In today's digital world, a company's...
Information Security Expert
May 25, 2023
8 min
.svg)
Informationssicherheit schützt Unternehmensdaten durch Vertraulichkeit, Integrität und Verfügbarkeit.
Diese Schutzziele werden durch Maßnahmen wie Zwei-Faktor-Authentifizierung, Zugangsberechtigung und Systemschutz umgesetzt.
Erweiterte Schutzziele umfassen Verbindlichkeit und Zurechenbarkeit.
Eine kontinuierlich angepasste Informationssicherheitsstrategie ist für den Schutz von Informationen essenziell.
In diesem Artikel erklären wir,
Die drei primären Schutzziele im Bereich der Informationssicherheit sind die Vertraulichkeit, die Integrität sowie die Verfügbarkeit von Informationen.
Dabei verfolgen das Ziel der Vertraulichkeit die Absicht, die Daten und Informationen eines Unternehmens vor Missbrauch zu schützen, um damit einhergehende wirtschaftliche Schäden zu verhindern. Außerdem könnten sich durch Schutzziele die Unversehrtheit von Informationen und Systemen sowie die ständige Zugänglichkeit für berechtigte Personen gewährleisten lassen.
Ein Wissensvorsprung bei technischen Abläufen und der Erfassung sowie Verarbeitung von Kundeninformationen geht mit der Verfügbarkeit und Exklusivität von Informationen einher. Informationssicherheit spielt deshalb sowohl für Privatpersonen als auch für Unternehmen eine wichtige Rolle, denn Informationen stellen für jeden Einzelnen von uns wichtigen Teil unseres Alltags dar.
Für Unternehmen sind sie ein entscheidender Wettbewerbsfaktor, schließen sie doch unter anderem den Wissensvorsprung der Firma ein. Informationen sind demnach ein äußerst wertvolles Gut und oft ein hoher Vermögenswert eines Unternehmens.
Dementsprechend wichtig ist es für Unternehmen deshalb, die eigenen Informationen zu schützen und negative Auswirkungen eines Informationsmissbrauchs und damit einhergehende wirtschaftliche Schäden zu verhindern. Eine stabile Informationssicherheit kann dies gewährleisten.
Daher müssen Unternehmen jegliche Formen von Informationen und die verschiedenen Systeme, auf denen sich Informationen speichern lassen, adäquat schützen.
Hierzu zählen sämtliche Informationen, welche ein Unternehmen und dessen Wissensvorsprung auszeichnen: sowohl die Informationen in schriftlicher und elektronischer Form, welche analog oder digital gespeichert sind, als auch jene, die als Wissen in den Köpfen von Unternehmensmitarbeitenden verankert sind.
Unternehmen sammeln und verarbeiten täglich Informationen. Entsprechend sind für Unternehmen ihre Informationen eines der wertvollsten Güter.
Diese existieren in unterschiedlichen Formen und können sowohl auf technischen als auch nicht technischen Systemen gespeichert sein. Gemeinsam haben sämtliche personenbezogene Informationen, unabhängig von ihrer Bedeutung etwa als Wissensvorsprung, dass sie dem Datenschutz unterliegen und entsprechend geschützt werden müssen.
Die Informationssicherheit zielt also auf den Schutz aller Informationen eines Unternehmens ab. Das umschließt jene Informationen, die Einfluss auf den Erfolg nehmen, wie auch solche, die personenbezogene Daten umfassen.
Für eine Bewachung lassen sich drei grundlegende primäre Schutzziele der Informationssicherheit ausmachen: Vertraulichkeit, Integrität und Verfügbarkeit. Darüber hinaus gibt es erweiterte Schutzziele. Namentlich sind das Authentizität, Nichtabstreitbarkeit, Zurechenbarkeit und Privatsphäre. Diese bilden weitere bedeutende Aspekte der Informationssicherheit.
Für eine Gewährleistung der einzelnen Schutzziele sind durch Unternehmen entsprechende Maßnahmen zu treffen, etwa ein geschützter Zugang zu Informationen. Nur wenn die Schutzziele erfüllt sind, lässt sich einem unbefugten Zu- oder Angriff auf das System eines Unternehmens entgegenwirken und das Risiko eines Informationsmissbrauchs oder -verlustes auf ein passables Niveau minimieren.
Information security ist demzufolge eine existenzielle und zentrale Aufgabe im Bereich des Managements.
Die wichtigsten und drei primären Schutzziele im Bereich der Informationssicherheit sind die Vertraulichkeit, die Integrität sowie die Verfügbarkeit von Informationen. Diese drei Schutzziele kennt man auch als die sogenannte CIA-Triade.
Die drei Initialen stehen dabei für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Dabei verfolgen diese Ziele die Absicht, die Daten und Informationen eines Unternehmens vor Unbefugten zu schützen, die versuchen, Zugriff auf diese zu erlangen.
Außerdem zielen die Schutzziele darauf ab, die Unversehrtheit von Information und Systemen sowie die ständige Zugänglichkeit für berechtigte Personen zu gewährleisten.
Die drei aufgeführten Schutzziele wurden als solche in Anlehnung an die Anforderungen zum Aufbau eines Informationssicherheits-Managementsystems, der ISO 27001, vom Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert.
Die Vertraulichkeit ist von zentraler Bedeutung, um eine unautorisierte Informationsgewinnung zu verhindern. In Zuge dessen ist sicherzustellen, dass sich vertrauliche Daten und Informationen lediglich von Befugten und von diesen nur in der vorgesehenen Art und Weise abrufen lassen.
Der Schutz vor unbefugtem Zugriff dient dazu, Informationen aus Gründen des Betriebsgeheimnisses oder des Datenschutzes vertraulich zu halten. Als Beispiel lässt sich hier etwa die nicht vorhergesehene Offenlegung von Strategien oder Kundendaten nennen. Die Speicherung physischer und digitaler Daten sowie die Datenübertragung fällt unter den Punkt der Vertraulichkeit.
Die Integrität als Schutzziel der Informationssicherheit stellt die Unversehrtheit von Informationen sowie die Verlässlichkeit von Systemen und Prozessen sicher.
Dies sollten Sie in ihrem Unternehmen stets anstreben, weshalb verschiedene Maßnahmen zu treffen sind: Ungewollte Änderungen von Informationen gilt es zu verhindern oder zumindest nachvollziehbar zu machen. Hier unterscheidet man zwischen einer starken und schwachen Integrität.
Bei einer hohen Integrität sind Veränderungen von Informationen nicht möglich, während bei einer schwachen Integrität lediglich eine Nachvollziehbarkeit über ungewollten Zugriff und Änderung vorherrscht.
Eine schwache Integrität bei Systemen und Funktionen lässt sich im Normalfall häufig leider jedoch nicht vermeiden. Häufig geschieht eine solche Manipulation von Daten besonders durch Systeme und Prozesse selbst. Von entsprechender Bedeutung ist es deshalb, dass eine Manipulation von Informationen und Daten durch Verändern, Löschen oder Einfügen von Daten nachvollziehbar ist.
Schließlich können solche Veränderungen existenzbedrohend für ein Unternehmen sein. Verfälschte Informationen und Produkte können zudem auch gravierende Folgen für Kunden haben, etwa bei gesundheitlichen Eingriffen.
Die Verfügbarkeit umfasst die Funktionsfähigkeit von Systemen. Um Schäden zu verhindern, muss diese zu jedem Zeitpunkt gewährleistet sein, und Systeme dürfen dabei nur berechtigten Personen zugänglich sein.
Durch eine möglichst hohe Verfügbarkeit – angestrebt werden 100 Prozent, die jedoch, wenn überhaupt, nur mit der Investition hoher finanzieller Mittel einhergeht – lässt sich das Risiko eines Systemausfalls minimieren.
Hierfür ist es von Wichtigkeit, sich mit den Datenbeständen eines Unternehmens zu beschäftigen und diese auf ihre Bedeutung für die Arbeitsabläufe hin zu untersuchen. Die existenziellen Datenbestände und Systeme lassen sich zwecks der Informationssicherheit gegen Ausfälle schützen. Zudem ist eine weitere Aufgabe der Informationssicherheit, zu gewährleisten, dass man – im Falle eines Systemausfalls – den Betriebszustand möglichst schnell wieder herstellen kann.
1. Um die Vertraulichkeit als Schutzziel der Informationssicherheit zu gewährleisten, sind durch Unternehmen entsprechende Maßnahmen zu treffen. Zunächst ist es unerlässlich, festzulegen, welche Mitarbeitenden und Personen in welcher Form berechtigt sind, auf einzelne Informationen zuzugreifen.
Dies umfasst das Lesen, Bearbeiten, Ändern und Löschen von Informationen und Daten. Als Unternehmen ist die Implementierung einer Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu Ihren kritischen IT-Systemen unerlässlich. Denn so wird sichergestellt, dass nur autorisierte Personen Zugang auf die Systeme besitzen. Dies unterstützt das Schutzziel der Vertraulichkeit.
Eine Maßnahme im Zuge der geschützten Zugänglichkeit von physischen und digitalen Daten ist etwa die Einrichtung eines verschlüsselten E-Mail-Verkehrs. Denn die Absicherung der physischen und digitalen Daten sowie der internen und externen Kommunikation eines Unternehmens ist von zentraler Bedeutung. Eine unbefugte Verwendung der Daten lässt sich durch Prävention verhindern.
2. Gewährleisten kann ein Unternehmen die Integrität von Informationen wiederum, indem es entsprechende Maßnahmen trifft, um das Schutzziel sicherzustellen. Dazu zählt besonders eine Zugangssteuerung und die Festlegung von Zugangsberechtigungen zu Informationen, um interne und externe Angriffe zu verhindern. Hier ist die Unterteilung in eine starke und schwache Integrität relevant, mit dem Ziel, Veränderungen von Informationen nicht möglich zu machen.
Ferner spielen ein Management der Werte sowie die Entwicklung und Überprüfung von Systemen eine zentrale Rolle. Nur wenn Systeme und Prozesse auf ihre Funktionsfähigkeit geprüft werden, sodass sich Veränderungen erkennen lassen, lässt sich eine Manipulation von Daten durch Systeme und Prozesse verhindern oder zumindest aufdecken. Hier ist es besonders wichtig, dass Einträge in Personalakten nachträglich nicht veränderbar sind.
3. Um eine Verfügbarkeit aufrechtzuerhalten, sind die Anforderungen an Netzwerke, Server und Rechenzentren häufig vertraglich in Service Level Agreements geregelt. Hier lässt sich die Verfügbarkeit von Informationen ebenfalls unterscheiden, etwa wenn bestimmte Datensätze nur zu bestimmten Zeiträumen zugänglich sein müssen.
Dies betrifft etwa Gehaltsrechnungen. Hingegen müssen Informationen wie jene, welche die betriebliche Sicherheit gewährleisten, stetig abrufbar sein. Dies fällt unter die Systeme und Datenbestände, welche für die Arbeitsabläufe im Unternehmen zwingend notwendig sind.
Eine Maßnahme zur Gewährleistung ist eine Form der Risikoanalyse, welche sich mit der Wahrscheinlichkeit und Zeit eines Ausfalls sowie dem damit verbundenen Schadenspotenzial beschäftigt. Der Fokus liegt dabei auf dem Schaden, der durch fehlende IT-Security entstehen kann. Auf Basis dieser Analyse erfolgt die Entwicklung wirksamer Gegenmaßnahmen, die im Schadensfall zum Einsatz kommen.
Dies ist Aufgabe der Fachabteilung oder Geschäftsleitung eines Unternehmens, genauso wie die Definition einer hinnehmbaren Ausfallzeitspanne. Zu berücksichtigen ist dabei, dass die Intensität der Schäden in verschiedenen Unternehmen je nach Tätigkeitsgebiet sehr stark variieren kann. Um das Schutzziel Verfügbarkeit sicherzustellen, ist also auch ein Kontinuitätsmanagement und Management von Informationssicherheitsvorfällen vonnöten.
Im Zuge des Schutzziels der Verfügbarkeit ist es wichtig, Back-ups für die Datenbanken des Unternehmens anzulegen.
In der IT-Sicherheit lassen sich aus den drei primären CIA-Schutzzielen weitere Schutzziele ableiten. Dazu zählen unter anderem die Ziele Verbindlichkeit und Zurechenbarkeit.
Das Sicherheitsziel der Zurechenbarkeit ist insbesondere für Unternehmen im Dienstleistungssektor von großer Bedeutung. Die Verbindlichkeit meint dabei die Nichtabstreitbarkeit einer Kommunikation. Konkret also, dass sich kommunizierte Inhalte sowie übertragene Inhalte einer der beteiligten Instanzen im Nachhinein gegenüber Dritten nicht abstreiten lassen – um das zu gewährleisten, wird die Identität der Informationsquelle bewiesen.
Das ist beispielsweise bei online abgeschlossenen Verträgen wichtig und lässt sich durch ein Identitätsmanagement umsetzen.
Auch die Zurechenbarkeit ist ein wichtiges Schutzziel für Dienstleister. Dies umfasst, dass geleistete Dienste einem Nutzer zugeordnet werden können, um diese Dienstnutzung abzurechnen. In dieses Schutzziel spielt demzufolge also auch die Verbindlichkeit herein.
Die Schutzziele der Informationssicherheit gewährleisten den Schutz von Informationen, welche die wertvollsten Güter eines Unternehmens darstellen. Die Informationen, über welche ein Unternehmen verfügt, verschaffen diesem einen Wissensvorsprung und sind mit dessen Vermögenswerten verknüpft.
Deshalb ist es für Unternehmen und dessen Führung von zentraler Bedeutung, die Informationen vor jeglichem Missbrauch und ungewollter Einsichtnahme zu schützen. Die Schutzziele sind mittlerweile in eine Vielzahl von Gesetzen integriert, entweder unter dem Terminus „Schutzziele der Informationssicherheit“ oder in abgewandelter Form unter anderer Bezeichnung. So lassen sich die Schutzziele abgeleitet etwa in der Europäischen Datenschutz-Grundverordnung und dem Gesetz zur Umsetzung der NIS-Richtlinie wiederfinden.
Um all diese Sicherheitskriterien zu erfüllen, sind die Schutzziele der Informationssicherheit für Unternehmen von äußerst hoher Bedeutung. Nur durch deren Gewährleistung ist es möglich, Informationen zu schützen, Datenmissbrauch und Datenverlust zu verhindern sowie Risiken zu minimieren.
Ziel der Informationssicherheit ist es also, jegliche Form und Herkunft von Informationen zu schützen sowie sämtliche Speicherorte – egal ob analog in Papierform, digital in Systemen und Netzwerken oder als Gedankengut in den Köpfen von Unternehmensmitarbeitenden – zu sichern.
Entsprechend gehen die Bedeutung und der Ansatz der Schutzziele der Informationssicherheit über jenen der IT-Sicherheit hinaus, da sie nicht auf den digitalen Sektor beschränkt sind. Vielmehr umfasst die Informationssicherheit auch personelle, organisatorische und infrastrukturelle Aspekte.
Deshalb ist die Erfüllung der Schutzziele ein zentrales und erforderliches Tätigkeitsgebiet des Managements. Denn dadurch lassen sich die Risiken eines Missbrauchs und Verlusts der wertvollen Unternehmensgüter auf ein passables Niveau senken.
Eine umfassende Informationssicherheitsstrategie ist unerlässlich. Unternehmen müssen sich im Zuge des Managements ihrer Abläufe mit der Informationssicherheit beschäftigen – was besonders einen Aufgabenbereich der Unternehmensführung darstellt. Ein wesentlicher Punkt dafür ist, sich mit den Werten und Prozessen des Unternehmens auseinanderzusetzen und eine darauf abgestimmte Strategie zu entwickeln. Diese setzt eine Bewertung der individuellen Risiken und des geforderten Schutzbedarfs der Informationen voraus.
Auf Grundlage dessen lassen sich schließlich die drei primären CIA-Schutzziele sowie die erweiterten Schutzziele umsetzen und gewährleisten. Notwendig ist es für Unternehmen dafür auch, die internen wie externen Entwicklungen stetig zu überblicken und auf diese zu reagieren.
Die Sicherheitsmaßnahmen sind deshalb immerzu zu überprüfen, anzupassen und zu verbessern. Nur so lässt sich gewährleisten, dass Risiken minimiert und Informationen stets vor Missbräuchen und Angriffen geschützt sind.
Die kontinuierliche Überwachung und Anpassung von Schutzzielen ist unumgänglich.
Orientierung bieten etwa Vorlagen für Informationssicherheit wie etwa die internationale Norm ISO 27001. Diese schließt auch die Entwicklung eines Informationssicherheits-Managementsystems (ISMS) ein und damit verbunden die Umsetzung der Schutzziele. Durch die Schutzziele und deren stetige Überwachung und Anpassung ist es möglich, zu erfassen, zu welchem Grad Ihr Unternehmen – sowie die eingesetzten Systeme – die Informationssicherheit erreicht.
So lässt sich ein unbefugter Zugriff auf Informationen verhindern, und die Daten sind somit vor Missbrauch, Veränderungen und Angriffen geschützt beziehungsweise einem Missbrauch wird zumindest aktiv entgegengewirkt.
Die Informationssicherheit erstreckt sich auf vier Aspekte: technisch, personell, organisatorisch und infrastrukturell.
Alle vier Bereiche lassen sich durch die Implementierung eines ganzheitlichen Managementsystems überwachen sowie die Prozesse, die für die einzelnen Schutzziele gefordert sind, dauerhaft überprüfen und anpassen. So kann ein Unternehmen potenzielle Sicherheitsbedrohungen stets frühzeitig erkennen und auf diese reagieren.
Um als Unternehmen zu wissen, wie es um die Informationssicherheit in der eigenen Firma steht und wie nah man an der Erreichung der einzelnen Schutzziele ist, empfiehlt es sich, für die jeweiligen Ziele Key Performance Indicators (KPIs) zu definieren.
Die folgenden KPIs sind als mögliche Indikatoren für die drei primären Schutzziele zu verstehen:
Tobias ist ISO/IEC 27001 Officer & Auditor und ein erfahrener Experte für Informationssicherheit. Als solcher steht er in Kontakt mit Kunden unterschiedlichster Bedarfe: Von Startup bis Konzern, von Automobil- bis Versicherungsbranche. Er hat zahlreiche erfolgreiche Audits begleitet und weiß, worauf es beim Aufbau eines robusten ISMS ankommt.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Sichern Sie nicht nur die Informationssicherheit Ihres Unternehmens, sondern stärken Sie auch das Vertrauen von Kunden und Partnern durch eine ISMS Zertifizierung. Erfahren Sie, was ein ISMS ist und wie es Risiken minimiert, die durch interne und externe Faktoren entstehen können. Die Implementierung eines ISMS ist nicht nur entscheidend für den Schutz sensibler Daten, sondern auch für die Erfüllung gesetzlicher Anforderungen und die Sicherung von Geschäftsmöglichkeiten, insbesondere in Branchen wie Gesundheitswesen, Finanzwesen und Industrie.
In unserem neuesten Blogartikel geben wir Ihnen wichtige Einblicke in das Hinweisgeberschutzgesetz. Erfahren Sie mehr über die Bedeutung dieses Gesetzes und seine Hintergründe, was es genau umfasst und welche Vorteile es für Unternehmen bietet. Zudem werfen wir einen Blick auf die Pflichten und Verantwortlichkeiten, die mit der Umsetzung einhergehen. Mit praxisnahen Beispielen aus dem Unternehmensalltag und hilfreichen Tipps zur erfolgreichen Umsetzung des Gesetzes bieten wir Ihnen eine erste wertvolle Orientierung zum Hinweisgeberschutzgesetz.
Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.
.svg)
.svg)
.svg){kind=small}