This is the Trace Id: 739ec36190d4445d40cc6cebdae0dcdc
Zu Hauptinhalt springen Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Alle Produkte anzeigen KI für Cybersicherheit Cloudsicherheit Datensicherheit und Governance Identitäten und Netzwerkzugriff Datenschutz und Risikomanagement Sicherheit für KI Kleine und mittelständische Unternehmen Einheitliche Sicherheitsabläufe (SecOps) Zero Trust Preise Dienste Partner Warum Microsoft Security Sensibilisierung für Cybersicherheit Kundenreferenzen Sicherheitsgrundlagen Produkttests Branchenecho Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security-Blog Microsoft Security-Veranstaltungen Microsoft Tech Community Dokumentation Technical Content Library Schulungen und Zertifizierungen Compliance Program for Microsoft Cloud Microsoft Trust Center Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub An den Vertrieb wenden Kostenlos testen Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft KI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva Quanten-Computing Bildung und Forschung Automobilbranche Finanzdienstleistungen Öffentlicher Sektor Gesundheitswesen Produktion Einzelhandel Partner finden Partner werden Partner-Netzwerk Microsoft Marketplace Softwareunternehmen Blog Microsoft Advertising Developer Center Dokumentation Veranstaltungen Lizenzierung Microsoft Learn Microsoft Research Siteübersicht anzeigen
Bericht abrufen
Mitarbeitende überprüfen Inhalte auf einem Desktopmonitor

Was ist Informationssicherheit (InfoSec)?

Schützen Sie vertrauliche Daten in Clouds, Apps und an Endpunkten.
InfoSec-Schutz entdecken

Einfach erklärt: Informationssicherheit (InfoSec)

Unter Informationssicherheit (kurz InfoSec) versteht man eine Reihe von Sicherheitsprozeduren und -tools, die vertrauliche Unternehmensinformationen umfassend vor Missbrauch, unbefugtem Zugriff, Störungen oder Zerstörung schützen. InfoSec umfasst physische Sicherheit und Umgebungssicherheit, Zugriffssteuerung und Cybersicherheit. Dazu zählen häufig auch Technologien wie Cloud Access Security Brokers(CASB), Tools zur Betrugsaufdeckung, Erkennung und Reaktion am Endpunkt (EDR) sowie Sicherheitstests für DevOps (DevSecOps).

Hauptelemente der Informationssicherheit

InfoSec umfasst verschiedene Sicherheitstools, -lösungen und -prozesse, die für die Sicherheit von Unternehmensdaten auf mehreren Geräten an verschiedenen Standorten sorgen und so zum Schutz vor Cyberangriffen und anderen Störereignissen beitragen.

Anwendungssicherheit

Richtlinien, Prozeduren und Best Practices, die zum Schutz von Anwendungen und zugehörigen Daten umgesetzt werden.

Incident Response

Der Plan, nach dem ein Unternehmen auf die Folgen von Cyberangriffen, Datenlecks und sonstigen Störereignissen reagiert und den Normalbetrieb wiederherstellt.

Cloudsicherheit

Richtlinien, Prozeduren, Tools und Best Practices, die zum Schutz sämtlicher Aspekte der Cloud einschließlich Systemen, Daten, Anwendungen und Infrastruktur umgesetzt werden.

Cloudsicherheit

Infrastruktursicherheit

Die Sicherheit, die die gesamte technische Infrastruktur eines Unternehmens einschließlich Hardware- und Softwaresystemen umfasst.

Kryptografie

Eine algorithmusbasierte Methode für sichere Kommunikation, die dafür sorgt, dass nur legitime Empfänger eine bestimmte Nachricht anzeigen und entschlüsseln können

Bedrohungs- und Sicherheitsrisikomanagement

Der Prozess, den ein Unternehmen zur Identifikation, Bewertung und Beseitigung von Sicherheitsrisiken einleitet – für Endpunkte, Software und Systeme.

Notfallwiederherstellung

Eine Methode zur Wiederherstellung der funktionalen Technologiesysteme nach Ereignissen wie Naturkatastrophen, Cyberangriffen oder anderen Störfällen.

Drei Pfeiler der Informationssicherheit: die CIA-Triade

Vertraulichkeit, Integrität und Verfügbarkeit sind die Eckpfeiler eines wirkungsvollen Informationsschutzes, der die Basis für die Sicherheitsinfrastruktur eines Unternehmens bildet. Die CIA-Triade (Confidentiality, Integrity, Availability) bietet diese drei Konzepte als Grundprinzipien für die Umsetzung eines InfoSec-Plans.
 

Vertraulichkeit


Datenschutz ist eine wichtige InfoSec-Komponente. Unternehmen sollten Maßnahmen ergreifen, wonach lediglich befugte Benutzer Zugriff auf Informationen erhalten. Datenverschlüsselung, Multi-Faktor-Authentifizierung und die Verhinderung von Datenverlust sind nur einige der Tools, die Unternehmen zur Wahrung der Vertraulichkeit ihrer Daten einsetzen können.
 

Integrität


Unternehmen müssen die Integrität ihrer Daten während ihres gesamten Lebenszyklus wahren. Mit einem starken InfoSec-Konzept lässt sich die Bedeutung exakter, verlässlicher Daten erkennen, damit keine unbefugten Zugriffe stattfinden bzw. keine Daten verändert oder anderweitig manipuliert werden. Tools wie Dateiberechtigungen, Identitätsverwaltung und Benutzerzugriffssteuerung tragen zur Datenintegrität bei.
 

Verfügbarkeit


Zu InfoSec gehört es, die physische Hardware konsequent zu warten und regelmäßig Systemupgrades durchzuführen. So wird sichergestellt, dass berechtigte Benutzer zuverlässig und kontinuierlich auf Daten zugreifen können – wann immer dies nötig ist.

Häufige Bedrohungen für Informationssicherheit

APT-Angriff (Komplexe anhaltende Bedrohung):

Ein raffinierter Cyberangriff über einen längeren Zeitraum hinweg, bei dem sich ein unerkannter Angreifer (oder eine Gruppe) Zugriff auf das Netzwerk und die Daten eines Unternehmens verschafft.

Botnet:

Bei einem Botnet (abgeleitet vom Begriff "Roboter-Netzwerk") handelt es sich um einen Verbund vernetzter Geräte, die ein Angreifer mit schädlichem Code infiziert und per Remotezugriff steuert.

DDoS-Angriffe (Distributed Denial-of-Service):

Bei DDoS-Angriffen werden Botnets eingesetzt, um die Website oder Anwendung eines Unternehmens zu überwältigen, sodass diese abstürzen bzw. für berechtigte Benutzer oder Besucher nicht mehr erreichbar sind.

Drive-by-Download-Angriff:

Ein schädliches Codesegment, das automatisch auf ein Gerät heruntergeladen wird, wenn der Benutzer eine Website besucht. Dadurch ist die Person anfällig für weitere Sicherheitsbedrohungen.

Exploit-Kit:

Ein umfassendes Toolset, das Exploits nutzt, um Sicherheitslücken zu erkennen und Geräte mit Schadsoftware zu infizieren.

Insiderbedrohung:

Die Möglichkeit, dass eine interne Person absichtlich oder unabsichtlich Zugriffsberechtigungen ausnutzt, um unternehmenseigene Systeme, Netzwerke und Daten zu beschädigen oder angreifbar zu machen.

MitM-Angriff (Man-in-the-Middle):

Ein böswilliger Angreifer, der einen Nachrichtenweg oder eine Datenübertragung unterbricht, indem er sich als berechtigter Benutzer ausgibt – mit der Absicht, Informationen oder Daten zu stehlen.

Phishingangriff:

Phishingangreifer geben sich als seriöse Unternehmen oder Benutzer aus, um per E-Mail, SMS oder über andere Kommunikationswege Informationen zu stehlen.

Ransomware:

Ein mit Schadsoftware durchgeführter Erpressungsangriff, durch den die Daten eines Unternehmens oder einer Person verschlüsselt werden. Der Zugriff wird erst nach Zahlung eines Lösegelds wieder freigegeben.

Social Engineering:

Cyberangriffe, die ihren Ursprung in zwischenmenschlichen Interaktionen haben. Dabei erschleichen sich Angreifer durch bestimmte Anreize, Scareware oder Phishing das Vertrauen eines Opfers, um personenbezogene Informationen zu sammeln und diese für einen Angriff zu nutzen.

Social-Media-Angriff:

Cyberangriffe auf Social-Media-Plattformen, bei denen die Plattformen als Übermittlungsmechanismen genutzt bzw. Benutzerinformationen und -daten gestohlen werden.

Viren und Würmer:
 

Schädliche unerkannte Schadsoftware, die sich im Netzwerk oder System eines Benutzers selbst replizieren kann.

Technologien für die Informationssicherheit

Cloud Access Security Brokers (CASB)

Punkte zur Durchsetzung von Sicherheitsrichtlinien, die zwischen Unternehmensanwendern und Clouddienstanbietern positioniert werden. Dadurch lassen sich mehrere unterschiedliche Sicherheitsrichtlinien kombinieren – von der Authentifizierung und Zuordnung von Anmeldeinformationen bis hin zur Verschlüsselung, Schadsoftwareerkennung usw. CASBs funktionieren bei autorisierten und nicht autorisierten Anwendungen sowie bei verwalteten und nicht verwalteten Geräten.

Verhinderung von Datenverlust

Die Verhinderung von Datenverlust (Data Loss Prevention, DLP) umfasst Richtlinien, Prozeduren, Tools und Best Practices, um den Verlust oder Missbrauch vertraulicher Daten zu verhindern. Die wichtigsten Tools sind die algorithmusbasierte Verschlüsselung oder Transformation von Klartext in Chiffretext sowie die Tokenisierung oder Zuweisung einer Gruppe willkürlich gewählter Zahlen zu einem Datenelement sowie die Verwendung einer Token-Vault-Datenbank zum Speichern der Beziehung zwischen Werten.

Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR)

Bei der Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) handelt es sich um eine Sicherheitslösung, bei der eine Gruppe von Tools zum Einsatz kommt, um Bedrohungen in Endpunktgeräten zu erkennen, zu untersuchen und abzuwehren.

Microsegmentation

Bei der Microsegmentation werden Rechenzentren in mehrere klar definierte Sicherheitszonen oder -segmente eingeteilt, um Risikostufen zu verringern.

Sicherheitstests für DevOps (DevSecOps)

Bei DevSecOps handelt es sich um den Prozess, durch den Sicherheitsmaßnahmen in jeden Schritt des Entwicklungsprozesses integriert werden, um besonders schnell optimierte, proaktive Sicherheitsprozesse anbieten zu können.

User and Entity Behavior Analytics (UEBA)
 

UEBA ist der Prozess, durch den typische Benutzerverhaltensweisen beobachtet und Handlungen erkannt werden, die von der Norm abweichen. Auf diese Weise können Unternehmen potenzielle Bedrohungen erkennen.

Informationssicherheit und Unternehmen

Unternehmen können ISMS-Systeme (Information Security Management Systems) einsetzen, um Sicherheitssteuerungen unternehmensweit zu standardisieren. Mithilfe eigener oder branchenüblicher Normen lassen sich InfoSec und Risikomanagement sicherstellen. Die Anwendung eines systematischen InfoSec-Ansatzes schützt Ihr Unternehmen proaktiv vor unnötigen Risiken und ermöglicht Ihrem Team, Bedrohungen von Anfang an effizient zu beseitigen.


Reaktionen auf Bedrohungen der Informationssicherheit

Sobald Ihr Sicherheitsteam eine InfoSec-Bedrohung erkannt hat, gehen Sie wie folgt vor:
 
  • Team versammeln und Incident-Response-Plan befolgen
  • Quelle der Bedrohung identifizieren
  • Aktionen zur Eindämmung und Beseitigung der Bedrohung durchführen
  • Mögliche Schäden bewerten
  • Betroffene Parteien benachrichtigen
Ressourcen

Weiterführende Informationen zu Microsoft Security

  1.
Person, die einen Laptop im Gebäude unter warmer Beleuchtung verwendet

Microsoft Security

Ein umfassendes Sicherheitskonzept.
Erkunden Sie weitere Optionen
Person, die ein Tablet auf dem Couch verwendet.

Informationsschutz und -governance

Schützen Sie vertrauliche Daten in Clouds, Apps und an Endpunkten.
Mehr erfahren
Eine Person, die in einem Büro an einem Schreibtisch und Computer arbeitet.

Microsoft Purview Information Protection

Erkennen, klassifizieren und schützen Sie Ihre vertraulichen Informationen – von der Speicherung bis zur Übertragung.
Mehr erfahren
Person, die in Innenräumen an einem Laptop arbeitet, im Hintergrund Grünpflanzen.

Information Protection – Blog

Erfahren Sie in den aktuellen Blogs, welche Funktionsupdates und neuen Merkmale es für Information Protection gibt.
Mehr erfahren
Zurück zum Abschnitt „Verwandte Produkte“
FAQ

Häufig gestellte Fragen

  • Cybersicherheit fällt unter den breiteren Schirm von InfoSec. Während InfoSec eine große Bandbreite von Informationsbereichen und -Repositorys umfasst wie z. B. physische Geräte und Server, bezieht sich Cybersicherheit lediglich auf die technologische Sicherheit.
  • Unter InfoSec versteht man die Maßnahmen, Tools, Prozesse und Best Practices rund um Sicherheit, mit denen ein Unternehmen seine Daten vor Bedrohungen schützt. Demgegenüber bezieht sich Datensicherheit auf das Recht einer Person, zu kontrollieren und zu bestimmen, wie personenbezogene Daten und Informationen vom Unternehmen behandelt oder genutzt werden.
  • Die Verwaltung der Informationssicherheit umfasst die Gesamtheit der Richtlinien, Tools und Prozeduren, die ein Unternehmen einsetzt, um seine Informationen und Daten vor Bedrohungen und Angriffen zu schützen.
  • Ein ISMS ist ein zentrales System, mit dem Unternehmen InfoSec-Richtlinien und -Prozeduren sortieren, prüfen und verbessern können. Auf diese Weise lassen sich Risiken eindämmen und die Complianceverwaltung umsetzen.
  • Von den unabhängigen Mitgliedern des ISO (Internationale Organisation für Normung) und der IEC (Internationale Elektrotechnischen Kommission) wurden verschiedene InfoSec-Normen entwickelt. Diese sollen Unternehmen verschiedenster Branchen dabei helfen, effektive InfoSec-Richtlinien umzusetzen. ISO 27001 enthält spezielle Normen zur Implementierung von InfoSec- und ISMS-Systemen.

Microsoft Security folgen

Surface Pro Surface Laptop Surface Laptop Ultra Copilot für Organisationen Copilot für die private Nutzung Microsoft 365 Microsoft-Produkte erkunden Windows 11-Apps Kontoprofil Download Center Microsoft Store-Support Rückgaben Bestellnachverfolgung Abfallverwertung Weitere Informationen Microsoft Bildung Geräte für den Bildungsbereich Microsoft Teams for Education Microsoft 365 Education Office Education Ausbildung und Weiterbildung von Lehrpersonal Angebote für Studenten und Eltern Azure für Studenten
Microsoft KI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft-Entwickler Microsoft Learn Support für KI-Apps im Marketplace Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Softwareunternehmen Visual Studio Jobs & Karriere Unternehmensnachrichten Datenschutz bei Microsoft Investoren
Deutsch (Österreich) Verbraucherdatenschutz für Gesundheitsdaten An Microsoft wenden Impressum Datenschutz Cookies verwalten Nutzungsbedingungen Markenzeichen Informationen zu unserer Werbung EU Compliance DoCs