Die vier wichtigsten Schutzziele der Informationssicherheit

Die Schutzziele der Informationssicherheit sind der Schlüssel zu einem soliden Sicherheitskonzept für Unternehmen. Vertraulichkeit, Integrität und Verfügbarkeit sind die Grundpfeiler, die sicherstellen, dass Ihre Systeme und Daten vor unbefugtem Zugriff, Manipulation und Ausfällen geschützt sind. Doch oft wird die Authentizität als viertes Schutzziel vergessen, das besonders in modernen IT-Umgebungen eine wichtige Rolle spielt. In diesem Artikel erfahren Sie alles über die Schutzziele der Informationssicherheit, was sie bedeuten und wie Sie diese in Ihrem Unternehmen umsetzen können.

Inhaltsverzeichnis

1. Was bedeutet Vertraulichkeit, Integrität und Verfügbarkeit in der Informationssicherheit?
2. Warum sind die Schutzziele der Informationssicherheit wichtig?
3. Fazit: Die Schutzziele der Informationssicherheit effektiv umsetzen

Was bedeutet Vertraulichkeit, Integrität und Verfügbarkeit in der Informationssicherheit?

Vertraulichkeit, Integrität und Verfügbarkeit sind die grundlegenden Schutzziele der Informationssicherheit. Sie sorgen dafür, dass sensible Daten vor Zugriff und Manipulation geschützt sind und gleichzeitig verfügbar bleiben, wenn sie gebraucht werden.

1. Schutzziel Vertraulichkeit: Schutz sensibler Daten

Vertraulichkeit bedeutet, dass nur berechtigte Personen Zugang zu bestimmten Daten haben. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Besonders hinsichtlich der IT Sicherheit von Unternehmen ist dies äußerst wichtig, um Datenlecks und unerwünschten Zugriff auf wichtige Unternehmensdaten zu verhindern.

Zur Vertraulichkeit von Daten gehört also auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Beachten Sie deshalb, dass sensible Daten grundsätzlich immer verschlüsselt werden sollten, damit sie nicht von Unbefugten mitgelesen werden können! Doch wie lassen sich vertrauenswürdige Informationen verschlüsseln?

Ein gutes Beispiel hierfür ist der verschlüsselte E-Mail-Verkehr:

• Beispiel: Wenn in einem Unternehmen vertrauliche Informationen wie Lohnabrechnungen per E-Mail versendet werden, muss der E-Mail-Verkehr entsprechend verschlüsselt sein, um sicherzustellen, dass nur autorisierte Personen die Daten einsehen können. Hier könnte man die E-Mail bzw. den Anhang also beispielsweise mit einem starken Passwort schützen.
• Best Practice: Verschlüsseln Sie nicht nur E-Mails, sondern schützen Sie auch Räume, in denen vertrauliche Daten verarbeitet werden, wie zum Beispiel die Personalabteilung. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

2. Schutzziel Integrität: Was bedeutet Integrität in der IT?

Integrität bedeutet, dass Daten während ihrer Speicherung, Übertragung oder Verarbeitung nicht unbemerkt verändert werden dürfen. Es geht hierbei also um das Erkennen von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt. Oft wird mit Integrität (man spricht dann von starker Integrität) sogar gefordert, dass Daten überhaupt nicht unberechtigt verändert werden können.

In der IT-Sicherheit wird die Integrität von Daten durch verschiedene Maßnahmen wie Hash-Funktionen und Prüfsummen gewährleistet.

• Beispiel: Besonders in sensiblen Bereichen wie der Forschung und Entwicklung ist die Integrität der Daten von höchster Bedeutung. Eine unbemerkte Änderung von Daten kann dazu führen, dass alle darauf basierenden Entscheidungen falsch sind. Man muss wohl niemandem erklären, dass dies eine Katastrophe wäre.

3. Schutzziel Verfügbarkeit: IT-Systeme funktionsfähig lassen

Die Verfügbarkeit eines Systems beschreibt die Zeit, in der es funktionsfähig ist. Das Ziel der Informationssicherheit ist es, die Verfügbarkeit kritischer Systeme hoch zu halten und Systemausfälle zu minimieren. Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend sollten Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe funktionieren und keine Gefahr eines Stillstandes für das Unternehmen besteht.

Diese sollten Sie entsprechend gegen Ausfälle schützen (Stichwort: RISK-Analyse).

• Maßnahmen zur Erhöhung der Verfügbarkeit: Notfallpläne, Backups, Redundanzen und regelmäßige Wartung der Systeme helfen dabei, Ausfallzeiten zu minimieren und die Verfügbarkeit zu gewährleisten.
• Praxisbeispiel: Ein Unternehmen muss sicherstellen, dass kritische Systeme wie die Produktionssysteme immer verfügbar sind. Eine Risikoanalyse hilft, die Auswirkungen eines Ausfalls zu bewerten und geeignete Maßnahmen zu ergreifen.

4. Erweiterte Schutzziele der Informationssicherheit: Verbindlichkeit, Zurechenbarkeit und Authentizität

Neben den klassischen Schutzzielen gibt es erweiterte Ziele wie Verbindlichkeit, Zurechenbarkeit und Authentizität. Diese sind besonders relevant für Identitätsmanagement und die Sicherung digitaler Prozesse.

Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen genutzt werden (Shared User Accounts). Offensichtlich ist hier Zurechenbarkeit nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. 

Ihr Identitätsmanagement muss also dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein einem Passwort-Manager beispielsweise lassen sich Siegel setzen. Im Anschluss ist genau nachvollziehbar, wer welches Siegel gebrochen hat.

Das Schutzziel Authentizität beschreibt grundsätzlich recht simpel die Echtzeit. Im Sinne der Informationssicherheit hört man oft den Begriff Authentifikation. Dies ist also die Überprüfung der Echtheit eines Objekts.

• Zurechenbarkeit bedeutet, dass jede Aktion in einem System eindeutig einer Person oder Entität zugeordnet werden kann.
• Verbindlichkeit stellt sicher, dass eine Person eine getätigte Aktion nicht im Nachhinein leugnen kann.
• Authentizität bestätigt die Echtheit einer Person oder eines Systems und spielt eine entscheidende Rolle bei der Authentifizierung von Benutzern in IT-Systemen.

Warum sind die Schutzziele der Informationssicherheit wichtig?

Die Schutzziele der Informationssicherheit sind deshalb so wichtig, um Unternehmen vor Datenverlust, Manipulation und Systemausfällen zu schützen. Ein solides IT-Sicherheitskonzept sollte sicherstellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit aller wichtigen Daten gewährleistet ist. Zusätzlich müssen Zurechenbarkeit und Authentizität beachtet werden, um rechtliche Anforderungen und Nachweispflichten zu erfüllen.

Fazit: Die Schutzziele der Informationssicherheit effektiv umsetzen

Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Artikel mitnehmen? Als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysiert werden. Überprüfen Sie, welche Daten für das Überleben Ihres Unternehmens essenziell sind und welche Daten bei Verlust die größten Schäden anrichten.

Sie sollten regelmäßig Maßnahmen zur Erhöhung der Verfügbarkeit und zur Sicherstellung der Integrität und Vertraulichkeit einleiten. Erweiterte Schutzziele wie Zurechenbarkeit und Authentizität sorgen zudem für rechtliche Sicherheit und Transparenz.

Wenn Sie sich unsicher sind, wie Sie diese Schutzziele in Ihrem Unternehmen umsetzen sollen, kann es hilfreich sein, einen IT-Sicherheitsexperten hinzuzuziehen. So stellen Sie sicher, dass alle relevanten Schutzziele erreicht und Ihre Datenbestände bestmöglich geschützt sind.