Schutzziele der Informationssicherheit
Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit (die sogenannte CIA-Triade), die festlegen, vor welchen Bedrohungen Informationen und IT-Systeme geschützt werden müssen.
Die Schutzziele der Informationssicherheit bilden das konzeptionelle Fundament jedes Informationssicherheits-Managementsystems (ISMS). Im Kern stehen die drei klassischen Ziele Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability), die nach ihren englischen Anfangsbuchstaben als CIA-Triade bezeichnet werden. Vertraulichkeit bedeutet, dass Informationen nur befugten Personen, Systemen oder Prozessen zugänglich sind. Integrität gewährleistet, dass Daten und Systeme vollständig, korrekt und unverändert bleiben und Manipulationen erkennbar sind. Verfügbarkeit stellt sicher, dass Informationen und IT-Dienste dann nutzbar sind, wenn berechtigte Anwender sie benötigen.
Aus diesen Grundzielen leiten sich in der Praxis weitere, ergänzende Schutzziele ab, die je nach Schutzbedarf relevant werden. Dazu zählen unter anderem Authentizität (Echtheit und Überprüfbarkeit einer Identität oder Quelle), Verbindlichkeit beziehungsweise Nichtabstreitbarkeit (eine durchgeführte Handlung kann ihrem Urheber nachweisbar zugeordnet werden) sowie Zurechenbarkeit und Belastbarkeit. Der Schutzbedarf wird üblicherweise im Rahmen einer Schutzbedarfsfeststellung für jedes der Ziele in Kategorien wie normal, hoch und sehr hoch eingestuft. Diese Einstufung steuert anschließend die Auswahl und Intensität der technischen und organisatorischen Maßnahmen, etwa Verschlüsselung für die Vertraulichkeit, Prüfsummen und Signaturen für die Integrität oder Redundanz und Backups für die Verfügbarkeit.
Die Schutzziele sind nicht nur ein theoretisches Modell, sondern Bezugspunkt zahlreicher Normen und Rechtsvorschriften. Die ISO/IEC 27001 verankert sie ausdrücklich als Definition der Informationssicherheit, und der BSI IT-Grundschutz baut sein gesamtes Vorgehensmodell darauf auf. Auch regulatorische Anforderungen wie die NIS2-Richtlinie und die DORA verlangen von Unternehmen, Risiken im Hinblick auf diese Schutzziele zu bewerten und angemessene Maßnahmen zu treffen. Eine saubere Definition und Priorisierung der Schutzziele ist damit Voraussetzung für eine belastbare Risikobewertung, eine nachvollziehbare Maßnahmenauswahl und letztlich für die Nachweisbarkeit der Compliance gegenüber Aufsichtsbehörden und Auditoren.
Rechtliche Grundlage
ISO/IEC 27001, BSI IT-Grundschutz (BSI-Standard 200-2), Art. 21 NIS2-Richtlinie (EU) 2022/2555
Praxisbeispiel
Eine Informationssicherheitsbeauftragte eines mittelständischen Maschinenbauers führt für das Konstruktionssystem eine Schutzbedarfsfeststellung durch. Die enthaltenen Konstruktionspläne stuft sie bei der Vertraulichkeit als sehr hoch ein, da ein Abfluss an Wettbewerber existenzbedrohend wäre, bei der Integrität ebenfalls als hoch, weil fehlerhafte Pläne zu Produktionsausschuss führen, und bei der Verfügbarkeit als normal, da kurze Ausfälle tolerierbar sind. Auf dieser Basis priorisiert sie die Maßnahmen: starke Zugriffskontrolle und Verschlüsselung für die Vertraulichkeit, eine revisionssichere Versionierung für die Integrität und ein einfaches Backup-Konzept für die Verfügbarkeit. So fließen die Schutzziele direkt in die konkrete und budgetgerechte Maßnahmenplanung ein.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren