Wenn von IT‑Sicherheit gesprochen wird, fallen fast immer drei
Begriffe: Vertraulichkeit, Integrität und Verfügbarkeit. Diese drei Grundwerte werden oft als CIA-Triade bezeichnet (Confidentiality, Integrity, Availability) und bilden das Fundament der Informationssicherheit.
Die Schutzziele helfen dir dabei, Risiken einzuordnen: Nicht jede Information muss gleich stark geschützt werden, aber du solltest immer wissen, welches Schutzziel hier am wichtigsten ist.
🧬 Was sind Schutzziele überhaupt?
Schutzziele der Informationssicherheit beschreiben, wie Informationen und Systeme geschützt werden sollen, damit sie sinnvoll nutzbar bleiben. Es geht nicht nur um Daten in IT‑Systemen, sondern auch um Informationen auf Papier oder im Kopf von Mitarbeitenden.
Die drei primären Schutzziele sind:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Viele Quellen ergänzen außerdem erweiterte Ziele wie Authentizität, Verbindlichkeit/Nichtabstreitbarkeit und Zurechenbarkeit.
🔒 Vertraulichkeit
Vertraulichkeit bedeutet: Nur befugte Personen dürfen auf bestimmte Informationen zugreifen. Unbefugte sollen den Inhalt weder einsehen noch abhören oder mitlesen können egal ob die Daten auf einem Server, in der Cloud oder in einer Akte im Schrank liegen.
Typische Maßnahmen zur Vertraulichkeit sind:
- Benutzer- und Rechtekonzepte (Zugriff nur nach „Need-to-know“)
- Starke Authentifizierung (Passwort, MFA)
- Verschlüsselung von Datenträgern und Verbindungen (z. B. TLS, VPN)
Beispiel: Gehaltslisten, Patientendaten oder Zugangsdaten sollen nicht von beliebigen Mitarbeitenden oder Angreifern gelesen werden können.
🧱 Integrität
Integrität heißt: Informationen und Systeme sind korrekt, vollständig und unverändert. Daten sollen nicht unbemerkt manipuliert, gelöscht oder verfälscht werden – weder absichtlich noch versehentlich.
Typische Maßnahmen zur Integrität sind:
- Zugriffsrechte (nur Berechtigte dürfen ändern)
- Prüfsummen, Hashes und digitale Signaturen
- Versionskontrolle, Änderungsprotokolle und Backups
Beispiel: Eine Überweisung im Online‑Banking darf nicht „unterwegs“ von 10 € auf 1.000 € verändert werden; Logdaten sollen im Nachhinein nicht einfach gelöscht oder manipuliert werden können.
📡 Verfügbarkeit
Verfügbarkeit bedeutet: Informationen und Systeme sind dann nutzbar, wenn sie gebraucht werden. Es reicht nicht, dass die Daten sicher gespeichert sind – sie müssen auch rechtzeitig abrufbar sein, sonst können Geschäftsprozesse stillstehen.
Typische Maßnahmen zur Verfügbarkeit sind:
- Redundante Systeme und Speicher (Cluster, RAID, zweite Leitungen)
- Notfall- und Wiederanlaufpläne (Disaster Recovery)
- Monitoring, DDoS-Schutz, USV und regelmäßige Backups
Beispiel: Fällt das Warenwirtschaftssystem eines Händlers an einem Werktag stundenlang aus, kann der Betrieb kaum noch arbeiten – das ist ein Verfügbarkeitsproblem.
➕ Erweiterte Schutzziele
Zusätzlich zu CIA werden häufig weitere Schutzziele betrachtet:
- Authentizität: Sicherstellen, dass eine Information oder ein Kommunikationspartner echt ist (z. B. Signaturen, Zertifikate).
- Verbindlichkeit / Nichtabstreitbarkeit: Nachweis, dass eine Aktion tatsächlich von einer bestimmten Person/System ausgeführt wurde und nicht abgestritten werden kann (z. B. unterschriebene Bestellungen, Protokolle).
- Zurechenbarkeit: Handlungen lassen sich eindeutig einem Benutzerkonto oder System zuordnen (z. B. durch Logging und Identitätsmanagement).
Diese erweiterten Ziele sind vor allem im Unternehmens- und Compliance-Umfeld wichtig (z. B. ISO 27001, BSI‑Grundschutz).