Datenschutzkonzept: Inhalte, Pflicht und DSGVO-Anforderungen
Eine Datenpanne. Die Datenschutzbehörde meldet sich. Die erste Frage: „Können Sie nachweisen, welche technischen und organisatorischen Maßnahmen Sie...
Sie haben Fragen zu Produkte und Dienstleistungen?
IT Security Blog abonnieren um immer auf dem neuesten Stand zu bleiben.
Managed Security
Weitere IT-Sicherheitslösungen
Managed Services
Weitere IT-Servicelösungen
Unsere KI-Lösungen
Karriere bei BRANDMAUER IT
Kostenlose Downloads
Weiterbildungen
Kostenlose Webinaraufzeichnungen
Unser Blog
Kundenstimmen und Partner
Coworking bei uns
Software-Lösungen
4 Min. Lesezeit
Eric Weis
:
03.07.2026 10:32:24
Ein Unternehmen investiert in eine neue Firewall, schult die Mitarbeiter zu Phishing und fühlt sich sicher. Trotzdem liegt drei Monate später ein vertraulicher Vertrag offen auf dem Schreibtisch im Empfangsbereich, für jeden Besucher einsehbar. Genau hier zeigt sich der Unterschied zwischen IT-Sicherheit und Informationssicherheit, den viele Verantwortliche in KMUs nicht sauber trennen.
IT-Sicherheit schützt Systeme und Netzwerke. Informationssicherheit schützt Informationen, unabhängig davon, ob sie auf einem Server liegen oder auf Papier im Aktenschrank. Wer nur die Technik absichert, lässt eine Lücke offen, die kein Virenscanner schließen kann.
In diesem Artikel erfahren Sie, wie beide Begriffe zusammenhängen, wo genau die Grenze verläuft und was das für Ihre Sicherheitsstrategie bedeutet, auch mit Blick auf die IT-Sicherheit als Grundlage und die Schutzziele der Informationssicherheit.
IT-Sicherheit bezeichnet den Schutz von Computersystemen, Netzwerken und digitalen Daten vor unbefugtem Zugriff, Manipulation und Ausfall. Sie umfasst technische Maßnahmen wie Firewalls, Verschlüsselung und Zugriffskontrollen, mit dem Ziel, Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen sicherzustellen.
Informationssicherheit ist der weiter gefasste Begriff. Sie schützt alle Informationen eines Unternehmens, unabhängig vom Medium. Das schließt digitale Daten genauso ein wie ausgedruckte Verträge, handschriftliche Notizen oder mündlich weitergegebene Informationen. Neben technischen Maßnahmen gehören dazu organisatorische Regelungen, etwa wer Zugang zu welchen Räumen hat, und rechtliche Vorgaben wie die DSGVO.
Der Unterschied lässt sich an einem Beispiel festmachen: Eine hochmoderne Firewall ist IT-Sicherheit. Ein abschließbarer Aktenschrank für vertrauliche Ausdrucke ist Informationssicherheit. Beide schützen dieselbe Information, nur auf unterschiedlichen Wegen.
IT-Sicherheit fällt klassisch in den Aufgabenbereich der IT-Abteilung oder eines externen IT-Dienstleisters. Informationssicherheit geht darüber hinaus und erfordert eine eigene Rolle: den Informationssicherheitsbeauftragten (ISB). Der ISB koordiniert das gesamte Informationssicherheitsmanagement, also die Erstellung von Richtlinien, die Risikobeurteilung und die Schulung der Belegschaft, und berichtet direkt an die Geschäftsführung.
In größeren Unternehmen und im öffentlichen Sektor ist der ISB meist eine dedizierte Stelle. Im Mittelstand übernimmt diese Funktion häufig der IT-Leiter zusätzlich zu seinen operativen Aufgaben, was in der Praxis zu Interessenkonflikten führen kann: Wer Systeme betreibt, hat nicht automatisch den nötigen Abstand um sie objektiv zu bewerten. Für KMUs ohne eigene Ressourcen bietet sich ein externer ISB als Dienstleistung an.
Der organisatorische Rahmen für beide Rollen ist das Informationssicherheits-Managementsystem (ISMS). Ein ISMS nach ISO 27001 oder BSI-Grundschutz definiert, welche Prozesse, Verantwortlichkeiten und Kontrollen ein Unternehmen einsetzen muss, um Informationen systematisch zu schützen. Es ist kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungszyklus.
Trotz ihrer unterschiedlichen Reichweite verfolgen beide Konzepte dieselben drei Grundziele, die als CIA-Triad bekannt sind: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Diese Schutzziele gelten für digitale Daten genauso wie für Papierakten oder mündlich weitergegebene Informationen.
Vertraulichkeit bedeutet, dass Informationen nur von berechtigten Personen eingesehen werden dürfen. Integrität stellt sicher, dass Daten vollständig und unverändert bleiben. Verfügbarkeit garantiert, dass autorisierte Nutzer jederzeit auf die benötigten Informationen zugreifen können. Ein Ransomware-Angriff verletzt primär die Verfügbarkeit. Ein entwendeter Aktenordner verletzt die Vertraulichkeit. Beides fällt unter Informationssicherheit, auch wenn die Ursachen technisch unterschiedlicher Natur sind.
Mehr zu den Schutzzielen und ihrer praktischen Bedeutung für den Mittelstand lesen Sie in unserem Artikel zu den Schutzzielen der Informationssicherheit.
IT-Sicherheit und Informationssicherheit lösen sich nicht gegenseitig ab, sie bauen aufeinander auf. Eine Firewall allein schützt kein Unternehmen, wenn vertrauliche Unterlagen offen im Büro liegen. Ein verschlossener Aktenschrank allein schützt nicht vor einem Ransomware-Angriff.
Wer beide Ebenen zusammen denkt, IT-Sicherheit als technische Basis und Informationssicherheit als organisatorischen Rahmen, baut einen Schutz auf, der sowohl digitale als auch analoge Risiken abdeckt. Für Unternehmen, die sich unsicher sind, wo sie aktuell stehen, lohnt sich ein Blick in unser IT-Sicherheitskonzept, das beide Bereiche strukturiert zusammenführt.
FAQ
IT-Sicherheit schützt technische Systeme, Informationssicherheit schützt Informationen unabhängig vom Medium, also auch Papierdokumente und mündlich weitergegebene Informationen.
Ja. Auch KMUs verarbeiten vertrauliche Kundendaten, Verträge und personenbezogene Daten, die sowohl technisch als auch organisatorisch geschützt werden müssen. Größe schützt nicht vor Haftung bei einem Datenschutzverstoß.
Direkte Vorgaben ergeben sich aus der DSGVO für personenbezogene Daten. Für Betreiber wichtiger und besonders wichtiger Einrichtungen kommt zusätzlich NIS2 hinzu, das ein umfassendes Risikomanagement verlangt.
Mit einer Bestandsaufnahme, welche Informationen im Unternehmen besonders schützenswert sind und wie sie aktuell gesichert werden, digital wie analog. Darauf aufbauend lässt sich ein IT-Sicherheitskonzept entwickeln.
Eine Datenpanne. Die Datenschutzbehörde meldet sich. Die erste Frage: „Können Sie nachweisen, welche technischen und organisatorischen Maßnahmen Sie...
1 Min. Lesezeit
Ein ISMS (Information Security Management System) ist ein systematischer Ansatz zur Steuerung der Informationssicherheit in Unternehmen. Es legt...
1 Min. Lesezeit
Wenn Unternehmen oder Organisationen online kommunizieren, Daten speichern oder übertragen, muss die IT-Sicherheit gewährleistet sein. Cyberangriffe...