Alles zur Umsetzung der Schutzziele der Informationssicherheit

Cyberkriminalität verursacht jedes Jahr Schäden in Milliardenhöhe, und dieser Trend zeigt weiter nach oben. Faktoren wie standortunabhängiges Arbeiten, wachsende Datenmengen und rasante technologische Entwicklungen begünstigen diese Entwicklung.

Die Informationssicherheit kümmert sich darum, die Informationswerte eines Unternehmens vor kriminellen Angriffen, fehlerhaften Systemen und menschlichem Versagen zu schützen.

Dabei verfolgt die Informationssicherheit mindestens drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität von Informationen. Hier erfahren Sie, was genau diese Ziele bedeuten und welche Schutzmaßnahmen ihnen zugeordnet werden können. 

Woher kommen die drei Schutzziele?

In der Informationssicherheit gibt es – anders als im Datenschutz – für die meisten Unternehmen keinen vorgegebenen rechtlichen Rahmen. Das bedeutet, dass Unternehmen ihre Ziele und die zugehörigen Maßnahmen entsprechend dem eigenen Risikoappetit festlegen können. Wer hat also die drei Schutzziele als solche definiert?

Die Schutzziele wurden als solche vom Bundesamt in der Informationstechnik (BSI) festleget. Angelehnt sind sie an die Anforderungen der ISO 27001 – die internationale Norm zum Aufbau eines Informationssicherheits-Managementsystems. Im IT-Grundschutz-Kompendium des BSI heißt es:

„Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.“

Viele Unternehmen sehen Verbindlichkeit, Zurechenbarkeit und Authentizität als erweiterte Schutzziele an und fügen ggf. noch weitere, selbst definierte Schutzziele hinzu. 

Informationssicherheit 1x1 - Ein kompakter Guide für Beginner Informationssicherheit 1x1 - Ein kompakter Guide für Beginner

Informationssicherheit für Beginner

Dieser Guide gibt Ihnen einen kompakten Überblick zur Informationssicherheit. Ideal für alle, die neu im Thema sind.

Jetzt kostenlos herunterladen

Was bedeuten die Schutzziele der Informationssicherheit?

Vertraulichkeit

Die Vertraulichkeit stellt sicher, dass nur jeweils befugte Personen Zugang zu den entsprechenden Daten haben. Wichtig in diesem Zusammenhang ist die Rechtevergabe. Stellen Sie sicher, was individuelle Nutzer tun dürfen, vor allem aber was sie nicht tun dürfen. Die Vertraulichkeit umfasst nicht nur die Speicherung physischer und digitaler Daten, sondern auch die Wege der Datenübertragung. So muss beispielsweise der E-Mail-Verkehr zum Schutz der Vertraulichkeit verschlüsselt werden.

Maßnahmen, die der Vertraulichkeit von Informationen dienen, umfassen:

  • Verschlüsselung von Daten
  • Zugangssteuerung
  • Physische Sicherheit und Umgebungssicherheit
  • Betriebssicherheit
  • Kommunikationssicherheit

Integrität

Die Integrität von Information bedeutet, dass ungewünschte, nicht nachvollziehbare Änderungen unmöglich gemacht werden. Wenn Änderungen möglich sind, muss nachvollziehbar sein wer sie wann gemacht hat. In gewisser Weise spielt auch hier die Vertraulichkeit mit hinein – also der Schutz vor unbefugtem Zugriff. Doch Integrität meint vor allem den Schutz vor unbemerkten Veränderungen. Oft passiert dieser weniger durch Menschen und mehr durch fehlerhafte Systeme und Prozesse.

Zu Maßnahmen, die der Integrität von Informationen dienen, gehören:

  • Zugangssteuerung
  • Management der Werte
  • Anschaffung, Entwicklung und Instandhalten von Systemen 

Verfügbarkeit

Was nutzen vertraulich behandelte, integre Daten, wenn Nutzer nicht in dem Moment an sie herankommen, in dem sie benötigt werden? Beim Schutzziel der Verfügbarkeit geht es darum, die technologische Infrastruktur aufzubauen, die Daten und Informationen verfügbar machen. Oder deutlicher ausgedrückt: Systemausfälle zu verhindern. Gehen Daten doch einmal verloren, ist es ebenfalls Aufgabe der Informationssicherheit, den Betriebszustand so schnell wie möglich wieder herzustellen – zum Beispiel durch Backups.

Zu Maßnahmen, die der Verfügbarkeit von Informationen dienen, gehören:

Schutzziele der Informationssicherheit

Neben den drei wichtigsten Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität, die jedes Unternehmen betreffen, gibt es noch sogenannte erweiterte Schutzziele. Diese haben viele Unternehmen für sich zu den drei bereits beschriebenen Schutzzielen hinzugefügt:

  • Authentizität
  • Verbindlichkeit
  • Zurechenbarkeit

Authentizität steht für die Echtheit von Informationen, die sich anhand seiner Eigenschaften überprüfen lassen muss.

Verbindlichkeit und Zurechenbarkeit hängen eng miteinander zusammen. Verbindlichkeit definiert, dass ein Akteur seine Handlungen nicht abstreiten kann. Dafür muss ihm die Handlung zweifelsfrei zugeordnet werden können. Diese wird über die Zurechenbarkeit geregelt. Ein Beispiel sind eindeutige Zugangsberechtigungen für jeden Mitarbeiter. Somit kann nachvollzogen werden, wer wann welche Eingaben getätigt hat.

DataGuard Newsletter

Sichern Sie Ihren Erfolg.

Abonnieren Sie praxisnahe Experten-Tipps!

Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.

Jetzt abonnieren

 

Wie lassen sich die Schutzziele mit einem ISMS umsetzen?

Ihr Unternehmen ist nicht das erste und nicht das letzte, das sich mit den Schutzzielen im Speziellen und Informationssicherheit im Allgemeinen beschäftigt. Glücklicherweise gibt es längst ausgereifte Best Practices und Vorlagen für die Informationssicherheit in Unternehmen. Die bekannteste und bedeutendste ist die internationale Norm ISO 27001. Ein zentrales Element der ISO 27001 ist die Entwicklung eines Informationssicherheits-Managementsystems (ISMS).

Ein ISMS legt die Herangehensweise Ihrer Organisation in Bezug auf Informationssicherheit dar – inklusive der Umsetzung von Schutzzielen. So schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen und minimieren die Auswirkungen von Störungen.

DataGuard unterstützt Sie bei der Einführung eines auf Ihre Geschäftsprozesse maßgeschneiderten ISMS. Sprechen Sie uns an.

Mehr zum Thema ISMS und ISO 27001 finden Sie außerdem hier:

 

Wie werden die Schutzziele gemessen?

Es ist essenziell, Datensicherheit nicht nur theoretisch zu ermöglichen, sondern auch Praktikabilität und Wirkung nachzuweisen und zu überwachen. So muss jedes ISMS durch vorher definierte KPIs messbar sein. Denn nur so sind Sie in der Lage, Schwachstellen zu erkennen und zu beseitigen. Hierbei wird zwischen der strategischen und der operativen Ebene unterschieden.

Bei der strategischen Ebene geht es primär um die Frage, ob das ISMS Schwachstellen erkennt sowie die beständige Weiterentwicklung. Dies macht es schwierig, eine konkrete Messbarkeit zu definieren. Auf der operativen Ebene fällt dies deutlich leichter. Ein KPI könnte eine vorher festgelegte Anzahl an Mitarbeitern sein, die in einem festgelegten Zeitraum geschult werden. Ein anderes die rechtzeitige Installation von Patches. In der Automobilbranche gibt es mit der Zertifizierung nach TISAX® einen 41 Maßnahmen umfassenden Fragenkatalog, der sich gut für die KPI-Definition eignet.

 

Was passiert, wenn eines der Schutzziele verletzt wird?

Wird eines dieser Ziele verletzt, besteht die Gefahr eines großen Schadens. 90% der Ransomware-Attacken gelingen, weil Patches nicht rechtzeitig installiert oder Mitarbeiter nicht ausreichend geschult wurden. Awareness und Patch Management sind demnach die kritischsten Faktoren im IT-Sicherheitskatalog eines Unternehmens. Werden Daten abgefangen und gar verkauft, kommen zum unmittelbaren Schaden unter Umständen noch Strafen wegen eines DSGVO-Verstoßes hinzu. Doch der materielle Schaden ist nicht alles. Viel größer kann der immaterielle Schaden aufgrund des Vertrauensverlusts in die Unternehmenssicherheit sein.

 

Fazit

Wenn Daten verloren gehen, nicht abrufbar sind oder in falsche Hände geraten, müssen Unternehmen mit finanziellen Schäden, Imageverlusten und ggf. rechtlichen Konsequenzen rechnen. Mit der Datenmenge und dem technischen Fortschritt steigen auch die Anforderungen an deren Schutz.

In der Informationssicherheit geht es darum, die Daten und Unternehmenswerte bestmöglich zu schützen – damit es weder zu ungewollten, selbst verschuldeten Störfällen noch zu erfolgreichen Hackerangriffen von außen kommen kann. Für einen umfassenden Überblick über das Thema Informationssicherheit werfen Sie einen Blick in unseren Guide für Anfänger! 

Wir bei DataGuard unterstützen Kunden aller Branchen dabei, Informationssicherheit von Anfang richtig anzugehen und so die Schutzziele umzusetzen. Um dies zu erreichen, helfen wir dabei, die ISO 27001 Zertifizierung zu erreichen. Als internationaler Standard für Informationssicherheit, ist die ISO 27001 das Aushängeschild in Sachen Compliance in der Informationssicherheit. 

Wenn auch Sie das Thema Informationssicherheit richtig angehen wollen, freuen wir uns, Sie dabei zu unterstützen. Sprechen Sie uns an und vereinbaren Sie ein ersten kostenloses Beratungsgespräch. 

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das TISAX® Assessment an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Über den Autor

Tim-Marlon Maixner Tim-Marlon Maixner
Tim-Marlon Maixner

Tim-Marlon Maixner ist Consultant im Team für Informationssicherheit bei DataGuard. Aktuell bildet er sich zusätzlich im Bereich Jura in Österreich weiter.  Während seines Studiums an der Johannes Kepler Universität in Linz, konnte er bereits Erfahrungen im Bereich Data & Tech, u .a. beim österreichischen Innenministerium in der NIS-Abteilung, sammeln. Durch seine langjährige Expertise und seine fortlaufenden Weiterbildungen zu aktuellen Informationssicherheitsthemen schätzen Ihn seine Kunden bei DataGuard vor allem für sein übergreifendes Fachwissen und die Fähigkeit, interdisziplinäre Sachverhalte schnell miteinander zu verknüpfen.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren

Privacy
InfoSec
Consent Management
General enquiry
Whistleblowing
Compliance
0-25
26-250
251-500
501-2000
2001-10000
>10000