<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=286961978467565&amp;ev=PageView&amp;noscript=1">
Skip to content
    Quick Links
    Jetzt Beratungstermin vereinbaren!

    Blogs

    Weitere Leistungen

    Engagement

    Sonstiges

    ,

    Schutzziele der Informationssicherheit

    Picture of Eric Weis
    3
    min. read
    Schutzziele der Informationssicherheit

    Sicher haben Sie schon von den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gehört. Diese Schutzziele geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können. Ich werde Ihnen in diesem Artikel nun alles über das Thema Schutzziele der Informationssicherheit erklären.

     

    Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

     

    1. Vertraulichkeit

    Unter Vertraulichkeit versteht man, dass Daten nur von den Personen eingesehen oder offengelegt werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!

    Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden. Zu den verschiedenen Verschlüsselungsverfahren erfahren Sie hier mehr.

    Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!

    Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z.B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

     

    2. Integrität

    Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also um das Erkennen von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt. Oft wird mit Integrität (man spricht dann von starker Integrität) sogar gefordert, dass Daten überhaupt nicht unberechtigt verändert werden können. Da sich dies aber selten sinnvoll umsetzen lässt, empfehle ich die erste Definition.

    Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.

     

    3. Verfügbarkeit

    Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!

    Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.

     

    Verbindlichkeit und Zurechenbarkeit

    Diese zwei erweiterten Schutzziele lassen sich recht gut anhand des Identitätsmanagements veranschaulichen. Verbindlichkeit bedeutet nämlich, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit versteht man, dass es möglich sein muss, Handlungen eindeutig dem zuzuordnen, der sie ausgeführt hat. Die beiden Begriffe gehen also Hand in Hand. Vor allem hängen diese Eigenschaften an den im Unternehmen vorhandenen Identitäten!

    Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen benutzt werden (gerne „Shared User Accounts“ genannt). Offensichtlich ist hier Zurechenbarkeit nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. Mit solchen „Shared User Accounts“ zerstören Sie ganz leicht die Zurechenbarkeit, weshalb Sie diese Accounts schnellstmöglich eliminieren sollten! Wenn dies nicht ohne weiteres möglich ist, sollten Sie wenigstens entsprechende Dokumentationspflichten für Datenänderungen einführen.

    Ihr Identitätsmanagement muss dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein kleines Beispiel, bei dem Zurechenbarkeit gegeben ist: In einem Passwort-Manager lassen sich Siegel setzen. Im Anschluss ist genau nachvollziehbar, wer ein Siegel gebrochen hat. Die Handlung ist somit zurechenbar und nachvollziehbar.

    Ferner gibt es noch ein weiteres Schutzziel namens Authentizität. Diese beschreibt grundsätzlich recht simpel die Echtheit (bzw. Vertrauenswürdigkeit). Im Sinne der Informationssicherheit hört man oft den Begriff Authentifikation. Dies ist lediglich die Überprüfung der Echtheit eines Objekts.

    Mehr über das gesamte Thema Aufbau von IT Sicherheit und Informationssicherheit erfahren Sie in unserem kompletten Guide für  IT Sicherheitskonzepte!

    Mehr über das IT-Sicherheitskonzept erfahren? Hier klicken!

     

     

    Fazit

    Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Artikel mitnehmen? Sie als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysieren. Überprüfen Sie, welche Daten für das Überleben des Unternehmens essentiell sind und welche Daten bei Verlust die größten Schäden anrichten. Anschließend ist es Ihre Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele erreichen! Erarbeiten Sie, eventuell auch in Kooperation mit einem IT Sicherheitsexperten, geeignete Maßnahmen, mit denen Sie Ihre Datenbestände im Sinne der Informationssicherheit schützen.

    Jetzt IT-Security Blog abonnieren!

     

    Lesen Sie weitere Blogartikel:

    Unsere Empfehlung in Bezug auf Cybercrime? Security Operation Center Services (SOC Services) für KMU! Mit dieser Dienstleistung überwachen Security Experten Ihre IT-Infrastruktur 24/7: So schützen Sie sich am besten, wenn Hacker Interesse an Ihren Daten haben.