Das Wichtigste in Kürze

  • Die Informationssicherheit hat das Ziel Informationen vor Diebstahl, nicht berechtigter Veränderung oder Zerstörung zu schützen.
  • Informationen können digital oder nicht-digital vorliegen.
  • Die IT-Sicherheit ist ein Teilbereich der Informationssicherheit, die sich mit dem Schutz digital vorliegender Informationen befasst.
  • Die wichtigsten Schutzziele der Informationssicherheit sind
    • die Verhinderung des unbefugten Zugriffs (Vertraulichkeit),
    • der Schutz vor unbefugter Veränderung (Integrität) und
    • der Schutz vor Zerstörung (Verfügbarkeit)
  • Je nach Anwendungsfall können weitere Schutzziele relevant sein und berücksichtigt werden.
Serie Informationssicherheit
  1. Schutzziele der Informationssicherheit
  2. Informations­sicherheits­managementsystem (ISMS)

Bedeutung der Informationssicherheit

Die Informationssicherheit hat das Ziel Informationen vor Diebstahl, nicht berechtigter Veränderung oder Zerstörung zu schützen. Informationen können dabei entweder digital in IT-Systemen oder beispielsweise auch in Papierform vorliegen.

Welche Informationen sind schützenswert?

Schützenswerte Informationen sind dabei häufig erfolgsrelevante und vertrauliche Unternehmensdaten wie Kundenbestände, Unternehmensstrategien, Eigenentwicklungen oder Know-How. Einen besonders wichtigen Stellenwert nimmt dabei aufgrund starker gesetzlicher Anforderungen der Schutz personenbezogener Daten ein. Dazu gehört beispielsweise das Einkaufsverhalten der eignen Kunden oder auch die persönlichen Daten der Mitarbeiter.

Schutzziele Informationssicherheit

Die wichtigsten Schutzziele der IT- und Informationssicherheit (ISO/IEC 27001, IT-Grundschutz , DSGVO) sind dabei:

  • Schutz der Vertraulichkeit (engl. confidentiality; kein Zugriff auf sensible Daten für unberechtigte Dritte),
  • Schutz der Integrität (engl. integrity; keine Verfälschung)
  • Schutz der Verfügbarkeit (engl. availabilty; Daten stehen zur Verfügung, wenn sie benötigt werden)

Je nach Anwendungsfall können noch weitere Schutzziele der Informationssicherheit in die Betrachtung mit herangezogen werden.

Schutzziel Vertraulichkeit von Informationen

In der Informationssicherheit bedeutet Vertraulichkeit, dass Daten nur für berechtigte Personen zugänglich sind.

Beispiele
  • Schützenswerte Firmendaten sollten auf Cloud-Diensten oder eigenen Rechnern immer so abgelegt sein, dass nur berechtigte Mitarbeiter darauf Zugriff haben. (Zugriffsschutz mit Benutzerrechten)
  • Bei Zugriff auf einen Server sollte die Datenübertragung verschlüsselt erfolgen, damit keiner die übertragenen Passwörter und Informationen mitlesen kann (Transportverschlüsselung)

Angriffe auf die Vertraulichkeit:
  • Jeder Daten-Leak ist ein Angriff auf die Vertraulichkeit von Informationen. Diese geschehen leider viel zu häufig – die größeren sind dabei auch häufig eine Meldung in den Nachrichten. Dienste wie Have I Been Pwned? verfolgen diese Daten-Leaks (auch Data Breaches genannt).


Schutzziel Integrität von Informationen

Integrität von Daten und Informationen bedeutet, dass keine unerlaubte Veränderung durchgeführt worden ist.

Beispiel
  • Bei einer Online-Überweisung sollte sowohl der Geldbetrag als auch das Empfängerkonto nicht währen der Übertragung auf den Bankserver verändert werden können.

Angriffe auf die Integrität:
  • Ein Angriff auf die Integrität ist das unerlaubte Hinzufügen einer Administratorrolle zu einem Benutzer. Angriffe auf die Integrität können sehr folgenreich sein. Wenn bei einem Ransomware-Vorfall das Active-Directory einer Organisation unerlaubt verändert wurde, ist oft das vollständige Neuaufsetzen des AD eine zwingende Konsequenz.
  • Aber auch jegliche andere Art von Veränderung wie beispielweise ein geänderter Absender einer E-Mail fällt darunter.


Schutzziel Verfügbarkeit von Informationen

Verfügbarkeit von Informationen bedeutet, dass alle abgerufenen Informationen zeitnah und entsprechend der Erwartung genutzt werden können.

Beispiel
  • Nach einem Login bei Ihrem Cloud-Dienst, beispielsweise Microsoft Office 365, sind alle Dokumente nach ein paar Sekunden verfügbar.
  • Auf dem Benutzerrechner kann auf alle abgelegten Dateien zugegriffen werden.

Angriffe auf die Verfügbarkeit:
  • Die aktuellen Ransomware-Angriffe auf Unternehmen sind im Kern häufig klassische Verfügbarkeitsangriffe. Alle Daten und zugreifbaren Backups werden verschlüsselt oder gelöscht und sind gegen eine Kryptogeld-Lösegeldzahlung (mit viel Glück...) wieder verfügbar. Angemerkt sei, dass mit Ransomware momentan auch häufig Angriffe auf die Vertraulichkeit und Integrität der Informationen mit stattfinden.
  • Aber auch andere Angriffe wie DDoS-Angriffe sind weit verbreitet.

Weitere Schutzziele der Informationssicherheit

In Art. 32 Abs. 1b DSGVO ist zusätzlich noch die sogenannte Belastbarkeit als ein weiteres Schutzziel gefordert. Darunter wird regelmäßig die Verfügbarkeit der IT-Systeme auch unter Lastzuständen verstanden.

Je nach Anwendungsfall werden, neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit, noch weitere Schutzziele betrachtet.

Schutzziel Authentizität

Unter der Authentizität (engl. authenticity) versteht man sowohl die Sicherstellung der Identität des Kommunikationspartners als auch die Sicherstellung des Urhebers von Daten. Die Authentizität wird häufig als übergeordnetes Schutzziel betrachtet. Andere Schutzziele sind wertlos, wenn man nicht feststellen kann, ob mit dem gewünschten Kommunikationspartner kommuniziert wird.

Beispiel

Durch ein Login mit Benutzername/Passwort soll sichergestellt werden, dass der richtige Kommunikationspartner am anderen Ende der Leitung sitzt. Dieses simple Beispiel illustriert auch, dass zum Erreichen der drei primären Schutzziele der Informationssicherheit

Schutzziel Nichtabstreitbarkeit

Die Nichtabstreitbarkeit gegenüber soll sicherstellen, dass eine Kommunikation im Nachhinein nicht von einer beteiligten Partei gegenüber Dritten abgestritten werden kann. (engl. non-repudiation).

Beispiel

  • Bei digitalen Signaturen ist die Nichtabstreitbarkeit, neben der Authentizität, entscheidend.
  • Falls Verträge (online) abgeschlossen werden, ist die Nichtabstreitbarkeit wichtig für den Dienstleister.

Schutzziel Verbindlichkeit

Wenn Authentizität und Nichtabstreibarkeit einer Kommunikation sichergestellt sind, nennt man sie auch verbindlich.

Bedrohungen für die Schutzziele der Informationssicherheit

Es gibt Hunderte von Kategorien von Bedrohungen, welche die Schutzziele der Informationssicherheit in der einen oder anderen Art und Weise gefährden. Im Folgenden behandeln wir einige der wichtigsten modernen Bedrohungen von Schutzzielen, die für Sicherheitsteams in Unternehmen aktuell Priorität haben.

Unzureichend gesicherte oder nicht gepatchte Systeme

Die Geschwindigkeit und die technologische Entwicklung führen oft zu Kompromissen bei den Sicherheitsmaßnahmen. In anderen Fällen werden Systeme ohne Rücksicht auf die Sicherheit entwickelt und bleiben als Altsysteme in einem Unternehmen in Betrieb. Unternehmen müssen diese schlecht gesicherten Systeme identifizieren und die Bedrohung abschwächen, indem sie sie sichern, patchen, außer Betrieb nehmen oder isolieren.

Angriffe mit Nutzung von sozialen Medien

Viele Menschen haben Konten in sozialen Medien, auf denen sie oft unbeabsichtigt Informationen preisgeben. Angreifer können diese Art von Informationen für Angriffe ausnutzen.

Social Engineering

Beim Social Engineering manipulieren Angreifer die Anwender von IT-Systemen durch psychologische Auslöser wie Neugier oder Angst, um eine gewünschte Reaktion zu erreichen.

Da die Quelle einer Social Engineering-Nachricht in der Regel vertrauenswürdig erscheint, klicken Anwender häufig auf einen Link der Malware auf dem genutzten Computer installiert. Damit werden persönliche Informationen, Anmeldedaten und andere Unternehmensdaten, auf die der Anwender Zugriff hat, dem Angreifer preisgegeben.

Unternehmen können Social Engineering eindämmen, indem Benutzer darin geschult werden, verdächtige Social Engineering-Nachrichten zu erkennen und sie an das Sicherheitsteam weiterzuleiten. Aber auch technische Systeme wie E-Mail-Filtersysteme können einen Beitrag dazu leisten.

Malware auf Clients

Anwender in Unternehmen arbeiten mit einer Vielzahl von Endgeräten, darunter auch mobile Geräte wie Laptops, Tablets und Smartphones. Eine zentrale Bedrohung für all diese Endgeräte ist Malware, die auf verschiedenen Wegen übertragen werden kann. Sie kann zur Kompromittierung des Clients selbst sowie zur Ausweitung der Berechtigungen auf andere Clients und Server führen kann.

Fehlende Verschlüsselung von mobilen Geräten

Bei Verschlüsselungsverfahren werden Daten so verschlüsselt, dass sie nur von Benutzern mit geheimen Schlüsseln entschlüsselt werden können. Der Einsatz von Kryptographie zur Verschlüsselung ist sehr effektiv, um Datenverlust oder -beschädigung bei Verlust oder Diebstahl von Geräten zu verhindern.

Falsche oder unzureichende Sicherheitskonfiguration von Cloud-Diensten

Moderne Unternehmen nutzen häufig eine Vielzahl an Plattformen und Cloud-Diensten. Fast alle dieser Dienste verfügen über ausgefeilte ausgebaute Sicherheitsfunktionen, die jedoch durch das Unternehmen konfiguriert und an die Bedürfnisse angepasst werden müssen. Eine falsche oder nachlässige Sicherheitskonfiguration oder auch menschliches Versagen kann leicht zu einem ernsten Sicherheitsvorfall führen.

Informationssicherheit Schutzziele - mit welchen Maßnahmen können sie erreicht werden?

Zum Erreichen der für die Informationssicherheit relevanten Schutzziele gehören sowohl organisatorische wie auch technische Maßnahmen.

Zur ganzheitlichen Steuerung der Informationssicherheit im Unternehmen wird regelmäßig ein Information Security Management System (ISMS) verwendet. Die Verantwortung für die Informationssicherheit und den laufenden Betrieb des ISMS wird dabei an einen Informationssicherheitsbeauftragten (ISB) delegiert.

Auch interessant

Haben wir Ihr Interesse geweckt?

Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!

Erfolgreich! Wir haben Ihre Anfrage erhalten. Vielen Dank.
Fehler! Es ist ein Fehler beim Versenden aufgetreten. Bitte nutzen Sie eine andere Möglichkeit mit uns Kontakt aufzunehmen!

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern und den Website-Verkehr zu analysieren. Lesen Sie, wie wir Cookies verwenden und wie Sie sie kontrollieren können, indem Sie hier klicken.

Einverstanden

Einstellungen zum Datenschutz

Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser speichern oder abrufen, normalerweise in Form von Cookies. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie wählen, die Datenerfassung von bestimmten Arten von Diensten nicht zuzulassen. Wenn Sie diese Dienste nicht zulassen, kann dies jedoch Ihr Erlebnis beeinträchtigen.