Schutzziele (C-I-A)
Grundlagen
Die drei Schutzziele
Informationssicherheit dreht sich um drei Grundwerte – im Englischen das CIA-Trias (nicht zu verwechseln mit der Behörde):
| Schutzziel | Englisch | Frage |
|---|---|---|
| Vertraulichkeit | Confidentiality | Wer darf es sehen? |
| Integrität | Integrity | Ist es korrekt & unverändert? |
| Verfügbarkeit | Availability | Ist es da, wenn man es braucht? |
Vertraulichkeit
Informationen dürfen nur Befugten zugänglich sein. Verletzt wird sie z. B. durch ein Datenleck, einen gestohlenen Laptop oder eine falsch adressierte E-Mail. Typische Schutzmaßnahmen: Zugangssteuerung, Verschlüsselung, Klassifizierung.
Integrität
Informationen müssen richtig und unverfälscht bleiben – sowohl gegen absichtliche Manipulation als auch gegen versehentliche Fehler. Schutz bieten u. a. Prüfsummen/Hashes, Versionierung, Vier-Augen-Prinzip und Änderungssteuerung. Hash-Werte kannst du mit dem Hash-Tool selbst ausprobieren.
Verfügbarkeit
Informationen und Systeme müssen erreichbar sein, wenn man sie braucht. Bedroht wird die Verfügbarkeit durch Ausfälle, Ransomware oder DDoS. Schutz: Business Continuity, Backups, Redundanz, Kapazitätsplanung.
Erweiterte Ziele
Über die drei klassischen Ziele hinaus nennt die Fachwelt oft weitere, die ISO 27001 ebenfalls berücksichtigt:
- Authentizität – ist der Absender/die Quelle echt?
- Nachvollziehbarkeit / Zurechenbarkeit – wer hat was getan? (Stichwort Protokollierung)
- Nichtabstreitbarkeit – eine Handlung kann nicht geleugnet werden (z. B. signierte Dokumente).
Warum das im ISMS so wichtig ist
Bei jeder Risikobeurteilung fragst du: Welches dieser Schutzziele ist bedroht, und wie schwer wäre der Schaden? Genau diese Einordnung steuert später, welche Maßnahmen du wählst. Die Schutzziele tauchen deshalb auch als Attribut jeder Maßnahme in ISO 27002 wieder auf.
Ein Ransomware-Angriff verschlüsselt alle Dateien und macht sie unbrauchbar. Welches Schutzziel ist primär betroffen?