Zugriff, Manipulation und Ausfall. Sie umfasst technische Maßnahmen wie Firewalls, Verschlüsselung und Zugriffskontrollen, mit dem Ziel, Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen sicherzustellen.

Informationssicherheit ist der weiter gefasste Begriff. Sie schützt alle Informationen eines Unternehmens, unabhängig vom Medium. Das schließt digitale Daten genauso ein wie ausgedruckte Verträge, handschriftliche Notizen oder mündlich weitergegebene Informationen. Neben technischen Maßnahmen gehören dazu organisatorische Regelungen, etwa wer Zugang zu welchen Räumen hat, und rechtliche Vorgaben wie die DSGVO.

Der Unterschied lässt sich an einem Beispiel festmachen: Eine hochmoderne Firewall ist IT-Sicherheit. Ein abschließbarer Aktenschrank für vertrauliche Ausdrucke ist Informationssicherheit. Beide schützen dieselbe Information, nur auf unterschiedlichen Wegen.

 

Enger Scope
IT-Sicherheit
  • Schutz von Hardware, Software und Netzwerken
  • Fokus ausschließlich auf digitale Daten
  • Technische Maßnahmen: Firewall, Endpoint-Schutz, Verschlüsselung
  • Verantwortlich: IT-Abteilung / IT-Dienstleister
Beispiel: Ein Server ist durch eine Firewall vor unbefugten Zugriffen aus dem Internet geschützt.
Weiter Scope
Informationssicherheit
  • Schutz von digitalen und analogen Informationen
  • Technische, organisatorische und personelle Maßnahmen
  • Regelt Zutrittskontrollen, Berechtigungskonzepte, Mitarbeiterverpflichtungen
  • Verantwortlich: Geschäftsführung / ISB
Beispiel: Ein Aktenordner mit Kundendaten ist in einem verschlossenen Raum aufbewahrt, zu dem nur berechtigte Mitarbeiter Zutritt haben.
Die Formel dahinter
Datenschutz + IT-Sicherheit = Informationssicherheit
Hinweis NIS2: Seit 2024 kommt für viele Unternehmen im Mittelstand ein weiterer Faktor hinzu. Die EU-Richtlinie NIS2 verpflichtet Betreiber wichtiger und besonders wichtiger Einrichtungen zu einem Risikomanagement, das IT-Sicherheit und organisatorische Informationssicherheit gemeinsam betrachtet, nicht mehr getrennt.
1
Sicherheitsrichtlinien festlegen
Klare Regeln für Passwörter, Gerätenutzung und den Umgang mit externen Datenträgern. Ohne dokumentierte Richtlinie handelt jeder Mitarbeiter nach eigenem Ermessen, was im Ernstfall zu uneinheitlichem Verhalten führt.
2
Mitarbeiter schulen
Phishing-Mails sind laut BSI-Lagebericht weiterhin einer der häufigsten Angriffswege auf Unternehmen. Regelmäßige Schulungen senken das Risiko spürbar, einmalige Einweisungen beim Onboarding reichen dafür nicht aus.
3
Firewall und Netzwerksicherheit
Eine korrekt konfigurierte und laufend überwachte Firewall verhindert unautorisierten Zugriff auf das Netzwerk. Entscheidend ist dabei nicht nur die Anschaffung, sondern die kontinuierliche Pflege der Regeln.
4
Daten verschlüsseln
Sensible Daten sollten sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt sein, insbesondere bei mobilen Endgeräten und Cloud-Diensten.
5
Updates und Patches
Bekannte Sicherheitslücken werden häufig gezielt ausgenutzt, sobald ein Patch veröffentlicht ist. Ein strukturiertes Patch-Management schließt diese Lücken zeitnah statt erst nach Wochen.
6
Regelmäßige Backups
Backups nach der 3-2-1-Regel (drei Kopien, zwei Medien, eine davon extern) stellen sicher, dass ein Unternehmen nach einem Cyberangriff oder Systemausfall handlungsfähig bleibt.

 

Wer ist im Unternehmen verantwortlich?

IT-Sicherheit fällt klassisch in den Aufgabenbereich der IT-Abteilung oder eines externen IT-Dienstleisters. Informationssicherheit geht darüber hinaus und erfordert eine eigene Rolle: den Informationssicherheitsbeauftragten (ISB). Der ISB koordiniert das gesamte Informationssicherheitsmanagement, also die Erstellung von Richtlinien, die Risikobeurteilung und die Schulung der Belegschaft, und berichtet direkt an die Geschäftsführung.

In größeren Unternehmen und im öffentlichen Sektor ist der ISB meist eine dedizierte Stelle. Im Mittelstand übernimmt diese Funktion häufig der IT-Leiter zusätzlich zu seinen operativen Aufgaben, was in der Praxis zu Interessenkonflikten führen kann: Wer Systeme betreibt, hat nicht automatisch den nötigen Abstand um sie objektiv zu bewerten. Für KMUs ohne eigene Ressourcen bietet sich ein externer ISB als Dienstleistung an.

Der organisatorische Rahmen für beide Rollen ist das Informationssicherheits-Managementsystem (ISMS). Ein ISMS nach ISO 27001 oder BSI-Grundschutz definiert, welche Prozesse, Verantwortlichkeiten und Kontrollen ein Unternehmen einsetzen muss, um Informationen systematisch zu schützen. Es ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungszyklus.

 

Was IT-Sicherheit und Informationssicherheit verbindet: die Schutzziele

Trotz ihrer unterschiedlichen Reichweite verfolgen beide Konzepte dieselben drei Grundziele, die als CIA-Triad bekannt sind: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Diese Schutzziele gelten für digitale Daten genauso wie für Papierakten oder mündlich weitergegebene Informationen.

Vertraulichkeit bedeutet, dass Informationen nur von berechtigten Personen eingesehen werden dürfen. Integrität stellt sicher, dass Daten vollständig und unverändert bleiben. Verfügbarkeit garantiert, dass autorisierte Nutzer jederzeit auf die benötigten Informationen zugreifen können. Ein Ransomware-Angriff verletzt primär die Verfügbarkeit. Ein entwendeter Aktenordner verletzt die Vertraulichkeit. Beides fällt unter Informationssicherheit, auch wenn die Ursachen technisch unterschiedlicher Natur sind.

Mehr zu den Schutzzielen und ihrer praktischen Bedeutung für den Mittelstand lesen Sie in unserem Artikel zu den Schutzzielen der Informationssicherheit.

 

Fazit: IT-Sicherheit als Fundament für Informationssicherheit

IT-Sicherheit und Informationssicherheit lösen sich nicht gegenseitig ab, sie bauen aufeinander auf. Eine Firewall allein schützt kein Unternehmen, wenn vertrauliche Unterlagen offen im Büro liegen. Ein verschlossener Aktenschrank allein schützt nicht vor einem Ransomware-Angriff.

Wer beide Ebenen zusammen denkt, IT-Sicherheit als technische Basis und Informationssicherheit als organisatorischen Rahmen, baut einen Schutz auf, der sowohl digitale als auch analoge Risiken abdeckt. Für Unternehmen, die sich unsicher sind, wo sie aktuell stehen, lohnt sich ein Blick in unser IT-Sicherheitskonzept, das beide Bereiche strukturiert zusammenführt.

 

FAQ

Häufig gestellte Fragen zum Thema

IT-Sicherheit schützt technische Systeme, Informationssicherheit schützt Informationen unabhängig vom Medium, also auch Papierdokumente und mündlich weitergegebene Informationen.