Die Schutzziele der Informationssicherheit definieren, was geschützt werden muss, um die Sicherheit von Informationen zu gewährleisten. Die drei wichtigsten Schutzziele sind:
- Vertraulichkeit: Schutz vor unbefugtem Zugriff auf Informationen.
- Integrität: Sicherstellung der Korrektheit und Vollständigkeit der Daten.
- Verfügbarkeit: Gewährleistung, dass Informationen und Systeme bei Bedarf verfügbar sind.
Diese Ziele bilden den Kern eines Informationssicherheitsmanagementsystems (ISMS), das in Unternehmen genutzt wird, um systematisch die Informationssicherheit zu gewährleisten.
Vertraulichkeit
Vertraulichkeit bedeutet, dass nur autorisierte Personen Zugriff auf bestimmte Daten haben. Ein unbefugter Zugriff könnte die Vertraulichkeit verletzen und zu Datenverlust, Identitätsdiebstahl oder Unternehmensschäden führen. Techniken zur Sicherstellung der Vertraulichkeit beinhalten Verschlüsselung, Zugangskontrollen und Sicherheitsprotokolle.
Beispiel: Kundendaten müssen streng vertraulich behandelt werden und dürfen weder für Wettbewerber noch für unbefugte Dritte zugänglich sein. Der Verlust dieser Vertraulichkeit könnte zum Beispiel dazu führen, dass sensible Informationen über Kundenbeziehungen und Kaufverhalten in die Hände der Konkurrenz gelangen und damit Wettbewerbsvorteile
Integrität
Integrität stellt sicher, dass Informationen korrekt und vollständig sind und nicht unbemerkt verändert werden können. Dies schützt vor Manipulationen und unautorisierten Änderungen. Integrität kann durch Maßnahmen wie Prüfsummen, kryptografische Hashfunktionen oder digitale Signaturen erreicht werden.
Beispiel: Bei der Übertragung von Dateien zwischen zwei Systemen kann eine Prüfsumme verwendet werden, damit die Datei während der Übertragung unverändert bleibt.
Verfügbarkeit
Verfügbarkeit bedeutet, dass Informationen und Systeme immer dann zur Verfügung stehen, wenn sie gebraucht werden. Ein Verlust der Verfügbarkeit kann durch Systemausfälle, Angriffe wie DDoS oder technische Störungen verursacht werden. Maßnahmen zur Erhöhung der Verfügbarkeit umfassen Redundanz, regelmäßige Backups und Notfallpläne.
Beispiel: Ein Unternehmen, das eine E-Commerce-Website betreibt, muss dafür sorgen, dass die Website ständig erreichbar ist, damit Kunden jederzeit Einkäufe tätigen können.
Schutzbedarfskategorien: Einstufung von Informationen nach Sicherheitsrelevanz
Je nach möglichen Konsequenzen einer Sicherheitsverletzung lassen sich Informationen in verschiedene Schutzbedarfskategorien einteilen:
- Kein Schutzbedarf (Öffentlich)
Informationen, die bereits für die Öffentlichkeit zugänglich sind und keine besonderen Sicherheitsmaßnahmen erfordern.
Beispiel: Inhalte auf der Unternehmenswebsite, veröffentlichte Pressemitteilungen. - Normal (Intern)
Informationen, deren unbefugte Weitergabe einen geringen Schaden verursachen würde, aber dennoch nicht öffentlich zugänglich sein sollten.
Beispiel: Interne Richtlinien, Mitarbeiterschulungen, Unternehmensbroschüren. - Hoch (Vertraulich)
Informationen, deren Offenlegung erhebliche finanzielle oder reputationsbezogene Schäden nach sich ziehen könnte.
Beispiel: Kundendaten, interne Geschäftsstrategien, nicht öffentliche Verträge. - Sehr hoch (Streng vertraulich)
Kritische Informationen, deren Veröffentlichung existenzbedrohende Folgen haben könnte. Hier sind höchste Sicherheitsvorkehrungen erforderlich.
Beispiel: Geschäftsgeheimnisse, Patentanmeldungen, Vorstandsunterlagen zu Fusionen und Übernahmen.
Erweiterte Schutzziele der Informationssicherheit
Zusätzlich zu den klassischen Schutzzielen gibt es 3 weitere Schutzziele:
- Authentizität: Sicherstellung der Echtheit von Daten und Identitäten, z. B. durch Verwendung von Zertifikaten oder biometrischen Verfahren.
- Verbindlichkeit: Nachweis der durchgeführten Aktionen, was besonders bei Verträgen und Transaktionen wichtig ist. Oft durch elektronische Signaturen gewährleistet.
- Zurechenbarkeit: Die Möglichkeit, jede Aktion eindeutig einer Person oder einem System zuzuordnen, sodass Verantwortlichkeiten geklärt werden können.
Umsetzung der Schutzziele in einem ISMS
Ein Informationssicherheitsmanagementsystem (ISMS) bietet einen systematischen Rahmen zur Umsetzung der Schutzziele. Dies wird durch diese 4 Maßnahmen erreicht:
- Risikoanalyse und -bewertung: Ermittlung und Bewertung von Risiken für Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.
- Sicherheitsrichtlinien: Festlegung von Regeln und Prozessen, die gewährleisten, dass alle Schutzziele erreicht werden.
- Technische Maßnahmen: Einsatz von Verschlüsselung, Firewalls, Zugriffskontrollen und Backup-Systemen, um die Schutzziele zu gewährleisten.
- Kontinuierliche Überwachung: Regelmäßige Überprüfungen und Audits, um sicherzustellen, dass die Schutzziele eingehalten werden und neue Risiken frühzeitig erkannt werden.
Die erfolgreiche Implementierung eines ISMS nach internationalen Standards wie ISO 27001 oder TISAX® stellt sicher, dass die Schutzziele systematisch verfolgt werden und die Informationssicherheit kontinuierlich verbessert wird.
Was gibt es noch bei den Schutzzielen in der Informationssicherheit zu beachten?
Dynamik und Abhängigkeiten der wichtigsten Schutzziele
Die Ziele Schutz der Vertraulichkeit, Integrität und Verfügbarkeit sind oft voneinander abhängig und können in einem Spannungsverhältnis zueinander stehen. Maßnahmen zur Erhöhung eines Schutzziels können unter Umständen ein anderes grundlegendes Schutzziel beeinträchtigen.
- Ein Beispiel hierfür: Wenn hohe Vertraulichkeit durch starke Verschlüsselung erreicht wird, kann dies die Verfügbarkeit negativ beeinflussen, weil Entschlüsselungsprozesse Zeit und Rechenleistung beanspruchen, was die Systemverfügbarkeit verringern kann.
Ein ausgewogenes Verhältnis zwischen den Zielen ist notwendig, um eine ganzheitliche Sicherheitsstrategie zu entwickeln.
Identifikation und Bewertung der Assets
Bevor das Risikomanagement angewendet werden kann, ist die Ermittlung und Bewertung der Assets ein entscheidender Schritt, um die Schutzziele der Informationssicherheit gezielt umzusetzen. Assets bezeichnen dabei alle Ressourcen und Werte, die für das Unternehmen relevant sind und geschützt werden müssen. Dazu gehören physische Systeme, Netzwerke, Anwendungen sowie Daten und Informationen.
- Schritt 1: Asset-Identifikation
Zunächst werden alle Assets, die die Informationssicherheit betreffen, erfasst. Hierzu zählen technische Systeme (Server, Netzwerke), Anwendungen und vor allem Daten, die verarbeitet oder gespeichert werden. Die Identifikation der Assets ermöglicht einen Überblick über den Umfang und die Art der zu schützenden Werte. - Schritt 2: Asset-Bewertung
Im nächsten Schritt wird der Wert jedes Assets bestimmt. Diese Bewertung orientiert sich daran, wie kritisch ein Asset für die Erfüllung der Schutzziele ist. Beispielsweise können Kundendaten einen hohen Vertraulichkeitsbedarf aufweisen, während geschäftskritische Anwendungen auf hohe Verfügbarkeit angewiesen sind. - Schritt 3: Schutzbedarf pro Asset festlegen
Für jedes identifizierte Asset wird der notwendige Schutzbedarf für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit ermittelt. Dabei berücksichtigen wir, wie groß der Schaden bei einem Ausfall oder einer Sicherheitsverletzung wäre.
Diese Vorarbeit bildet die Basis für das Risikomanagement, da nur durch die detaillierte Erfassung und Bewertung der Assets gezielte Schutzmaßnahmen implementiert und potenzielle Risiken korrekt eingeschätzt werden können.
Risikomanagement als Grundlage
Die Umsetzung der Schutzziele in einem Unternehmen erfolgt auf der Grundlage eines Risikomanagement-Prozesses. Dabei werden die potenziellen Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen bedrohen, identifiziert, bewertet und mit Maßnahmen minimiert.
- Risikobewertung: Jedes Unternehmen sollte seine individuellen Risiken regelmäßig bewerten, da sich Bedrohungen, technologische Entwicklungen und Unternehmensprozesse ständig ändern.
- Maßnahmen Priorisierung: Basierend auf der Bewertung des Schutzbedarfs und der identifizierten Risiken müssen Maßnahmen entsprechend der potenziellen Auswirkungen priorisiert werden.
Compliance, Datenschutz und rechtliche Anforderungen
Unternehmen müssen sich oft an rechtliche Anforderungen und Compliance-Vorgaben halten, die die Schutzziele der Informationssicherheit betreffen. Dazu gehören nationale und internationale Gesetze sowie branchenspezifische Regelungen. Beispiele hierfür sind:
- DSGVO (Datenschutz-Grundverordnung): Sie legt strenge Anforderungen an die Vertraulichkeit und Integrität von personenbezogenen Daten fest.
- NIS2-Richtlinie: Diese neue EU-Richtlinie stellt Anforderungen an die Verfügbarkeit und die Integrität von Diensten in kritischen Sektoren.
Die Einhaltung dieser gesetzlichen Vorgaben beeinflusst die Gestaltung des ISMS und erfordert oft zusätzliche Sicherheitsmaßnahmen.
Der Faktor Mensch
Neben technischen Maßnahmen spielt der Faktor Mensch eine entscheidende Rolle in der IT-Sicherheit. Menschen können durch:
- Unachtsamkeit als Benutzer (z. B. durch Phishing-Angriffe),
- Fehler (z. B. versehentliche Offenlegung vertraulicher Informationen),
- oder bewusst böswillige Handlungen (z. B. Insider-Bedrohungen)
die Schutzziele gefährden.
Um dem entgegenzuwirken, sind Schulungen und Sensibilisierungsprogramme für Mitarbeiter notwendig, um ein Bewusstsein für Informationssicherheitsrisiken zu schaffen und sicherheitsbewusstes Verhalten zu fördern.
Kontinuierliche Verbesserung und Überwachung
Ein ISMS muss sich den sich wandelnden Bedrohungen und Technologien ständig anpassen. Daher ist eine kontinuierliche Überwachung und Verbesserung der Schutzziele notwendig. Dies wird in der Regel durch folgende Maßnahmen erreicht:
- Audits: Regelmäßige interne und externe Audits überprüfen die Wirksamkeit der getroffenen Sicherheitsmaßnahmen.
- Sicherheitsvorfälle analysieren: Durch die systematische Analyse von Sicherheitsvorfällen und den Lessons Learned der Incidents können Schwachstellen im System identifiziert und behoben werden.
- Technologische Anpassungen: Die IT-Landschaft entwickelt sich stetig weiter, daher muss das ISMS flexibel und anpassbar sein, um neue Technologien wie Cloud-Computing oder Künstliche Intelligenz sicher integrieren zu können.
Kultureller Aspekt der Informationssicherheit
Informationssicherheit ist nicht nur eine technische, sondern auch eine kulturelle Herausforderung. In Unternehmen, in denen Sicherheitsbewusstsein auf allen Ebenen verankert ist, lassen sich die Schutzziele effektiver umsetzen. Dies erfordert:
- Führungskompetenz: Das Management muss die Bedeutung der Schutzziele vorleben und Informationssicherheit zur Priorität machen.
- Unternehmensweite Integration: Sicherheitsmaßnahmen müssen in alle Prozesse integriert und als Teil der Unternehmenskultur verstanden werden.
Wie können Sie die Informationssicherheit in Ihrem Unternehmen sicherstellen?
Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sind in der heutigen Industrie der Schlüssel für den Erfolg eines Unternehmens. Mit einer ISMS-Zertifizierung sichern Sie nicht nur Ihr eigenes Unternehmen ab, sondern schaffen auch Vertrauen bei Ihren Kunden und Partnern. Unsere langjährige Erfahrung in der Begleitung von mittelständischen Industrieunternehmen stellt sicher, dass wir nicht nur Best Practices umsetzen, sondern auch maßgeschneiderte Lösungen anbieten, die genau auf Ihre Bedürfnisse und die Anforderungen Ihrer Branche abgestimmt sind. So bleiben Ihre Daten auch in der zunehmend digitalisierten und vernetzten Industrie geschützt.
Über den Autor
Can Adiguzel ist der Gründer von 360 Digital Transformation. Er ist Berater für Informationssicherheit und ISO 27001 Lead Auditor. Er ist seit mehr als 11 Jahren im IT-Projektmanagement tätig. Seine Leidenschaft ist die Informationssicherheit für den Mittelstand und er hilft dem Mittelstand bei der Bewältigung seiner Herausforderungen im Bereich der Informationssicherheit mit einem praxisnahen Beratungsansatz.
