Cyberkriminalität verursacht jedes Jahr Schäden in Milliardenhöhe, und dieser Trend zeigt weiter nach oben. Faktoren wie standortunabhängiges Arbeiten, wachsende Datenmengen und rasante technologische Entwicklungen begünstigen diese Entwicklung.
Die Informationssicherheit kümmert sich darum, die Informationswerte eines Unternehmens vor kriminellen Angriffen, fehlerhaften Systemen und menschlichem Versagen zu schützen.
Dabei verfolgt die Informationssicherheit mindestens drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Hier erfahren Sie, was genau diese Ziele bedeuten und welche Schutzmaßnahmen ihnen zugeordnet werden können.
In diesem Beitrag
Woher kommen die drei Schutzziele?
In der Informationssicherheit gibt es – anders als im Datenschutz – für die meisten Unternehmen keinen vorgegebenen rechtlichen Rahmen. Das bedeutet, dass Unternehmen ihre Ziele und die zugehörigen Maßnahmen entsprechend dem eigenen Risikoappetit festlegen können. Wer hat also die drei Schutzziele als solche definiert?
Die Schutzziele wurden als solche vom Bundesamt in der Informationstechnik (BSI) festleget. Angelehnt sind sie an die Anforderungen der ISO 27001 – die internationale Norm zum Aufbau eines Informationssicherheits-Managementsystems. Im IT-Grundschutz-Kompendium des BSI heißt es:
„Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.“
Viele Unternehmen sehen Verbindlichkeit, Zurechenbarkeit und Authentizität als erweiterte Schutzziele an und fügen ggf. noch weitere, selbst definierte Schutzziele hinzu.
Informationssicherheit für Beginner
Dieser Guide gibt Ihnen einen kompakten Überblick zur Informationssicherheit. Ideal für alle, die neu im Thema sind.
Jetzt kostenlos herunterladenWas bedeuten die Schutzziele der Informationssicherheit?
Vertraulichkeit
Die Vertraulichkeit stellt sicher, dass nur jeweils befugte Personen Zugang zu den entsprechenden Daten haben. Wichtig in diesem Zusammenhang ist die Rechtevergabe. Stellen Sie sicher, was individuelle Nutzer tun dürfen, vor allem aber was sie nicht tun dürfen. Die Vertraulichkeit umfasst nicht nur die Speicherung physischer und digitaler Daten, sondern auch die Wege der Datenübertragung. So muss beispielsweise der E-Mail-Verkehr zum Schutz der Vertraulichkeit verschlüsselt werden.
Maßnahmen, die der Vertraulichkeit von Informationen dienen, umfassen:
- Verschlüsselung von Daten
- Zugangssteuerung
- Physische Sicherheit und Umgebungssicherheit
- Betriebssicherheit
- Kommunikationssicherheit
Integrität
Die Integrität von Information bedeutet, dass ungewünschte, nicht nachvollziehbare Änderungen unmöglich gemacht werden. Wenn Änderungen möglich sind, muss nachvollziehbar sein wer sie wann gemacht hat. In gewisser Weise spielt auch hier die Vertraulichkeit mit hinein – also der Schutz vor unbefugtem Zugriff. Doch Integrität meint vor allem den Schutz vor unbemerkten Veränderungen. Oft passiert dieser weniger durch Menschen und mehr durch fehlerhafte Systeme und Prozesse.
Zu Maßnahmen, die der Integrität von Informationen dienen, gehören:
- Zugangssteuerung
- Management der Werte
- Anschaffung, Entwicklung und Instandhalten von Systemen
Verfügbarkeit
Was nutzen vertraulich behandelte, integre Daten, wenn Nutzer nicht in dem Moment an sie herankommen, in dem sie benötigt werden? Beim Schutzziel der Verfügbarkeit geht es darum, die technologische Infrastruktur aufzubauen, die Daten und Informationen verfügbar machen. Oder deutlicher ausgedrückt: Systemausfälle zu verhindern. Gehen Daten doch einmal verloren, ist es ebenfalls Aufgabe der Informationssicherheit, den Betriebszustand so schnell wie möglich wieder herzustellen – zum Beispiel durch Backups.
Zu Maßnahmen, die der Verfügbarkeit von Informationen dienen, gehören:
- Risikomanagement
- Anschaffung, Entwicklung und Instandhalten von Systemen
- Management von Informationssicherheitsvorfällen
- Business Continuity Management
Neben den drei wichtigsten Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität, die jedes Unternehmen betreffen, gibt es noch sogenannte erweiterte Schutzziele. Diese haben viele Unternehmen für sich zu den drei bereits beschriebenen Schutzzielen hinzugefügt:
- Authentizität
- Verbindlichkeit
- Zurechenbarkeit
Authentizität steht für die Echtheit von Informationen, die sich anhand seiner Eigenschaften überprüfen lassen muss.
Verbindlichkeit und Zurechenbarkeit hängen eng miteinander zusammen. Verbindlichkeit definiert, dass ein Akteur seine Handlungen nicht abstreiten kann. Dafür muss ihm die Handlung zweifelsfrei zugeordnet werden können. Diese wird über die Zurechenbarkeit geregelt. Ein Beispiel sind eindeutige Zugangsberechtigungen für jeden Mitarbeiter. Somit kann nachvollzogen werden, wer wann welche Eingaben getätigt hat.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Wie lassen sich die Schutzziele mit einem ISMS umsetzen?
Ihr Unternehmen ist nicht das erste und nicht das letzte, das sich mit den Schutzzielen im Speziellen und Informationssicherheit im Allgemeinen beschäftigt. Glücklicherweise gibt es längst ausgereifte Best Practices und Vorlagen für die Informationssicherheit in Unternehmen. Die bekannteste und bedeutendste ist die internationale Norm ISO 27001. Ein zentrales Element der ISO 27001 ist die Entwicklung eines Informationssicherheits-Managementsystems (ISMS).
Ein ISMS legt die Herangehensweise Ihrer Organisation in Bezug auf Informationssicherheit dar – inklusive der Umsetzung von Schutzzielen. So schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen und minimieren die Auswirkungen von Störungen.
DataGuard unterstützt Sie bei der Einführung eines auf Ihre Geschäftsprozesse maßgeschneiderten ISMS. Sprechen Sie uns an.
Mehr zum Thema ISMS und ISO 27001 finden Sie außerdem hier:
Wie werden die Schutzziele gemessen?
Es ist essenziell, Datensicherheit nicht nur theoretisch zu ermöglichen, sondern auch Praktikabilität und Wirkung nachzuweisen und zu überwachen. So muss jedes ISMS durch vorher definierte KPIs messbar sein. Denn nur so sind Sie in der Lage, Schwachstellen zu erkennen und zu beseitigen. Hierbei wird zwischen der strategischen und der operativen Ebene unterschieden.
Bei der strategischen Ebene geht es primär um die Frage, ob das ISMS Schwachstellen erkennt sowie die beständige Weiterentwicklung. Dies macht es schwierig, eine konkrete Messbarkeit zu definieren. Auf der operativen Ebene fällt dies deutlich leichter. Ein KPI könnte eine vorher festgelegte Anzahl an Mitarbeitern sein, die in einem festgelegten Zeitraum geschult werden. Ein anderes die rechtzeitige Installation von Patches. In der Automobilbranche gibt es mit der Zertifizierung nach TISAX® einen 41 Maßnahmen umfassenden Fragenkatalog, der sich gut für die KPI-Definition eignet.
Was passiert, wenn eines der Schutzziele verletzt wird?
Wird eines dieser Ziele verletzt, besteht die Gefahr eines großen Schadens. 90% der Ransomware-Attacken gelingen, weil Patches nicht rechtzeitig installiert oder Mitarbeiter nicht ausreichend geschult wurden. Awareness und Patch Management sind demnach die kritischsten Faktoren im IT-Sicherheitskatalog eines Unternehmens. Werden Daten abgefangen und gar verkauft, kommen zum unmittelbaren Schaden unter Umständen noch Strafen wegen eines DSGVO-Verstoßes hinzu. Doch der materielle Schaden ist nicht alles. Viel größer kann der immaterielle Schaden aufgrund des Vertrauensverlusts in die Unternehmenssicherheit sein.
Fazit
Wenn Daten verloren gehen, nicht abrufbar sind oder in falsche Hände geraten, müssen Unternehmen mit finanziellen Schäden, Imageverlusten und ggf. rechtlichen Konsequenzen rechnen. Mit der Datenmenge und dem technischen Fortschritt steigen auch die Anforderungen an deren Schutz.
In der Informationssicherheit geht es darum, die Daten und Unternehmenswerte bestmöglich zu schützen – damit es weder zu ungewollten, selbst verschuldeten Störfällen noch zu erfolgreichen Hackerangriffen von außen kommen kann. Für einen umfassenden Überblick über das Thema Informationssicherheit werfen Sie einen Blick in unseren Guide für Anfänger!
Wir bei DataGuard unterstützen Kunden aller Branchen dabei, Informationssicherheit von Anfang richtig anzugehen und so die Schutzziele umzusetzen. Um dies zu erreichen, helfen wir dabei, die ISO 27001 Zertifizierung zu erreichen. Als internationaler Standard für Informationssicherheit, ist die ISO 27001 das Aushängeschild in Sachen Compliance in der Informationssicherheit.
Wenn auch Sie das Thema Informationssicherheit richtig angehen wollen, freuen wir uns, Sie dabei zu unterstützen. Sprechen Sie uns an und vereinbaren Sie ein ersten kostenloses Beratungsgespräch.
TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.