Verfügbarkeit
Verfügbarkeit ist das Schutzziel der Informationssicherheit, das sicherstellt, dass Systeme, Anwendungen und Daten autorisierten Nutzern jederzeit bei Bedarf in der erwarteten Funktion und Geschwindigkeit zur Verfügung stehen.
Verfügbarkeit (englisch Availability) bezeichnet die Eigenschaft, dass Informationen, IT-Systeme und die von ihnen bereitgestellten Dienste für autorisierte Nutzer dann nutzbar sind, wenn sie benötigt werden. Sie bildet zusammen mit Vertraulichkeit und Integrität die drei klassischen Schutzziele der Informationssicherheit (das sogenannte CIA-Dreieck). Beeinträchtigt wird die Verfügbarkeit etwa durch Hardware- und Softwareausfälle, Stromausfälle, fehlerhafte Konfigurationen, Überlastung, höhere Gewalt oder gezielte Angriffe wie Distributed-Denial-of-Service-Attacken (DDoS) und Ransomware. Gemessen wird Verfügbarkeit üblicherweise als prozentualer Anteil der Betriebszeit an einem Bezugszeitraum sowie über Kennzahlen wie Mean Time To Recovery (MTTR) und die in Service Level Agreements vereinbarten Wiederanlaufzeiten.
Zur Sicherstellung der Verfügbarkeit werden technische und organisatorische Maßnahmen kombiniert: Redundanz und Ausfallsicherheit (etwa Cluster, Lastverteilung, georedundante Rechenzentren), regelmäßige Datensicherungen mit erprobten Wiederherstellungsverfahren, eine unterbrechungsfreie Stromversorgung, Kapazitäts- und Patch-Management sowie Schutzmechanismen gegen Überlastungs- und Verschlüsselungsangriffe. Eingebettet wird dies in ein Notfall- und Kontinuitätsmanagement (Business Continuity Management, Disaster Recovery), das auf Basis einer Business-Impact-Analyse Wiederherstellungsziele wie Recovery Time Objective (RTO) und Recovery Point Objective (RPO) definiert. Die erforderliche Höhe der Verfügbarkeit ergibt sich aus der Schutzbedarfsfeststellung des jeweiligen Systems.
Rechtlich und normativ ist Verfügbarkeit fest verankert. Die NIS2-Richtlinie und ihre nationale Umsetzung verlangen von betroffenen Einrichtungen Maßnahmen zur Aufrechterhaltung des Betriebs und zur Bewältigung von Sicherheitsvorfällen; die DSGVO fordert in Art. 32 ausdrücklich die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Die ISO/IEC 27001 sowie der BSI IT-Grundschutz behandeln Verfügbarkeit als zentrales Schutzziel und fordern entsprechende Maßnahmen, Tests und Wiederanlaufpläne. Für Betreiber Kritischer Infrastrukturen gelten zusätzlich verschärfte Anforderungen an Resilienz und Stand der Technik.
Rechtliche Grundlage
Art. 32 DSGVO; NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001; BSI IT-Grundschutz
Praxisbeispiel
Eine Informationssicherheitsbeauftragte eines mittelständischen Maschinenbauers stuft das ERP-System in der Schutzbedarfsfeststellung als hoch verfügbar ein, weil ein Ausfall Produktion und Lieferfähigkeit sofort stoppt. Sie vereinbart mit der IT eine Ziel-Verfügbarkeit von 99,9 Prozent, ein RTO von vier Stunden und ein RPO von 15 Minuten. Umgesetzt wird dies über einen redundanten Datenbankcluster, tägliche sowie kontinuierliche Sicherungen und eine zweite Stromeinspeisung. In einer halbjährlichen Notfallübung spielt das Team eine simulierte Ransomware-Verschlüsselung durch, stellt das System aus dem Offline-Backup wieder her und dokumentiert die tatsächliche Wiederanlaufzeit als Nachweis für das interne Audit und die NIS2-Berichtspflichten.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren