Cyberkriminalität verursacht jährlich Schäden in Milliardenhöhe, begünstigt durch Faktoren wie standortunabhängiges Arbeiten, wachsende Datenmengen und schnelle technologische Entwicklungen. Der Trend nimmt weiter zu und stellt Unternehmen vor immer größere Herausforderungen.
Die Informationssicherheit schützt die Informationswerte eines Unternehmens vor Angriffen, Systemfehlern und menschlichem Versagen. Dabei verfolgt die Informationssicherheit mindestens drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Hier erfahren Sie, was genau diese Ziele bedeuten und mit welchen gezielten Schutzmaßnahmen Sie die Sicherheit Ihrer Organisation gewährleisten können.
Woher kommen die drei Schutzziele?
In der Informationssicherheit gibt es – anders als im Datenschutz – für die meisten Unternehmen keinen vorgegebenen rechtlichen Rahmen. Das bedeutet, dass Unternehmen ihre Ziele und die zugehörigen Maßnahmen entsprechend dem eigenen Risikoappetit festlegen können. Wer hat also die drei Schutzziele als solche definiert?
Die Schutzziele wurden als solche vom Bundesamt in der Informationstechnik (BSI) festleget. Angelehnt sind sie an die Anforderungen der ISO 27001 – die internationale Norm zum Aufbau eines Informationssicherheits-Managementsystems. Im IT-Grundschutz-Kompendium des BSI heißt es:
„Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.“
Viele Unternehmen sehen Verbindlichkeit, Zurechenbarkeit und Authentizität als erweiterte Schutzziele an und fügen ggf. noch weitere selbst definierte Schutzziele hinzu.
Seien Sie Cyber-Bedrohungen dank Expertenwissen einen Schritt voraus
Erhalten Sie praktische Einblicke und Ratschläge, um Ihre Sicherheitslage zu verbessern – bequem per E-Mail.
Was bedeuten die Schutzziele der Informationssicherheit?
Vertraulichkeit
Die Vertraulichkeit stellt sicher, dass nur jeweils befugte Personen Zugang zu den entsprechenden Daten haben. Wichtig in diesem Zusammenhang ist die Rechtevergabe. Stellen Sie sicher, was individuelle Nutzer tun dürfen, vor allem aber was sie nicht tun dürfen. Die Vertraulichkeit umfasst nicht nur die Speicherung physischer und digitaler Daten, sondern auch die Wege der Datenübertragung. So muss beispielsweise der E-Mail-Verkehr zum Schutz der Vertraulichkeit verschlüsselt werden.
Maßnahmen, die der Vertraulichkeit von Informationen dienen, umfassen:
-
Verschlüsselung von Daten
-
Zugangssteuerung
-
Physische Sicherheit und Umgebungssicherheit
- Betriebssicherheit
-
Kommunikationssicherheit
Integrität
Die Integrität von Information bedeutet, dass ungewünschte, nicht nachvollziehbare Änderungen unmöglich gemacht werden. Wenn Änderungen möglich sind, muss nachvollziehbar sein, wer sie wann gemacht hat. In gewisser Weise spielt auch hier die Vertraulichkeit mit hinein – also der Schutz vor unbefugtem Zugriff. Doch Integrität meint vor allem den Schutz vor unbemerkten Veränderungen. Oft passiert dieser weniger durch Menschen und mehr durch fehlerhafte Systeme und Prozesse.
Zu Maßnahmen, die der Integrität von Informationen dienen, gehören:
- Zugangssteuerung
- Management der Werte
- Anschaffung, Entwicklung und Instandhalten von Systemen
Verfügbarkeit
Was nutzen vertraulich behandelte, integre Daten, wenn Nutzer nicht in dem Moment an sie herankommen, in dem sie benötigt werden? Beim Schutzziel der Verfügbarkeit geht es darum, die technologische Infrastruktur aufzubauen, die Daten und Informationen verfügbar machen. Oder deutlicher ausgedrückt: Systemausfälle zu verhindern. Gehen Daten doch einmal verloren, ist es ebenfalls Aufgabe der Informationssicherheit, den Betriebszustand so schnell wie möglich wiederherzustellen – zum Beispiel durch Backups.
Zu Maßnahmen, die der Verfügbarkeit von Informationen dienen, gehören:
- Risikomanagement
- Anschaffung, Entwicklung und Instandhaltung von Systemen
- Management von Informationssicherheitsvorfällen
- Business Continuity Management
Neben den drei wichtigsten Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität, die jedes Unternehmen betreffen, gibt es noch sogenannte erweiterte Schutzziele. Diese haben viele Unternehmen für sich zu den drei bereits beschriebenen Schutzzielen hinzugefügt:
- Authentizität
- Verbindlichkeit
- Zurechenbarkeit
Authentizität steht für die Echtheit von Informationen, die sich anhand ihrer Eigenschaften überprüfen lassen muss.
Verbindlichkeit und Zurechenbarkeit hängen eng miteinander zusammen. Verbindlichkeit definiert, dass ein Akteur seine Handlungen nicht abstreiten kann. Dafür muss ihm die Handlung zweifelsfrei zugeordnet werden können. Diese wird über die Zurechenbarkeit geregelt. Ein Beispiel sind eindeutige Zugangsberechtigungen für jeden Mitarbeiter. Somit kann nachvollzogen werden, wer wann welche Eingaben getätigt hat.
Wie lassen sich die Schutzziele mit einem ISMS umsetzen?
Ihr Unternehmen ist nicht das erste und nicht das letzte, das sich mit den Schutzzielen im Speziellen und Informationssicherheit im Allgemeinen beschäftigt. Glücklicherweise gibt es längst ausgereifte Best Practices und Vorlagen für die Informationssicherheit in Unternehmen. Die bekannteste und bedeutendste ist die internationale Norm ISO 27001. Ein zentrales Element der ISO 27001 ist die Entwicklung eines Informationssicherheits-Managementsystems (ISMS).
Ein ISMS legt die Herangehensweise Ihrer Organisation in Bezug auf Informationssicherheit dar – inklusive der Umsetzung von Schutzzielen. So schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen und minimieren die Auswirkungen von Störungen.
Das könnte Sie auch interessieren: Informationssicherheits-Managementsystem ISO 27001 im Überblick
Erfahren Sie, wie Sie ein ISO 27001-konformes ISMS aufbauen und die Sicherheit Ihres Unternehmens stärken
Wie werden die Schutzziele gemessen?
Es ist essenziell, Datensicherheit nicht nur theoretisch zu ermöglichen, sondern auch Praktikabilität und Wirkung nachzuweisen und zu überwachen. So muss jedes ISMS durch vorher definierte KPIs messbar sein. Denn nur so sind Sie in der Lage, Schwachstellen zu erkennen und zu beseitigen. Hierbei wird zwischen der strategischen und der operativen Ebene unterschieden.
Bei der strategischen Ebene geht es primär um die Frage, ob das ISMS Schwachstellen erkennt sowie die beständige Weiterentwicklung. Dies macht es schwierig, eine konkrete Messbarkeit zu definieren. Auf der operativen Ebene fällt dies deutlich leichter. Ein KPI könnte eine vorher festgelegte Anzahl an Mitarbeitern sein, die in einem festgelegten Zeitraum geschult werden. Ein anderes die rechtzeitige Installation von Patches. In der Automobilbranche gibt es mit der Zertifizierung nach TISAX® einen 41 Maßnahmen umfassenden Fragenkatalog, der sich gut für die KPI-Definition eignet.
Was passiert, wenn eines der Schutzziele verletzt wird?
Wird eines dieser Ziele verletzt, besteht die Gefahr eines großen Schadens. 90% der Ransomware-Attacken gelingen, weil Patches nicht rechtzeitig installiert oder Mitarbeiter nicht ausreichend geschult wurden. Awareness und Patch Management sind demnach die kritischsten Faktoren im IT-Sicherheitskatalog eines Unternehmens.
Werden Daten abgefangen und gar verkauft, kommen zum unmittelbaren Schaden unter Umständen noch Strafen wegen eines DSGVO-Verstoßes hinzu. Doch der materielle Schaden ist nicht alles. Viel größer kann der immaterielle Schaden aufgrund des Vertrauensverlusts in die Unternehmenssicherheit sein.
Fazit
Wenn Daten verloren gehen, nicht verfügbar sind oder in falsche Hände geraten, drohen Unternehmen finanzielle Schäden, Reputationsverluste und rechtliche Konsequenzen. Angesichts wachsender Datenmengen und technologischem Fortschritt wird ein risikobasierter Schutz zur Grundlage nachhaltiger Sicherheit.
Informationssicherheit bedeutet, Unternehmenswerte vor internen und externen Risiken zu schützen – proaktiv und zielgerichtet. Mit einem iterativen Risikomanagement werden Risiken priorisiert und Schutzmaßnahmen so ausgerichtet, dass sie sowohl Compliance-Anforderungen erfüllen als auch echten Mehrwert schaffen.
Als internationaler Standard für Informationssicherheit ist ISO 27001 das Aushängeschild in Sachen Compliance in der Informationssicherheit. DataGuard unterstützt Sie dabei, Informationssicherheit strategisch zu verankern und die ISO 27001-Zertifizierung als Fundament für Widerstandsfähigkeit und Wettbewerbsvorteile zu nutzen.