kostenlose Beratung

(0621) 48 345 010

Avatar von Ewan Fleischmann

Autor:

Ewan Fleischmann

Letztes Update:

Schutzziele der Informationssicherheit

Die Informationssicherheit soll die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dabei können die zu schützenden Informationen digital oder in nicht digitaler Form vorliegen.

Schutzziele der Informationssicherheit

Das Wichtigste in Kürze

  • Die Informationssicherheit hat das Ziel Informationen vor Diebstahl, nicht berechtigter Veränderung oder Zerstörung zu schützen.
  • Informationen können digital oder nicht-digital vorliegen.
  • Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit, die sich mit dem Schutz digital vorliegender Informationen befasst.
  • Die wichtigsten Schutzziele der Informationssicherheit sind
  • die Verhinderung des unbefugten Zugriffs (),
  • der Schutz vor unbefugter Veränderung () und
  • der Schutz vor Zerstörung ()
  • Je nach Anwendungsfall können weitere Schutzziele relevant sein und berücksichtigt werden.
Serie Informationssicherheit

Schutzziele Informationssicherheit

Die wichtigsten Schutzziele der IT- und Informationssicherheit (ISO/IEC 27001, IT-Grundschutz , DSGVO) sind dabei:

  • Schutz der Vertraulichkeit (engl. confidentiality; kein Zugriff auf sensible Daten für unberechtigte Dritte),
  • Schutz der Integrität (engl. integrity; keine Verfälschung)
  • Schutz der Verfügbarkeit (engl. availabilty; Daten stehen zur Verfügung, wenn sie benötigt werden)

Je nach Anwendungsfall können noch weitere Schutzziele der Informationssicherheit in die Betrachtung mit herangezogen werden.

cia confidentiality

Schutzziel Vertraulichkeit von Informationen

In der Informationssicherheit bedeutet Vertraulichkeit, dass Daten nur für berechtigte Personen zugänglich sind.

Beispiele
  • Schützenswerte Firmendaten sollten auf Cloud-Diensten oder eigenen Rechnern immer so abgelegt sein, dass nur berechtigte Mitarbeiter darauf Zugriff haben. (Zugriffsschutz mit Benutzerrechten)
  • Bei Zugriff auf einen Server sollte die Datenübertragung verschlüsselt erfolgen, damit keiner die übertragenen Passwörter und Informationen mitlesen kann (Transportverschlüsselung)
Angriffe auf die Vertraulichkeit:
  • Jeder Daten-Leak ist ein Angriff auf die Vertraulichkeit von Informationen. Diese geschehen leider viel zu häufig – die größeren sind dabei auch häufig eine Meldung in den Nachrichten. Dienste wie Have I Been Pwned? verfolgen diese Daten-Leaks (auch Data Breaches genannt).
cia integrity

Schutzziel Integrität von Informationen

Integrität von Daten und Informationen bedeutet, dass keine unerlaubte Veränderung durchgeführt worden ist.

Beispiel
  • Bei einer Online-Überweisung sollte sowohl der Geldbetrag als auch das Empfängerkonto nicht währen der Übertragung auf den Bankserver verändert werden können.
Angriffe auf die Integrität:
  • Ein Angriff auf die Integrität ist das unerlaubte Hinzufügen einer Administratorrolle zu einem Benutzer. Angriffe auf die Integrität können sehr folgenreich sein. Wenn bei einem Ransomware-Vorfall das Active-Directory einer Organisation unerlaubt verändert wurde, ist oft das vollständige Neuaufsetzen des AD eine zwingende Konsequenz.
  • Aber auch jegliche andere Art von Veränderung wie beispielweise ein geänderter Absender einer E-Mail fällt darunter.
cia availability

Schutzziel Verfügbarkeit von Informationen

Verfügbarkeit von Informationen bedeutet, dass alle abgerufenen Informationen zeitnah und entsprechend der Erwartung genutzt werden können.

Beispiel
  • Nach einem Login bei Ihrem Cloud-Dienst, beispielsweise Microsoft Office 365, sind alle Dokumente nach ein paar Sekunden verfügbar.
  • Auf dem Benutzerrechner kann auf alle abgelegten Dateien zugegriffen werden.
Angriffe auf die Verfügbarkeit:
  • Die aktuellen Ransomware-Angriffe auf Unternehmen sind im Kern häufig klassische Verfügbarkeitsangriffe. Alle Daten und zugreifbaren Backups werden verschlüsselt oder gelöscht und sind gegen eine Kryptogeld-Lösegeldzahlung (mit viel Glück…) wieder verfügbar. Angemerkt sei, dass mit Ransomware momentan auch häufig Angriffe auf die Vertraulichkeit und Integrität der Informationen mit stattfinden.
  • Aber auch andere Angriffe wie DDoS-Angriffe sind weit verbreitet.

Benötigen Sie zuverlässige Experten die Sie beim Schutz Ihrere IT-Systeme unterstützen?

Lassen Sie uns noch heute darüber sprechen!

Kontakt

Weitere Schutzziele der Informationssicherheit

In Art. 32 Abs. 1b DSGVO ist zusätzlich noch die sogenannte Belastbarkeit als ein weiteres Schutzziel gefordert. Darunter wird regelmäßig die Verfügbarkeit der IT-Systeme auch unter Lastzuständen verstanden.

Je nach Anwendungsfall werden, neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit, noch weitere Schutzziele betrachtet.

dsgvo1

Schutzziel Authentizität

Unter der Authentizität (engl. authenticity) versteht man sowohl die Sicherstellung der Identität des Kommunikationspartners als auch die Sicherstellung des Urhebers von Daten. Die Authentizität wird häufig als übergeordnetes Schutzziel betrachtet. Andere Schutzziele sind wertlos, wenn man nicht feststellen kann, ob mit dem gewünschten Kommunikationspartner kommuniziert wird.

Beispiel

Durch ein Login mit Benutzername/Passwort soll sichergestellt werden, dass der richtige Kommunikationspartner am anderen Ende der Leitung sitzt. Dieses simple Beispiel illustriert auch, dass zum Erreichen der drei primären Schutzziele der Informationssicherheit

Schutzziel Nichtabstreitbarkeit

Die Nichtabstreitbarkeit gegenüber soll sicherstellen, dass eine Kommunikation im Nachhinein nicht von einer beteiligten Partei gegenüber Dritten abgestritten werden kann. (engl. non-repudiation).

Beispiel
  • Bei digitalen Signaturen ist die Nichtabstreitbarkeit, neben der Authentizität, entscheidend.
  • Falls Verträge (online) abgeschlossen werden, ist die Nichtabstreitbarkeit wichtig für den Dienstleister.

Schutzziel Verbindlichkeit

Wenn Authentizität und Nichtabstreibarkeit einer Kommunikation sichergestellt sind, nennt man sie auch verbindlich.

Bedrohungen für die Schutzziele der Informationssicherheit

Es gibt Hunderte von Kategorien von Bedrohungen, welche die Schutzziele der Informationssicherheit in der einen oder anderen Art und Weise gefährden. Im Folgenden behandeln wir einige der wichtigsten modernen Bedrohungen von Schutzzielen, die für Sicherheitsteams in Unternehmen aktuell Priorität haben.

guide informationsecurity 2

Unzureichend gesicherte oder nicht gepatchte Systeme

Die Geschwindigkeit und die technologische Entwicklung führen oft zu Kompromissen bei den Sicherheitsmaßnahmen. In anderen Fällen werden Systeme ohne Rücksicht auf die Sicherheit entwickelt und bleiben als Altsysteme in einem Unternehmen in Betrieb. Unternehmen müssen diese schlecht gesicherten Systeme identifizieren und die Bedrohung abschwächen, indem sie sie sichern, patchen, außer Betrieb nehmen oder isolieren.

Angriffe mit Nutzung von sozialen Medien

Viele Menschen haben Konten in sozialen Medien, auf denen sie oft unbeabsichtigt Informationen preisgeben. Angreifer können diese Art von Informationen für Angriffe ausnutzen.

Social Engineering

Beim Social Engineering manipulieren Angreifer die Anwender von IT-Systemen durch psychologische Auslöser wie Neugier oder Angst, um eine gewünschte Reaktion zu erreichen.

Da die Quelle einer Social Engineering-Nachricht in der Regel vertrauenswürdig erscheint, klicken Anwender häufig auf einen Link der Malware auf dem genutzten Computer installiert. Damit werden persönliche Informationen, Anmeldedaten und andere Unternehmensdaten, auf die der Anwender Zugriff hat, dem Angreifer preisgegeben.

Unternehmen können Social Engineering eindämmen, indem Benutzer darin geschult werden, verdächtige Social Engineering-Nachrichten zu erkennen und sie an das Sicherheitsteam weiterzuleiten. Aber auch technische Systeme wie E-Mail-Filtersysteme können einen Beitrag dazu leisten.

Malware auf Clients

Anwender in Unternehmen arbeiten mit einer Vielzahl von Endgeräten, darunter auch mobile Geräte wie Laptops, Tablets und Smartphones. Eine zentrale Bedrohung für all diese Endgeräte ist Malware, die auf verschiedenen Wegen übertragen werden kann. Sie kann zur Kompromittierung des Clients selbst sowie zur Ausweitung der Berechtigungen auf andere Clients und Server führen kann.

Fehlende Verschlüsselung von mobilen Geräten

Bei Verschlüsselungsverfahren werden Daten so verschlüsselt, dass sie nur von Benutzern mit geheimen Schlüsseln entschlüsselt werden können. Der Einsatz von Kryptographie zur Verschlüsselung ist sehr effektiv, um Datenverlust oder -beschädigung bei Verlust oder Diebstahl von Geräten zu verhindern.

Falsche oder unzureichende Sicherheitskonfiguration von Cloud-Diensten

Moderne Unternehmen nutzen häufig eine Vielzahl an Plattformen und Cloud-Diensten. Fast alle dieser Dienste verfügen über ausgefeilte ausgebaute Sicherheitsfunktionen, die jedoch durch das Unternehmen konfiguriert und an die Bedürfnisse angepasst werden müssen. Eine falsche oder nachlässige Sicherheitskonfiguration oder auch menschliches Versagen kann leicht zu einem ernsten Sicherheitsvorfall führen.

Informationssicherheit Schutzziele – mit welchen Maßnahmen können sie erreicht werden?

Zum Erreichen der für die Informationssicherheit relevanten Schutzziele gehören sowohl organisatorische wie auch technische Maßnahmen.

Zur ganzheitlichen Steuerung der Informationssicherheit im Unternehmen wird regelmäßig ein Information Security Management System (ISMS) verwendet. Die Verantwortung für die Informationssicherheit und den laufenden Betrieb des ISMS wird dabei an einen Informationssicherheitsbeauftragten (ISB) delegiert.

Häufig gestellte Fragen

Informationssicherheit umfasst alle Maßnahmen, die Informationen – ob digital oder analog – vor Diebstahl, unbefugter Veränderung und Zerstörung schützen. Ihre zentralen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Die IT-Sicherheit ist dabei der Teilbereich, der sich speziell mit digital vorliegenden Informationen befasst.

Die drei primären Schutzziele sind Vertraulichkeit (kein Zugriff durch Unbefugte), Integrität (keine unbefugte Veränderung) und Verfügbarkeit (Informationen stehen bei Bedarf bereit). Zusammen bilden sie die CIA-Triade (Confidentiality, Integrity, Availability) und sind die Grundlage jedes Sicherheitskonzepts.

Informationssicherheit schützt alle Informationen – digital ebenso wie auf Papier. IT-Sicherheit ist ein Teilbereich davon und befasst sich ausschließlich mit dem Schutz digital vorliegender Informationen in IT-Systemen. Informationssicherheit ist somit der umfassendere Begriff.

Je nach Anwendungsfall kommen weitere Schutzziele hinzu: Authentizität (gesicherte Identität von Kommunikationspartner und Datenursprung), Nichtabstreitbarkeit (eine Kommunikation kann nachträglich nicht geleugnet werden) und Verbindlichkeit (Authentizität und Nichtabstreitbarkeit zusammen). Besonders bei digitalen Signaturen sind diese Ziele entscheidend.

Zu den wichtigsten modernen Bedrohungen zählen ungepatchte oder unzureichend gesicherte Systeme, Social Engineering, Malware auf Endgeräten, fehlende Verschlüsselung mobiler Geräte, fehlerhafte Cloud-Konfigurationen sowie über soziale Medien preisgegebene Informationen. Ransomware-Angriffe gefährden dabei oft Vertraulichkeit, Integrität und Verfügbarkeit gleichzeitig.

Die Schutzziele werden durch organisatorische und technische Maßnahmen erreicht. Zur ganzheitlichen Steuerung dient meist ein Information Security Management System (ISMS), für dessen Betrieb ein Informationssicherheitsbeauftragter (ISB) verantwortlich ist. Typische technische Maßnahmen sind Verschlüsselung, Zugriffskontrolle und Transportverschlüsselung.

Haben wir Ihr Interesse geweckt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

(0621) 48 345 010

Sie erreichen uns telefonisch oder über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage!

Ihre Anfrage

Datenschutz

Auch interessant

CIS Controls kurz erklärt

CIS Controls kurz erklärt

Die CIS Critical Security Controls (CIS Controls) sind eine priorisierte Liste von Schutzmaßnahmen um die häufigsten Cyberangriffe auf IT-Systeme abzuwehren.

Weiterlesen
Informations­sicherheits­managementsystem (ISMS)

Informations­sicherheits­managementsystem (ISMS)

Ein Information Security Management System (ISMS) definiert Methoden, um die Informationssicherheit in einer Organisation zu gewährleisten.

Weiterlesen
CVSS (Common Vulnerability Scoring System)

CVSS (Common Vulnerability Scoring System)

Der CVSS Score bietet eine numerische Darstellung (0,0 bis 10,0) des Schweregrads einer Sicherheitslücke in der IT. Wir erklären wie das Common Vulnerability Scoring System funktioniert, wie CVSS…

Weiterlesen
NTLM-Authentifizierung

NTLM-Authentifizierung

In diesem Artikel erklären wir, was die NTLM-Authentifizierung ist, wie sie funktioniert und wie sie von Angreifern ausgenutzt werden kann.

Weiterlesen
Top 10 Vulnerability Scanner für 2026

Top 10 Vulnerability Scanner für 2026

Vulnerability Scanner sind automatisierte Tools, mit denen Unternehmen prüfen können, ob ihre Netzwerke, Systeme und Anwendungen Sicherheitslücken aufweisen. Schwachstellen-Scans sind eine bewährte…

Weiterlesen
Need-to-Know-Prinzip

Need-to-Know-Prinzip

Das Need-to-know-Prinzip beschreibt ein Sicherheitsziel für vertrauliche Informationen. Der Zugriff sollte nur dann für einen Benutzer freigegeben werden, wenn die Information unmittelbar für die…

Weiterlesen
Endpoint Security

Endpoint Security

Endpoint Security umfasst Technologien und Maßnahmen zum Schutz von Endgeräten wie Laptops, Servern, Smartphones und IoT-Geräten vor Cyberbedrohungen.

Weiterlesen
Was ist MITRE ATT&CK?

Was ist MITRE ATT&CK?

Das MITRE ATT&CK Framework ist eine laufend aktualisierte Wissensdatenbank, bestehend aus Taktiken und Techniken von Cyber-Angreifern über den gesamten Angriffslebenszyklus hinweg.

Weiterlesen
Proxy Server

Proxy Server

Ein Proxy-Server arbeitet als Vermittler zwischen zwei IT-Systemen. Proxyserver bieten je nach Anwendungsfall, Bedarf oder Unternehmensrichtlinien unterschiedliche Funktionalitäten, verbesserte…

Weiterlesen
IT-Sicherheitskonzept in 8 Schritten

IT-Sicherheitskonzept in 8 Schritten

Unter einem IT-Sicherheitskonzept versteht man Richtlinien welche die IT-Sicherheit im Unternehmen gewährleisten sollen. Es geht darum, die Verfügbarkeit, Integrität und Vertraulichkeit von…

Weiterlesen
Buffer-Overflow

Buffer-Overflow

Ein Buffer-Overflow ist ein Programmierfehler, die von Hackern ausgenutzt werden kann, um sich unbefugten Zugang zu IT-Systemen zu verschaffen. Er ist eine der bekanntesten Sicherheitslücken in der…

Weiterlesen
Angriffsvektor und Angriffsfläche

Angriffsvektor und Angriffsfläche

Ein Angriffsvektor ist eine Möglichkeit für Angreifer, in ein Netzwerk oder IT-System einzudringen. Zu den typischen Angriffsvektoren gehören…

Weiterlesen
Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentifizierung: Unterschiede zur Authentisierung und Autorisierung

Authentisierung, Authentifizierung und Autorisierung sind Begriffe, die in der IT-Security verwendet werden. Sie mögen ähnlich klingen, sind aber völlig verschieden voneinander. Authentisierung und…

Weiterlesen
Was ist Datensicherheit? Standards & Technologien

Was ist Datensicherheit? Standards & Technologien

Datensicherheit ist ein wichtiges Thema für alle Unternehmen und Behörden. Erfahren Sie hier mehr über Bedrohungen, Maßnahmen und den rechtlichen Rahmen.

Weiterlesen