Informationssicherheit als Erfolgsfaktor: Wieso es sich lohnt!

Was bedeutet Informationssicherheit?

Informationssicherheit bezeichnet die Gesamtheit technischer und organisatorischer Maßnahmen, die dem Schutz von Informationen und Daten vor Verlust, unbefugtem Zugriff, Manipulation oder sonstiger Kompromittierung dienen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen – auch bekannt als die „CIA-Triade“ (Confidentiality, Integrity, Availability) – dauerhaft zu gewährleisten.

Anders als die reine IT-Sicherheit bezieht sich Informationssicherheit nicht nur auf digitale Systeme, sondern auf sämtliche Formen von Informationen, also auch auf gedruckte Dokumente, Gespräche, Prototypen oder organisatorisches Wissen.

Sie ist nicht nur ein technisches Thema, sondern umfasst auch betriebswirtschaftliche, rechtliche und organisatorische Aspekte. Gerade im Umfeld zunehmender Digitalisierung, internationaler Geschäftstätigkeit und verschärfter Regulierung stellt Informationssicherheit einen wesentlichen Wettbewerbsfaktor dar – und ist zugleich rechtlich verpflichtend.

Warum ist Informationssicherheit unverzichtbar?

Schutz vor wirtschaftlichen Schäden

• Verlust sensibler Kundendaten oder geistigen Eigentums kann zu erheblichen Reputations- und Vermögensschäden führen.
• Datenschutzverletzungen nach Art. 32 DSGVO können Bußgelder in Höhe von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes nach sich ziehen.

Sicherstellung der Geschäftskontinuität

• Informationssicherheit reduziert Ausfallzeiten, schützt vor Betriebsunterbrechungen und erhöht die Ausfallsicherheit – z. B. durch Backups und Notfallpläne (Business Continuity Management).

Rechtskonformität und Vertragstreue

• Unternehmen sind gesetzlich verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umzusetzen (vgl. Art. 32 DSGVO).
• Bei der Verarbeitung besonders sensibler Daten (z. B. Gesundheitsdaten, Betriebsgeheimnisse) gelten erhöhte Anforderungen.
• Auch in vertraglichen Geschäftsbeziehungen (z. B. mit Konzernen, Behörden oder Automotive-OEMs) wird der Nachweis eines angemessenen Informationssicherheitsniveaus zunehmend zur Voraussetzung.

Vertrauensbildung und Marktpositionierung

• Informationssicherheit schafft Vertrauen bei Kunden, Partnern und Investoren – insbesondere in datengetriebenen Geschäftsmodellen.
• Sie ist zunehmend Bestandteil von ESG-Ratings und Corporate Compliance.

Vorteile einer gelebten Informationssicherheitspolitik

• Reduzierung des Haftungsrisikos
• Stärkung der Kundenbindung durch vertrauensvolle Datenverarbeitung
• Erfüllung gesetzlicher Vorgaben (z. B. DSGVO, TKG, BDSG, Lieferkettensorgfaltspflichtengesetz)
• Reputationsschutz in Krisenfällen
• Erfüllung branchenspezifischer Standards (z. B. TISAX, ISO/IEC 27001, BAIT, VAIT)

Wie lässt sich Informationssicherheit im Unternehmen verbessern?

Etablierung einer Sicherheitskultur

• Informationssicherheit beginnt nicht bei der Firewall, sondern bei der Haltung der Mitarbeitenden.
• Schulungen, Richtlinien, regelmäßige Awareness-Kampagnen und klare Verantwortlichkeiten sind essenziell.

Entwicklung einer unternehmensweiten Sicherheitsstrategie

• Definition von Schutzzielen und Risikoanalyse (z. B. durch BSI-Grundschutz, ISO 27001, VDA ISA)
• Einrichtung eines ISMS (Informationssicherheitsmanagementsystems)

Technische Maßnahmen

• End-to-End-Verschlüsselung
• Zugriffsbeschränkungen und Rechtekonzepte
• Zwei-Faktor-Authentifizierung (2FA)
• Monitoring- und Intrusion-Detection-Systeme (IDS)

Organisatorische Maßnahmen

• Notfall- und Wiederherstellungspläne (Disaster Recovery)
• Schulung von Mitarbeitenden (regelmäßig und verpflichtend)
• Revisionssichere Dokumentation von Zugriffsrechten, Vorfällen und Maßnahmen

Rechtliche Anforderungen: Wann ist Informationssicherheit Pflicht?

Informationssicherheit ist nicht nur gute Praxis, sondern in vielen Bereichen gesetzlich vorgeschrieben:

• Art. 32 DSGVO verpflichtet zur Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.
• Das IT-Sicherheitsgesetz 2.0 (Deutschland) stellt besondere Anforderungen an Unternehmen aus dem KRITIS-Sektor.
• Unternehmen mit Verarbeitungsvorgängen in Drittländern müssen zusätzlich spezielle Garantien vorhalten (Art. 44 ff. DSGVO).
• In der Finanzbranche, im Gesundheitswesen, im Verkehr und in der Telekommunikation gelten erhöhte regulatorische Anforderungen (z. B. § 8a BSIG, BAIT/VAIT, § 75b SGB V).

TISAX: Branchenstandard für Informationssicherheit in der Automobilindustrie

TISAX (Trusted Information Security Assessment Exchange) ist ein von der deutschen Automobilindustrie entwickelter Standard zur Bewertung und Anerkennung der Informationssicherheit. Grundlage ist der vom VDA entwickelte ISA-Katalog, der sich u. a. an der ISO/IEC 27001 orientiert.

TISAX ist verpflichtend für alle Unternehmen, die mit sensiblen Informationen der Automobilhersteller (OEMs) arbeiten – z. B. Design-Daten, Fertigungsunterlagen, personenbezogene Daten oder Prototypeninformationen.

Ziele der TISAX-Zertifizierung:

• Standardisierung der Sicherheitsanforderungen innerhalb der Lieferkette
• Vermeidung mehrfacher Sicherheitsprüfungen durch Dritte
• Nachweis einer sicheren Verarbeitung gegenüber OEMs

Auch branchenfremde Unternehmen nutzen zunehmend TISAX oder ISO-Standards, um ihre Sicherheitsarchitektur gegenüber Geschäftspartnern zu dokumentieren.

Fazit: Informationssicherheit ist kein IT-Thema – sie ist Unternehmensführung

Informationssicherheit ist heute integraler Bestandteil von Governance, Risk & Compliance. Sie betrifft nicht nur die IT-Abteilung, sondern alle Prozesse, Systeme und Menschen im Unternehmen. Ihre Umsetzung ist nicht nur rechtlich geboten, sondern auch strategisch sinnvoll – und letztlich Voraussetzung für langfristige Wettbewerbsfähigkeit und Vertrauenswürdigkeit.

Die Anforderungen mögen komplex erscheinen – aber sie sind machbar. Entscheidend ist, frühzeitig zu handeln, kompetente Unterstützung einzubinden und Informationssicherheit nicht als Projekt, sondern als dauerhaftes Managementsystem zu begreifen.

Hinweis: Ich begleite Unternehmen bei der Implementierung von Informationssicherheitskonzepten, einschließlich TISAX-Vorbereitungen, Schulungskonzepten und rechtlicher Begleitung gemäß DSGVO. Sprechen Sie mich gerne an, wenn Sie Unterstützung benötigen – sowohl rechtlich als auch organisatorisch.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.