DQS im Dialog
DQS Website Abonnieren

Schutzziele der Informationssicherheit und ihre Bedeutung

Die Schutzziele der Informationssicherheit sind die elementaren Kernpunkte für den Schutz von Informationen. Informationen stellen für jedes Unternehmen einen bedeutenden wirtschaftlichen Wert dar, und zwar nicht erst seit heute. Sie sind das Fundament ihrer Existenz und deshalb eine wesentliche Voraussetzung für erfolgreiches Wirtschaften. Dass Informationen geschützt werden müssen, liegt also auf der Hand – oder ist zumindest wünschenswert. Allerdings klaffen hier Wunsch und Wirklichkeit noch recht weit auseinander.
Ein Ritter in Rüstung hält einen Schild und ein Schwert vor seinem Körper. Der Schild steht für die Schutzziele, die es in der Informationssicherheit zu beachten gilt.

Was sind die Schutzziele der Informationssicherheit?

Aufgrund unzureichender Sicherheit in der Informationsverarbeitung werden jährlich Schäden in Milliardenhöhe angerichtet. Doch wie lässt sich ein angemessener Schutz von organisationseigenen Werten erreichen? Und wie kann ein Unternehmen am besten in das Thema Informationssicherheit einsteigen?

Eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Dafür sollten sich Unternehmen und Organisationen zunächst mit den drei grundlegenden Schutzzielen der Informationssicherheit auseinandersetzen:

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit.

Die Umsetzung und die Wirksamkeit von Maßnahmen, die ein Unternehmen auf den Weg bringt, um diese Schutzziele zu erreichen, sind ein wesentliches Merkmal für den Grad seiner Informationssicherheit.

Sehr hilfreich für Anwender der international anerkannten Informationssicherheitsnorm ISO 27001 (oder daran Interessierte) ist deren Anhang A. Dieser Anhang gibt für die wichtigsten informationssicherheitsrelevanten Situationen Ziele und Referenzmaßnahmen vor.

ISO 27001 Annex A Auditleitfaden der DQS

WERTVOLLES WISSEN: DQS-AUDITLEITFADEN

Unser Auditleifaden ISO 27001 – Anhang A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen.

Auditleitfaden kostenfrei herunterladen

Schutzziele Informationssicherheit: Vertraulichkeit einer Information

Ziel ist der Schutz vertraulicher Daten vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder auf Grund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Die Vertraulichkeit von Informationen und sensiblen Daten ist also gewährleistet, wenn nur solche Personen darauf Zugriff erhalten, die eine Befugnis (Berechtigung) dafür haben. Zugriff heißt zum Beispiel lesen, bearbeiten (ändern) oder auch löschen.

Die ergriffenen Maßnahmen müssen also sicherstellen, dass ausschließlich befugte Personen Zugang zu den vertraulichen Informationen haben – nicht befugte Personen auf keinen Fall. Dies gilt auch für Informationen auf Papier, die gegebenenfalls ungeschützt auf einem Schreibtisch zum Lesen einladen, oder auch für die Übertragung von Daten, auf die im Zug ihrer Verarbeitung nicht zugegriffen werden kann.

DIN EN ISO/IEC 27001:2017-06 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen
Die Norm ist beim Beuth Verlag erhältlich.

Für befugte Personen muss zusätzlich festgelegt werden, welche Art von Zugang sie erhalten sollen, was sie tun dürfen bzw. müssen und was sie nicht dürfen. Dabei ist sicherzustellen, dass sie das, was sie nicht tun dürfen, auch nicht tun können. Die Methoden bzw. Techniken, die dabei zur Anwendung kommen sind vielfältig und teilweise unternehmensspezifisch.

Geht es „nur“ um das unberechtigte Einsehen oder Offenlegen von Informationen (auch bei der Übertragung, Klassiker: E-Mail Verkehr!), können zum Schutz der Vertraulichkeit zum Beispiel kryptografische Maßnahmen zum Einsatz kommen. Geht es darum zu verhindern, dass Informationen nicht unerlaubt verändert werden können, kommt das Schutzziel „Integrität“ zum Tragen.

Schutzziele Informationssicherheit: Integrität einer Information

Mit dem Fachterminus Integrität sind gleich mehrere Anforderungen verknüpft:

  • Ungewollte Änderungen von Informationen müssen unmöglich sein, wenigstens aber erkannt werden können und nachvollziehbar sein. In der Praxis gilt folgende Abstufung:
    – Hohe (starke) Integrität verhindert ungewollte Änderungen.
    – Niedrige (schwache) Integrität kann Änderungen evtl. nicht verhindern, stellt aber sicher, dass (ungewollte) Änderungen erkannt und gegebenenfalls auch nachvollzogen werden können (Nachvollziehbarkeit).
  • Die Verlässlichkeit von Daten und Systemen muss gewährleistet sein.
  • Die Vollständigkeit von Informationen muss gewährleistet sein.
DQS Webinar

Online-Workshop

In unserem Online-Workshop erfahren Sie, wie Sie sich auf die Einführung eines Managementsystems nach ISO 27001 vorbereiten.

Termine & Anmeldung

Maßnahmen, die die Integrität von Informationen erhöhen sollen, zielen deshalb ebenfalls auf das Thema Zugangsberechtigung in Verbindung mit Schutz vor externen und internen Angriffen.

Während die Wörter „Vertraulichkeit“ und „Verfügbarkeit“ mit Blick auf die klassischen Schutzziele der Informationssicherheit aus sich heraus gut verständlich, ja fast selbsterklärend sind, bedarf der Fachterminus „Integrität“ einer gewissen Erläuterung. Um das Schutzziel, das im Englischen „integrity“ heißt, auf Deutsch zu benennen, wurde „integrity“ der Einfachheit halber 1:1 in „Integrität“ übertragen. Gemeint sind Korrektheit (von Daten und Systemen), Vollständigkeit oder Nachvollziehbarkeit (von Änderungen).

Schutzziele Informationssicherheit: Verfügbarkeit einer Information

Verfügbarkeit von Informationen bedeutet, dass diese einschließlich der benötigten IT Systeme für jeden Berechtigten jederzeit zugänglich und im jeweils notwendigen Umfang nutzbar (funktionsfähig) sein müssen. Fällt ein System aus oder ist ein Gebäude nicht zugänglich, ist die benötigte Information nicht verfügbar. Dies kann in bestimmten Fällen zu Störungen mit weitreichenden Folgen führen, zum Beispiel bei der Aufrechterhaltung von Prozessen.

Deshalb ist es sinnvoll, eine Risikoanalyse mit Blick auf die Wahrscheinlichkeit eines Systemausfalls, auf die mögliche Dauer und auf den gegebenenfalls entstandenen Schaden durch fehlende IT Security durchzuführen. Aus den Ergebnissen können wirksame Gegenmaßnahmen abgeleitet und im Fall der Fälle ausgeführt werden.

Was sind „erweiterte“ Schutzziele?

Neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gibt es noch drei erweiterte Schutzziele. darunter versteht man die zwei Aspekte „Verbindlichkeit“ und „Zurechenbarkeit“, die sich gegenseitig ergänzen. Ersteres bedeutet sicherzustellen, dass ein Akteur seine Handlung nicht abstreiten kann, Letzteres, dass ihm seine Handlung sicher zugeordnet werden kann. Beides läuft auf die eindeutige Identifizierbarkeit von Akteuren hinaus, die Ausgabe eindeutiger Passwörter ist eine Mindestvoraussetzung dafür.

Als drittes erweitertes Schutzziel wird „Authentizität“ verstanden, also Echtheit. Eine einfache Frage dazu lautet: Ist die Information echt bzw. stammt sie tatsächlich von der angegebenen Quelle? Dieses Schutzziel ist wichtig, um die Vertrauenswürdigkeit des Ursprungs bewerten zu können.

ISO 27001 Fragen und Antworten der DQS

Informationen von Wert sind das Gold von heute – und auch für Ihr Unternehmen ein zu schützendes Gut. Antworten auf die wichtigsten Fragen zu ISO 27001 lesen Sie hier.

Schutzziele der Informationssicherheit Fazit

Die drei wichtigsten Schutzziele der Informationssicherheit sind „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.

Vertraulichkeit: Um sie gewährleisten zu können, müssen Sie klar festlegen, wer in welcher Art und Weise berechtigt ist, auf diese sensiblen Daten zuzugreifen. Dies ist an entsprechende Zugangsberechtigungen und den Einsatz zum Beispiel kryptographischer Techniken geknüpft.

Integrität bedeutet den Schutz vor unautorisierten Änderungen und dem Löschen an Informationen, dazu die Verlässlichkeit und Vollständigkeit von Informationen. Für Ihr Unternehmen ist es deshalb wichtig, Vorkehrungen zu treffen, um Veränderungen an Daten schnell zu erkennen oder unerlaubte Manipulation von Grund auf zu verhindern.

Verfügbarkeit heißt, dass Informationen, Systeme und Gebäude für Befugte jederzeit zur Verfügung stehen müssen. Da beispielsweise Systemausfälle mit großen Risiken verbunden sind, sollte zu diesem Themenkomplex eine Risikoanalyse durchgeführt werden. Halten Sie hier die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial der notwendigsten Systeme fest.

Verbindlichkeit, Zurechenbarkeit und Authentizität sind „erweiterte“ Schutzziele.

Unter Verbindlichkeit wird verstanden, dass sichergestellt ist, dass ein Akteur seine Handlungen nicht abstreiten kann. Zurechenbarkeit ergänzt dieses erweiterte Schutzziel durch die eindeutige Identifizierung eines solchen Akteurs. Authentizität stellt die Frage: Ist eine Information echt bzw. vertrauenswürdig?

Ihre DQS Das können Sie von uns erwarten

Informationssicherheit ist ein komplexes Thema, das weit über die IT-Sicherheit hinausgeht. Es umfasst technische, organisatorische und infrastrukturelle Aspekte. Für wirksame Schutzmaßnahmen in Form eines Informationssicherheits-Managementsystems (ISMS) eignet sich die internationale Norm DIN EN ISO/IEC 27001.

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um ISO 27001 und Informationssicherheits-Managementsysteme.

Kontakt zur DQS

Gerne beantworten wir Ihre Fragen

Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich. Unverbindlich und kostenfrei.

Kontakt aufnehmen

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.