Informationssicherheit beschäftigt sich mit dem Schutz von Informationen zur Sicherstellung der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit.
Definitionen und Kern-Eigenschaften
Informationssicherheit ist ein komplexes, abstraktes Konstrukt, für welches keine einheitliche Definition existiert. So beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Informationssicherheit auf Grundlage des Standards ISO 27001 als Schutz von Vertraulichkeit, Integrität und Verfügbarkeit [Bundesamt für Sicherheit in der Informationstechnik 2012, S. 14]. Ähnlich definiert die U.S. amerikanische Normierungsbehörde National Institute of Standards and Technology (NIST) Informationssicherheit als Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Nutzung, Veröffentlichung, Störung, Modifikation oder Löschung, um Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen [NIST 2002, S. 2]. Obgleich innerhalb der Wissenschaft Definitionen des Begriffs Informationssicherheit häufig auch weitere Aspekte wie etwa Authentizität und Nachweisbarkeit [z. B. Gordon, Loeb 2002, S. 439] umfassen, haben auch diese Definitionen zumeist gemein, dass sie den Schutz der drei Kerneigenschaften der Informationssicherheit; Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability) beschreiben [Dehling, Sunyaev 2014, S. 92]. Dabei meint
-
Vertraulichkeit – den Schutz von vertraulichen Informationen vor unberechtigtem Zugriff,
-
Integrität – den Schutz von Daten und Informationssystemen gegenüber unzulässiger Modifikation und Löschung von Informationen,
-
Verfügbarkeit – das Sicherstellen eines rechtzeitigen und verlässlichen Zugriffs auf Informationen und Informationssysteme.
Beziehung zu Informationsprivatheit
Analog zum Begriff Informationssicherheit existiert auch für den Begriff Informationsprivatheit keine einheitliche Definition innerhalb der Wissenschaft [Bélanger, Crossler 2011, S. 1019]. Eine mögliche Klassifizierung existierender Definitionen des Begriffs Informationsprivatheit teilt diese in wert-basierte Definitionen und kognat-basierte Definitionen [Smith, Dinev, Xu 2011, S. 992–993]. Dabei fassen wert-basierte Definitionen Informationsprivatheit entweder als grundlegendes Menschenrecht oder als ein Allgemeingut auf, wohingegen kognat-basierte Definitionen von Informationsprivatheit diese als einen Status von Individuen oder als Form von Kontrolle auffassen [Smith, Dinev, Xu 2011, S. 994]. Darüber hinaus handelt es sich bei Informationsprivatheit im Allgemeinen um ein kontextuelles Konstrukt, welches durch kontextuelle Faktoren wie bspw. kulturelle Normen, Rechtslage, Art der Informationen oder Verarbeitungszweck beeinflusst wird [Nissenbaum 2004, S. 120].
Obwohl es sich um verwandte Begriffe handelt, die oft im Einklang oder gar synonym genannt werden, müssen Informationssicherheit und Informationsprivatheit als unterschiedliche Konzepte betrachtet werden. So stellt bspw. Verfügbarkeit eine Kerneigenschaft von Informationssicherheit dar, da Informationen die nicht zugänglich sind nur einen begrenzten Wert haben. Zur Gewährleistung von Informationsprivatheit hingegen spielt Verfügbarkeit keine wichtige Rolle. Bis zu einem gewissen Grad fördern sich Informationssicherheit und Informationsprivatheit somit gegenseitig. Darüber hinaus sind sich beide Konzepte zunehmend abträglich [Thiebes, Dehling, Sunyaev 2016, S. 3–4]. Insgesamt lässt sich festhalten, dass Informationssicherheit und Informationsprivatheit unterschiedliche, aber nicht vollständig disjunkte Konstrukte sind.
Literatur
Bélanger, France; Crossler, Robert E. Privacy in the digital age: a review of information privacy research in information systems. MIS Quarterly 35(2011), Nr.4, S. 1017-1042.
Bundesamt für Sicherheit in der Informationstechnik, 2012: Leitfaden Informationssicherheit: IT-Grundschutz kompakt. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Leitfaden/GS-Leitfaden_pdf (Abruf: 07.11.2016).
Dehling, Tobias; Sunyaev, Ali. Secure Provision of Patient-Centered Health Information Technology Services in Public Networks—Leveraging Security and Privacy Features Provided by the German Nationwide Health Information Technology Infrastructure. Electronic Markets 24(2014), Nr. 2, S. 89–99.
Gordon, Lawrence A.; Loeb, Martin P. The economics of information security investment. ACM Transactions on Information and System Security 5(2002), Nr. 4, S. 438-457.NIST, 2002: Federal Information Security Management Act of 2002: Title III – INFORMATION SECURITY. http://csrc.nist.gov/drivers/documents/FISMA-final.pdf [Abruf: 17. November 2016].
Nissenbaum, Helen. Privacy as Contextual Integrity. Washington Law Review 79(2004), S. 119–158.Smith, H.J., T. Dinev und H. Xu. Information privacy research: an interdisciplinary review. MIS Quarterly 35(2011), Nr. 4, S. 989-1016.
Thiebes, Scott; Dehling, Tobias; Sunyaev, Ali. One Size Does Not Fit All: Information Security and Information Privacy for Genomic Cloud Services In: Proceedings of 24th European Conference on Information Systems [ECIS 2016]. Istanbul, Turkey