Das Wichtigste in Kürze
Serie Informationssicherheit
- Schutzziele der Informationssicherheit
- Informationssicherheitsmanagementsystem (ISMS)
Bedeutung der Informationssicherheit
Die Informationssicherheit hat das Ziel Informationen vor Diebstahl, nicht berechtigter Veränderung oder Zerstörung zu schützen. Informationen können dabei entweder digital in IT-Systemen oder beispielsweise auch in Papierform vorliegen.
Welche Informationen sind schützenswert?
Schützenswerte Informationen sind dabei häufig erfolgsrelevante und vertrauliche Unternehmensdaten wie Kundenbestände, Unternehmensstrategien, Eigenentwicklungen oder Know-How. Einen besonders wichtigen Stellenwert nimmt dabei aufgrund starker gesetzlicher Anforderungen der Schutz personenbezogener Daten ein. Dazu gehört beispielsweise das Einkaufsverhalten der eignen Kunden oder auch die persönlichen Daten der Mitarbeiter.
Schutzziele Informationssicherheit
Die wichtigsten Schutzziele der IT- und Informationssicherheit (ISO/IEC 27001, IT-Grundschutz , DSGVO) sind dabei:
- Schutz der Vertraulichkeit (engl. confidentiality; kein Zugriff auf sensible Daten für unberechtigte Dritte),
- Schutz der Integrität (engl. integrity; keine Verfälschung)
- Schutz der Verfügbarkeit (engl. availabilty; Daten stehen zur Verfügung, wenn sie benötigt werden)
Je nach Anwendungsfall können noch weitere Schutzziele der Informationssicherheit in die Betrachtung mit herangezogen werden.

Schutzziel Vertraulichkeit von Informationen
In der Informationssicherheit bedeutet Vertraulichkeit, dass Daten nur für berechtigte Personen zugänglich sind.
Beispiele
Angriffe auf die Vertraulichkeit:

Schutzziel Integrität von Informationen
Integrität von Daten und Informationen bedeutet, dass keine unerlaubte Veränderung durchgeführt worden ist.
Beispiel
Angriffe auf die Integrität:

Schutzziel Verfügbarkeit von Informationen
Verfügbarkeit von Informationen bedeutet, dass alle abgerufenen Informationen zeitnah und entsprechend der Erwartung genutzt werden können.
Beispiel
Angriffe auf die Verfügbarkeit:
Benötigen Sie zuverlässige Experten die Sie beim Schutz Ihrere IT-Systeme unterstützen?
Lassen Sie uns noch heute darüber sprechen!
Weitere Schutzziele der Informationssicherheit

Je nach Anwendungsfall werden, neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit, noch weitere Schutzziele betrachtet.
Schutzziel Authentizität
Unter der Authentizität (engl. authenticity) versteht man sowohl die Sicherstellung der Identität des Kommunikationspartners als auch die Sicherstellung des Urhebers von Daten. Die Authentizität wird häufig als übergeordnetes Schutzziel betrachtet. Andere Schutzziele sind wertlos, wenn man nicht feststellen kann, ob mit dem gewünschten Kommunikationspartner kommuniziert wird.
Beispiel
Durch ein Login mit Benutzername/Passwort soll sichergestellt werden, dass der richtige Kommunikationspartner am anderen Ende der Leitung sitzt. Dieses simple Beispiel illustriert auch, dass zum Erreichen der drei primären Schutzziele der Informationssicherheit
Schutzziel Nichtabstreitbarkeit
Die Nichtabstreitbarkeit gegenüber soll sicherstellen, dass eine Kommunikation im Nachhinein nicht von einer beteiligten Partei gegenüber Dritten abgestritten werden kann. (engl. non-repudiation).
Beispiel
- Bei digitalen Signaturen ist die Nichtabstreitbarkeit, neben der Authentizität, entscheidend.
- Falls Verträge (online) abgeschlossen werden, ist die Nichtabstreitbarkeit wichtig für den Dienstleister.
Schutzziel Verbindlichkeit
Wenn Authentizität und Nichtabstreibarkeit einer Kommunikation sichergestellt sind, nennt man sie auch verbindlich.
Bedrohungen für die Schutzziele der Informationssicherheit
Es gibt Hunderte von Kategorien von Bedrohungen, welche die Schutzziele der Informationssicherheit in der einen oder anderen Art und Weise gefährden. Im Folgenden behandeln wir einige der wichtigsten modernen Bedrohungen von Schutzzielen, die für Sicherheitsteams in Unternehmen aktuell Priorität haben.

Unzureichend gesicherte oder nicht gepatchte Systeme
Die Geschwindigkeit und die technologische Entwicklung führen oft zu Kompromissen bei den Sicherheitsmaßnahmen. In anderen Fällen werden Systeme ohne Rücksicht auf die Sicherheit entwickelt und bleiben als Altsysteme in einem Unternehmen in Betrieb. Unternehmen müssen diese schlecht gesicherten Systeme identifizieren und die Bedrohung abschwächen, indem sie sie sichern, patchen, außer Betrieb nehmen oder isolieren.
Angriffe mit Nutzung von sozialen Medien
Viele Menschen haben Konten in sozialen Medien, auf denen sie oft unbeabsichtigt Informationen preisgeben. Angreifer können diese Art von Informationen für Angriffe ausnutzen.
Social Engineering
Beim Social Engineering manipulieren Angreifer die Anwender von IT-Systemen durch psychologische Auslöser wie Neugier oder Angst, um eine gewünschte Reaktion zu erreichen.
Da die Quelle einer Social Engineering-Nachricht in der Regel vertrauenswürdig erscheint, klicken Anwender häufig auf einen Link der Malware auf dem genutzten Computer installiert. Damit werden persönliche Informationen, Anmeldedaten und andere Unternehmensdaten, auf die der Anwender Zugriff hat, dem Angreifer preisgegeben.
Unternehmen können Social Engineering eindämmen, indem Benutzer darin geschult werden, verdächtige Social Engineering-Nachrichten zu erkennen und sie an das Sicherheitsteam weiterzuleiten. Aber auch technische Systeme wie E-Mail-Filtersysteme können einen Beitrag dazu leisten.
Malware auf Clients
Anwender in Unternehmen arbeiten mit einer Vielzahl von Endgeräten, darunter auch mobile Geräte wie Laptops, Tablets und Smartphones. Eine zentrale Bedrohung für all diese Endgeräte ist Malware, die auf verschiedenen Wegen übertragen werden kann. Sie kann zur Kompromittierung des Clients selbst sowie zur Ausweitung der Berechtigungen auf andere Clients und Server führen kann.
Fehlende Verschlüsselung von mobilen Geräten
Bei Verschlüsselungsverfahren werden Daten so verschlüsselt, dass sie nur von Benutzern mit geheimen Schlüsseln entschlüsselt werden können. Der Einsatz von Kryptographie zur Verschlüsselung ist sehr effektiv, um Datenverlust oder -beschädigung bei Verlust oder Diebstahl von Geräten zu verhindern.
Falsche oder unzureichende Sicherheitskonfiguration von Cloud-Diensten
Moderne Unternehmen nutzen häufig eine Vielzahl an Plattformen und Cloud-Diensten. Fast alle dieser Dienste verfügen über ausgefeilte ausgebaute Sicherheitsfunktionen, die jedoch durch das Unternehmen konfiguriert und an die Bedürfnisse angepasst werden müssen. Eine falsche oder nachlässige Sicherheitskonfiguration oder auch menschliches Versagen kann leicht zu einem ernsten Sicherheitsvorfall führen.
Informationssicherheit Schutzziele - mit welchen Maßnahmen können sie erreicht werden?
Zum Erreichen der für die Informationssicherheit relevanten Schutzziele gehören sowohl organisatorische wie auch technische Maßnahmen.
Zur ganzheitlichen Steuerung der Informationssicherheit im Unternehmen wird regelmäßig ein Information Security Management System (ISMS) verwendet. Die Verantwortung für die Informationssicherheit und den laufenden Betrieb des ISMS wird dabei an einen Informationssicherheitsbeauftragten (ISB) delegiert.
Inhalt
Auch interessant

Firewall-Grundlagen & Firewall-Architektur
Firewalls spielen eine entscheidende Rolle beim Schutz von Unternehmensnetzen. Malware, Cyberangriffe und Datenschutzverletzungen können mit dem...
Weiterlesen...
Informationssicherheitsmanagementsystem (ISMS)
Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Die Informationen können dabei...
Weiterlesen...
Karriereguide Pentester
Wie wird man eigentlich Pentester? Was verdient ein Pentester? Haben Quereinsteiger auch eine Chance? Und was macht ein Penetration Tester so den...
Weiterlesen...Haben wir Ihr Interesse geweckt?
Rufen Sie uns doch einfach an oder schreiben Sie uns eine Nachricht!