Schutzziele der Informationssicherheit: CIA-Triade und erweiterte Ziele
Schutzziele der Informationssicherheit: CIA-Triade und erweiterte Ziele
Amin Abbaszadeh
Informationssicherheitsexperte
19 Jun 2026
9 min
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Key Takeaways
Die drei klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit, zusammen als CIA-Triade bekannt.
Erweiterte Schutzziele wie Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit ergänzen die Triade, sobald Nachweisbarkeit und Rechtssicherheit gefragt sind.
Schutzziele werden nicht einzeln umgesetzt, sondern über ein ISMS, das jedem Ziel konkrete Maßnahmen und Verantwortliche zuordnet.
ISO 27001 übersetzt die Schutzziele systematisch in Controls; eine ISMS-Plattform beschleunigt die Umsetzung um bis zu 50 Prozent.
Die Informationssicherheit verfolgt drei zentrale Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Diese drei Ziele bilden die sogenannte CIA-Triade und sind der Maßstab, an dem sich jede Sicherheitsmaßnahme messen lässt. Je nach Anforderung kommen erweiterte Schutzziele wie Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit hinzu.
Wer die Schutzziele versteht, versteht den Kern jeder Sicherheitsstrategie. Sie sind nicht nur ein theoretisches Modell, sondern die Grundlage, auf der Normen wie ISO 27001 und das BSI ihre Anforderungen aufbauen. Dieser Artikel erklärt jedes Schutzziel, ordnet die erweiterten Ziele ein und zeigt, wie sich die Schutzziele in der Praxis über ein Managementsystem umsetzen lassen.
Die drei Schutzziele der Informationssicherheit (CIA-Triade)
Die klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Im Englischen heißen sie Confidentiality, Integrity und Availability, woraus sich das Akronym CIA und der Begriff CIA-Triade ableiten. Jede Information, jedes System und jeder Prozess wird daran gemessen, ob diese drei Eigenschaften gewahrt bleiben. Fällt eines der Ziele aus, entsteht ein Sicherheitsvorfall.
Die CIA-Triade: drei gleichrangige Schutzziele, die sich gegenseitig bedingen.
Vertraulichkeit (Confidentiality)
Vertraulichkeit bedeutet, dass Informationen nur denjenigen zugänglich sind, die dazu berechtigt sind. Ein unbefugter Zugriff verletzt dieses Schutzziel, unabhängig davon, ob die Daten verändert werden oder nicht. Schon das Mitlesen genügt. Typische Maßnahmen sind Zugriffsrechte nach dem Need-to-know-Prinzip, Verschlüsselung von Daten bei der Übertragung und Speicherung sowie eine saubere Klassifizierung von Informationen nach Schutzbedarf. Ein offengelegter Kundendatensatz kann eine Meldepflicht nach DSGVO auslösen und das Vertrauen dauerhaft beschädigen.
Integrität (Integrity)
Integrität stellt sicher, dass Informationen vollständig und unverändert bleiben. Eine Information ist integer, wenn sie nicht unbemerkt manipuliert wurde, weder absichtlich noch durch einen technischen Fehler. Prüfsummen, digitale Signaturen, Versionierung und ein konsequentes Änderungsmanagement schützen die Integrität. In der Praxis ist die größte Gefahr selten der spektakuläre Angriff, sondern die unbemerkte Änderung, die erst Wochen später auffällt. Eine manipulierte Überweisungssumme oder ein verfälschter Messwert führt zu Entscheidungen auf falscher Grundlage, ohne dass jemand den Eingriff sofort bemerkt.
Verfügbarkeit (Availability)
Verfügbarkeit heißt, dass Informationen und Systeme dann nutzbar sind, wenn sie gebraucht werden. Ein Ausfall durch einen Hardwaredefekt, einen Stromausfall oder einen Ransomware-Angriff verletzt dieses Ziel genauso wie eine überlastete Anwendung. Maßnahmen sind Redundanzen, regelmäßige Backups, ein getestetes Notfallmanagement und eine realistische Einschätzung, wie lange ein System ausfallen darf, ohne dass der Geschäftsbetrieb kippt. Die zentrale Frage lautet: Wie lange darf ein System ausfallen, bevor der Schaden den Aufwand für Redundanz übersteigt? Diese Toleranz unterscheidet sich von Prozess zu Prozess.
Schutzziel
Frage
Typische Maßnahmen
Vertraulichkeit
Wer darf die Information sehen?
Zugriffsrechte, Verschlüsselung, Klassifizierung
Integrität
Ist die Information unverändert?
Signaturen, Prüfsummen, Änderungsmanagement
Verfügbarkeit
Ist die Information nutzbar, wenn nötig?
Redundanz, Backups, Notfallplanung
Die drei Ziele sind gleichrangig, stehen aber manchmal im Konflikt. Eine strenge Verschlüsselung erhöht die Vertraulichkeit, kann aber die Verfügbarkeit senken, wenn ein Schlüssel verloren geht. Sicherheitsarbeit besteht zu großen Teilen darin, diese Zielkonflikte bewusst auszubalancieren, statt ein einzelnes Ziel blind zu maximieren. Welches Ziel im Zweifel Vorrang hat, ergibt sich aus dem Schutzbedarf der jeweiligen Information.
Die CIA-Triade deckt die Grundlagen ab, reicht aber nicht für jede Anforderung aus. Sobald es um Nachweisbarkeit, Rechtssicherheit oder die eindeutige Zuordnung von Handlungen geht, kommen erweiterte Schutzziele ins Spiel. Das BSI nennt diese ergänzenden Ziele in seinen Grundlagen zur Informationssicherheit. Wer nach den vier oder fünf Schutzzielen sucht, meint in der Regel die CIA-Triade plus eines oder mehrere dieser erweiterten Ziele.
Authentizität
Authentizität stellt sicher, dass eine Information oder ein Kommunikationspartner echt ist, also tatsächlich von der angegebenen Quelle stammt. Eine gefälschte Absenderadresse in einer Phishing-Mail verletzt die Authentizität. Maßnahmen sind starke Authentifizierung, Zertifikate und digitale Signaturen.
Nichtabstreitbarkeit
Nichtabstreitbarkeit, auch Verbindlichkeit genannt, sorgt dafür, dass eine durchgeführte Handlung später nicht abgestritten werden kann. Wer eine Transaktion freigegeben hat, soll das nicht leugnen können. Protokollierung und qualifizierte elektronische Signaturen schaffen diese Verbindlichkeit.
Zurechenbarkeit
Zurechenbarkeit ermöglicht es, eine Aktion eindeutig einer Person oder einem System zuzuordnen. Ohne Zurechenbarkeit lässt sich nach einem Vorfall nicht klären, wer was getan hat. Eindeutige Benutzerkonten ohne geteilte Logins und eine lückenlose Protokollierung sind die Basis.
Wie viele Schutzziele es gibt, hängt davon ab, wie weit man die erweiterten Ziele fasst. Wer von drei Schutzzielen spricht, meint die CIA-Triade. Bei vier Zielen kommt meist die Authentizität hinzu, bei fünf zusätzlich die Nichtabstreitbarkeit. Die folgende Übersicht zeigt die gängige Zuordnung und wann das jeweilige Ziel relevant wird.
Anzahl
Schutzziele
Wann relevant
3 (CIA-Triade)
Vertraulichkeit, Integrität, Verfügbarkeit
Grundlage jeder Informationssicherheit
4 Schutzziele
CIA plus Authentizität
Sobald die Echtheit von Quellen und Absendern zählt
5 Schutzziele
CIA plus Authentizität und Nichtabstreitbarkeit
Bei rechtsverbindlichen Transaktionen und Freigaben
Erweitert
zusätzlich Zurechenbarkeit
Wenn jede Handlung eindeutig zuordenbar sein muss
Schutzziele in der Praxis umsetzen
Schutzziele sind kein Selbstzweck. In der Praxis stellt sich für jede Information die Frage, wie hoch der Schutzbedarf bei jedem einzelnen Ziel ist. Eine öffentlich einsehbare Preisliste braucht keine Vertraulichkeit, aber hohe Integrität. Ein Bewerberdatensatz braucht beides. Diese Einordnung ist der Ausgangspunkt jeder sinnvollen Maßnahme.
1
Werte identifizieren
Festlegen, welche Informationen und Systeme überhaupt schützenswert sind. Ohne diese Übersicht lassen sich Schutzziele nicht zuordnen.
2
Schutzbedarf je Ziel bestimmen
Für jeden Wert bewerten, wie kritisch Vertraulichkeit, Integrität und Verfügbarkeit sind. Die Bewertung steuert, wo Aufwand sinnvoll ist.
3
Maßnahmen ableiten
Passende technische und organisatorische Maßnahmen wählen, die genau die Ziele mit hohem Schutzbedarf adressieren.
4
Wirksamkeit prüfen
Regelmäßig kontrollieren, ob die Maßnahmen die Schutzziele tatsächlich erreichen, und bei Bedarf nachsteuern.
Welche Maßnahme wie viel Schutz bringt, hängt von den konkreten Risiken ab. Die strukturierte Bewertung dieser Risiken ist ein eigenes Thema, das wir im Detail unter ISMS-Risikomanagement umsetzen behandeln. An dieser Stelle genügt das Prinzip: Schutzbedarf zuerst, Maßnahme danach.
Praxisbeispiel
Ein Mittelständler stuft seine Konstruktionsdaten als hochvertraulich und hochintegritätskritisch ein, die Verfügbarkeit dagegen als mittel. Daraus folgt: Verschlüsselung und strenge Zugriffsrechte mit Vier-Augen-Freigabe für Änderungen, aber kein teures Hochverfügbarkeitscluster. Ein kurzer Ausfall ist verkraftbar, ein Datenabfluss an den Wettbewerb nicht.
Ein Punkt wird in der Praxis oft unterschätzt: Schutzziele zu erreichen genügt nicht, man muss es auch nachweisen können. Ohne dokumentierte Schutzbedarfsfeststellung, ohne protokollierte Maßnahmen und ohne regelmäßige Prüfberichte lässt sich gegenüber Auditoren, Kunden oder Aufsichtsbehörden nicht belegen, dass die Ziele tatsächlich gewahrt sind. Der Nachweis ist kein bürokratischer Anhang, sondern Teil des Schutzes selbst.
Schutzziele im ISMS: Wie ISO 27001 sie adressiert
Einzelne Maßnahmen schützen einzelne Informationen. Ein Informationssicherheitsmanagementsystem, kurz ISMS, sorgt dafür, dass die Schutzziele über die gesamte Organisation hinweg systematisch und wiederholbar erreicht werden. Statt punktueller Absicherung entsteht ein Kreislauf aus Bewerten, Umsetzen, Prüfen und Verbessern. Wie ein solches System aufgebaut wird, beschreiben wir unter ISMS aufbauen.
ISO 27001 ist der etablierte Standard für ein ISMS. Die Norm übersetzt die Schutzziele in konkrete Anforderungen und einen Katalog von Controls im Anhang A. Vertraulichkeit, Integrität und Verfügbarkeit sind dort nicht nur genannt, sondern in Maßnahmen zu Zugriffssteuerung, Kryptografie, Betriebssicherheit und Kontinuität ausbuchstabiert. Das macht die Norm zum praktischen Werkzeug, nicht zur reinen Theorie.
Der eigentliche Hebel liegt im Kreislauf, den die Norm vorschreibt. Schutzziele werden bewertet, Maßnahmen umgesetzt, ihre Wirksamkeit geprüft und bei Lücken nachgebessert. Dieser Plan-Do-Check-Act-Zyklus sorgt dafür, dass die Schutzziele nicht einmalig erreicht, sondern dauerhaft gehalten werden, auch wenn sich Systeme, Bedrohungen und Geschäftsprozesse verändern.
"Schutzziele scheitern in der Praxis selten an fehlendem Wissen, sondern an fehlender Systematik. Wer Vertraulichkeit, Integrität und Verfügbarkeit nur projektweise absichert, verliert den Überblick. Ein ISMS macht aus einzelnen Maßnahmen einen nachweisbaren Zustand."
Amin Abbaszadeh, Informationssicherheitsexperte bei SECJUR
Der Aufbau eines ISMS bindet erfahrungsgemäß viel interne Kapazität, vor allem in der Dokumentation und im Mapping von Maßnahmen auf Controls. Eine ISMS-Plattform wie das SECJUR Digital Compliance Office senkt diesen internen Aufwand um bis zu 50 Prozent, weil sie Vorlagen, Workflows und fertige Control-Zuordnungen mitbringt. Die Schutzziele bleiben dieselben, der Weg dorthin wird kürzer.
Schutzziele systematisch managen
Die Schutzziele der Informationssicherheit sind der gemeinsame Nenner aller Sicherheitsarbeit. Vertraulichkeit, Integrität und Verfügbarkeit bilden das Fundament, die erweiterten Ziele kommen dort hinzu, wo Nachweisbarkeit und Rechtssicherheit zählen. Wer die Ziele nur kennt, ohne sie konsequent auf die eigenen Werte anzuwenden, gewinnt keine Sicherheit.
Derselbe Satz an Schutzzielen trägt auch andere Anforderungen. Ob NIS2, TISAX oder branchenspezifische Vorgaben: Im Kern verlangen sie alle, dass Vertraulichkeit, Integrität und Verfügbarkeit nachweisbar gewährleistet sind. Wer die Schutzziele einmal sauber in einem Managementsystem verankert hat, erfüllt mehrere Regelwerke auf derselben Grundlage, statt für jedes Regelwerk ein eigenes Silo aufzubauen.
Genau das leistet ein Managementsystem: Es ordnet jedem Schutzziel Maßnahmen, Verantwortliche und eine regelmäßige Kontrolle zu. Mit einer Plattform wie SECJUR lässt sich dieser Rahmen schneller etablieren und dauerhaft pflegen, sodass aus einem abstrakten Modell ein belastbarer Sicherheitszustand wird. Wer hier sauber aufsetzt, erfüllt nicht nur Normanforderungen, sondern reduziert reale Risiken.
Amin Abbaszadeh ist Informationssicherheitsexperte bei SECJUR und unterstützt Unternehmen dabei, Informationssicherheits- und Compliance-Standards wie ISO 27001 und TISAX® effektiv umzusetzen. Zuvor war er als Senior Consultant Cybersecurity bei NTT DATA tätig, wo er Projekte im Bereich IT-Compliance und ISMS verantwortete. Durch seine interdisziplinäre Erfahrung in Technik, Beratung und Management verbindet Amin strategisches Denken mit praxisnaher Umsetzung – immer mit dem Ziel, nachhaltige Sicherheits- und Compliance-Strukturen zu schaffen.
Über SECJUR
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Compliance, completed
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Was sind die Schutzziele der Informationssicherheit?
Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit, bekannt als CIA-Triade (Confidentiality, Integrity, Availability). Vertraulichkeit bedeutet, dass nur berechtigte Personen Zugang zu Informationen haben. Integrität stellt sicher, dass Informationen vollständig und unverändert bleiben. Verfügbarkeit garantiert, dass Systeme und Daten dann nutzbar sind, wenn sie gebraucht werden. Ergänzend kommen erweiterte Ziele wie Authentizität, Nichtabstreitbarkeit und Zurechenbarkeit hinzu.
Wie viele Schutzziele gibt es in der Informationssicherheit?
Es gibt drei klassische Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade). Wer von vier Schutzzielen spricht, meint die CIA-Triade plus Authentizität. Bei fünf Schutzzielen kommt Nichtabstreitbarkeit hinzu. Das BSI nennt zusätzlich die Zurechenbarkeit als weiteres erweitertes Ziel. Die Gesamtzahl hängt davon ab, wie weit man die erweiterten Schutzziele fasst.
Wie werden Schutzziele in der Praxis umgesetzt?
Die Umsetzung der Schutzziele erfolgt in vier Schritten: Zuerst werden schützenswerte Werte wie Informationen und Systeme identifiziert. Dann wird der Schutzbedarf je Ziel bewertet, also wie kritisch Vertraulichkeit, Integrität und Verfügbarkeit für jeden Wert sind. Daraus werden passende technische und organisatorische Maßnahmen abgeleitet. Schließlich wird die Wirksamkeit regelmäßig geprüft. Ein ISMS nach ISO 27001 strukturiert diesen Prozess und macht ihn nachweisbar. Plattformen wie SECJUR DCO beschleunigen den Aufbau durch fertige Vorlagen und Control-Zuordnungen.
Was ist der Unterschied zwischen Schutzziel und Sicherheitsmaßnahme?
Ein Schutzziel beschreibt das angestrebte Ergebnis, zum Beispiel dass Informationen vertraulich bleiben. Eine Sicherheitsmaßnahme ist der konkrete Weg dorthin, zum Beispiel Verschlüsselung oder Zugriffsrechte. Das Schutzziel gibt die Richtung vor, die Maßnahme setzt es um. Schutzziele werden zuerst aus dem Schutzbedarf abgeleitet, die Maßnahmen folgen danach.
KI in der Medizintechnik gilt unter dem EU AI Act fast immer als Hochrisiko mit weitreichenden neuen Pflichten für Hersteller und Anwender. Dieser Leitfaden zeigt praxisnah, warum eine MDR-Zertifizierung allein nicht mehr ausreicht und welche zusätzlichen Anforderungen an Daten, Dokumentation, Transparenz und Cybersicherheit jetzt gelten. Erfahren Sie, wie Sie Ihr KI-System rechtssicher aufstellen und Vertrauen bei Ärzten, Kliniken und Patienten aufbauen.
Ein effektives ISMS ist entscheidend, um sensible Informationen in der digitalen Geschäftswelt zu schützen. Ein ISMS Audit ist eine systematische Bewertung des ISMS, das sicherstellen will, dass das ISMS den relevanten Standards entspricht. ISMS Audits können für Unternehmen Herausforderungen darstellen, insbesondere aufgrund der komplexen Anforderungen an die Unternehmen. In diesem Artikel stellen wir die verschiedenen Audittypen, den Ablauf und die Erfolgsfaktoren von ISMS Audits vor.
.svg)
.svg)
.svg)
.svg){kind=small}