Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Vertraulichkeit, Integrität und Verfügbarkeit - Schutzziele der Informationssicherheit

Eric Weis | 11.07.2018 12:03:18 | Lesezeit ca. 3 Minuten

Sicher haben Sie schon von den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gehört. Diese Schutzziele geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können. Ich werde Ihnen in diesem Artikel nun alles über das Thema Schutzziele der Informationssicherheit erklären.

 

Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

 

1. Vertraulichkeit

Unter Vertraulichkeit versteht man, dass Daten nur von den Personen verändert oder eingesehen werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!

Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen verändert oder gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden. Zu den verschiedenen Verschlüsselungsverfahren erfahren Sie hier mehr.

Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!

Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z.B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

 

2. Integrität

Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also nur um die Nachvollziehbarkeit von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt.

Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen benutzt werden (gerne „Shared User Accounts“ genannt). Offensichtlich ist die Integrität dieser Daten nun nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. Mit solchen „Shared User Accounts“ zerstören Sie ganz leicht die Integrität von Datenbeständen, weshalb Sie diese Accounts schnellstmöglich eliminieren sollten! Wenn dies nicht ohne weiteres möglich ist, sollten Sie wenigstens entsprechende Dokumentationspflichten für Datenänderungen einführen.

Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.

 

3. Verfügbarkeit

Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!

Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.

 

Verbindlichkeit und Zurechenbarkeit

Diese zwei erweiterten Schutzziele lassen sich recht gut anhand des Identitätsmanagements veranschaulichen. Verbindlichkeit bedeutet nämlich, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit versteht man, dass es möglich sein muss, Handlungen eindeutig dem zuzuordnen, der sie ausgeführt hat. Die beiden Begriffe gehen also Hand in Hand. Vor allem hängen diese Eigenschaften an den im Unternehmen vorhandenen Identitäten!

Ihr Identitätsmanagement muss dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein kleines Beispiel: In einem Passwort-Manager lassen sich Siegel setzen. Im Anschluss ist genau nachvollziehbar, wer ein Siegel gebrochen hat. Die Handlung ist somit zurechenbar und nachvollziehbar.

Ferner gibt es noch ein weiteres Schutzziel namens Authentizität. Diese beschreibt grundsätzlich recht simpel die Echtheit (bzw. Vertrauenswürdigkeit). Im Sinne der Informationssicherheit hört man oft den Begriff Authentifikation. Dies ist lediglich die Überprüfung der Echtheit eines Objekts.

Mehr über das gesamte Thema IT Sicherheit und Informationssicherheit erfahren Sie in unserem IT Security Ratgeber!

 

IT-Security Ratgeber

 

Fazit

Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Artikel mitnehmen? Sie als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysieren. Überprüfen Sie welche Daten für das Überleben des Unternehmens essentiell sind und welche Daten bei Verlust die größten Schäden anrichten. Anschließend ist es Ihre Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele erreichen! Erarbeiten Sie, eventuell auch in Kooperation mit einem IT Sicherheitsexperten, geeignete Maßnahmen, mit denen Sie Ihre Datenbestände im Sinne der Informationssicherheit schützen.

 

Jetzt Blog abonnieren!

Themen: IT Sicherheit

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de