Wissen Finden
auf Improve WiFi

Die Schutzziele der Informationssicherheit -wichtiger denn je...

Die Wirtschaft hat sich in den vergangenen Jahrhunderten mehrmals extrem gewandelt - technischem Fortschritt sei dank. Durch die heutigen technischen Möglichkeiten innerhalb der elektronischen Datenverarbeitung und der stark steigenden Rechen-und Speicherkapazitäten werden immer mehr Daten gesammelt und ausgewertet. Daten sind der Rohstoff für Informationen und Informationen sind der neue Rohstoff der Wirtschaft. Ein Blick an die Börse genügt, um dies nachzuvollziehen.

Mit steigenden Möglichkeiten der Datenerfassung, Datenspeicherung und Datenverarbeitung erwächst auch eine zunehmende Verantwortung und wirtschaftliche Notwendigkeit, sensible Daten zu schützen (z.B bei personenbezogene Daten).

Ein Mindeststandard im  Umgang mit sensiblen Daten ist einerseits vom Gesetz vorgeschrieben, aber auch innerhalb von Unternehmen aufgrund von dem  Vermögenswert bestimmter Daten/Informationen ein absolute Notwendigkeit. 

Wenn es um den Mindeststandard von Informationssicherheit geht, blickt man vorallem auf drei zentrale Schutzziele von Informationen:

  • Vertraulichkeit
  • Integrität 
  • Verfügbarkeit

Im Folgenden findest du die Definitionen der jeweiligen Schutzziele.

Vertraulichkeit:

 Vertraulichkeit von Daten und Informationen  bedeutet, dass bestimmte Daten und Informationen einer definierten Gruppe von Adressaten anvertraut ist. Vertraulichkeit wird deshalb in vielen Unternehmen auch in Stufen unterteilt, welche dann jeweils  den Vertraulichkeitsgrad  definieren und somit auch Geheimhaltungsmaßnahmen einfordern.

Der Schutz von Vertraulichkeit im Bezug auf Daten und Informationen bedeutet also die Sicherstellung, dass nur Befugte in der Lage sind auf Informationen zuzugreifen und dass sowohl technische als auch nicht-technische Maßnahmen und Abläufe zum Schutz der Vertraulichkeit implementiert werden, wie z.B Verschlüsselung im Datenverkehr oder aber Passwortvorschriften beim Zugang zu InformationsManagementSystemen.

Während sich technische Maßnahmen vorallem auf Kryptographie, Firewalls und Authentifizierungsprozesse fokussieren, beziehen sich nichttechnische Maßnahmen vorallem darauf, dass der Zugang zu analog gespeichert Daten oder aber der Zugang zu technischen Geräten, an denen auf digitale Daten zugegriffen werden kann, durch ausreichende Sicherheitsmaßnahmen der Mitarbeiter verhindert werden.

Key-Note:

 Bei der Vertraulichkeit geht es darum, die Berechtigung zu Daten und Informationen so zu gestalten, dass nur die vorbestimmten Interessensgruppen Zugriff auf diese bekommen.


Integrität:

 Integrität bedeutet im Zusammenhang mit der Informationssicherheit, dass Daten nicht verändert oder gelöscht werden dürfen(oder anderweitig manipuliert), ohne dass diese Schritte nachzuvollziehen sind. 

Konkreter gesagt, wenn jemand heimlich eine Datenmanipulation vornehmen sollte, dann sollte dies durch technische und anderweitige Strukturen erkannt werden können, zurückverfolgbar sein (und im bestem Fall rückgängig machbar sein).

Eine schwache Integrität bezeichnet die Erfüllung des Schutzzieles insofern, als dass eine Datenmanipulation zumindest erkannt und im Besten Fall zurückverfolgt werden kann.

Eine starke Integrität von Daten bedeutet, dass diese so abgesichert sind, dass eine unerkannte  bzw heimliche Veränderung gar nicht erst möglich ist.

Das Schutzziel Integrität setzt sich also zum einen Teil daraus zusammen, dass vorliegende Daten korrekt sind (Datenintegrität), und zum anderen Teil daraus, dass ein System in welchem ein Datenbestand verwaltet wird und Änderungen registriert werden korrekt funktioniert (Systemintegrität).


Verfügbarkeit

Das dritte Schutzziel der Informationssicherheit bezieht sich auf die Verfügbarkeit von Daten und Informationen. Abhängig vom Digitalisierungsgrad eines Unternehmens und der operativen Tätigkeit können sehr sensible Informationen und Daten auftreten, dessen Verfügbarkeit laufend vorhanden sein muss um hohe wirtschaftliche & rechtliche Konsequenzen zu verhindern. 

Es gibt also Systeme und Applikationen, in  denen der Zugriff und Austausch von Informationen ein kritischer Faktor für den Betrieb des operativen Geschäfts darstellt und ein Unternehmen oder eine sonstige Organisation besonders hohe Schutzmaßnahmen treffen sollten, um die Verfügbarkeit zu garantieren. 

Insbesondere bei kritischen System mit sensiblen Datenbeständen sollte die Anzahl und Dauer von Systemausfällen also möglichst klein gehalten werden.

Im Kontext des Datenschutz bzw. der DSGVO spielt die Verfügbarkeit von Daten auch in einem anderen Kontext eine bedeutende Rolle. Laut dem DSGVO müssen personenbezogene Daten auf Nachfrage der Person, über die Daten erfasst und gespeichert wurden, verfügbar gemacht werden. 

Alle wichtigen Schutzziele der Informationssicherheit im Überblick

Die drei wichtigsten Schutzziele:

 Vertraulichkeit:  

Vertraulichkeit von Daten/Informationen bedeutet, dass gewisse Daten und Informationen vor dem Zugriff unbefugter Personen geschützt werden. Diese kann im Sinne der digitalen Kommunikation und Datenspeicherung z.B durch Kryptographie und digitale Authentitätsnachweispflicht gewährleistet werden, spielt aber auch im analogen Bereich eine elementare Rolle, z.b wenn es um die Verwahrung von Akten oder dem Zugang zu technischen Geräten geht.

Integrität:

 Integrität bedeutet im Kontext der Informationssicherheit, dass Datenmanipulationen innerhalb von Systemen durch die Implementierung technischer Barrieren entweder gar nicht erste möglich sind (starke Integrität) oder aber möglich sind, dafür jedoch nicht unbemerkt stattfinden können (schwache Integrität).

Verfügbarkeit:

Verfügbarkeit im Kontext der Informationssicherheit bedeutet, dass Daten und Informationen stets abrufbar sein sollten. Die Verfügbarkeit bezieht sich nicht nur auf Daten, die in Systemen gespeichert werden, sondern auch der allgemeinen Verfügbarkeit informationsverarbeitender Systeme.

Neben der Vertraulichkeit, Integrität und Verfügbarkeit gibt es noch 3 weitere nennenswerte Schutzziele der Informationssicherheit:

Authentizität:

 Authentizität im Kontext der Informationssicherheit bedeutet, dass die tatsächliche Identität von jemanden durch technische oder analoge Prozesse geprüft werden kann. 

Alle Schutzmaßnahmen (Vertraulichkeit, Verfügbarkeit, Integrität) sind nutzlos, wenn die Identität nicht geprüft werden kann und demzufolge verschlüsselte Datenpackete an einen Unbefugten versendet werden, weil dieser durch Social Engineering eine falsche Identität vortäuschen konnte. Maßnahmen zur Authentizitätsprüfung sind z.B Passwortabfragen  oder TAN-Verfahren.

Zurechenbarkeit:

 Zurechenbarkeit im Sinne der Informationssicherheit bedeutet, dass die Anspruchnahme von Diensten oder Systemen einzelnen Nutzern zugeordnet werden können. Dies ist insbesondere für Dienstleistungsunternehmen wichtig, da durch das richtige Zuordnen  von Leistungsinanspruchnahmen eine akkurate Rechnungsstellung stattfinden kann. Auch im Controlling bzw. im internen Rechnungswesen spielt die Zurechenbarkeit im Hinblick auf die Allokationsplanung von Kapital für die  verschiedenen Unternehmensbereiche eine signifikante Rolle.

Nichtabstreitbarkeit:

 Nichtabstreitbarkeit (auch Verbindlichkeit)  im Sinne der Informationssicherheit bedeutet, dass digitale Vereinbarungen im Nachhinein nicht abgestritten werden können. Nichtabstreitbarkeit kann erreicht werden, indem die jeweiligen elektronischen Kommunikationsmedien den vertragsrechtlichen Bedingungen entsprechen und elektronische Dokumente als Nachweis entsprechend gesichert und vorallem gegen Manipulation geschützt werden.


Zuletzt Aktualisiert: 05.09.2020