Analog zu Daten[schutz|sicherheit|sicherung] verhält es sich mit der Abgrenzung zwischen IT-Sicherheit und Informationssicherheit. Eigentlich kann man in die gleiche Schublade auch noch den Unterschied zwischen ISO27001 und BSI IT-Grundschutz stecken. IT- und Informationssicherheit werden gerne – nicht nur im Management, sondern auch bei unbedarften Administratoren – durcheinander geworfen. Die beiden wesentlichen Komponenten in der Informationstechnologie – nämlich die Information und die Technologie – sind unweigerlich Gefahren ausgesetzt. Nicht nur die bösen Datendiebe haben es auf die Information abgesehen, nein, auch die Systeme selbst können zum Problemfall werden. Aber was genau sind nun die Unterschiede zwischen IT-Sicherheit und Informationssicherheit?
Der Begriff lässt es schon beinahe vermuten. Die IT-Sicherheit beschreibt die Sicherheit der IT-Systeme. Sowohl physikalische als auch logische Sicherheit muss im Rahmen der IT-Sicherheit betrachtet werden. Gibt es ein Berechtigungskonzept und werden die Zugriffe auf die Systeme und die darauf gespeicherten Daten dadurch gereget? Ist sichergestellt, dass keine unberechtigten Personen Daten auf dem System lesen, verändern, löschen oder gar manipulieren können? Ist der physikalische Zugriff auf den Server geregelt und geschützt? Wer kommt an den Server und kann sich ungestört anmelden oder Datenträger im System platzieren? Was passiert beim Ausfall eines Systems oder eines Systembereiches (z.B. eines Rechenzentrums)? Grundlage für die IT-Sicherheit bildet in Unternehmen das IT-Sicherheitskonzept, welches zu Beginn des IT-Sicherheitsprozesses erstellt wird.
Nachdem wir die Systeme in der IT-Sicherheit betrachtet haben, ist klar, dass die Informationssicherheit ihr Augenmerk auf die eigentliche Information legt. Während die Systeme in der Informationssicherheit nur indirekt betrachtet werden, wir bei allen Fragen der Informationssicherheit darauf geachtet, dass die eigentliche Information ausreichend geschützt ist. Wie auch bei der Datensicherheit sind Verfügbarkeit, Vertraulichkeit und Integrität die elementaren Schutzziele. Aus den Vorgaben und Zielen der Informationssicherheit ergeben sich zwangsläufig Maßnahmen für die IT-Sicherheit, die sich aber nicht direkt ableiten lassen, sondern erst bei Betrachtung der Schutzziele und der gespeicherten Information betrachtet werden können.
