Die Schutzziele der Informationssicherheit sind die elementaren Kernpunkte für den Schutz von Informationen. Informationen stellen für jedes Unternehmen einen bedeutenden wirtschaftlichen Wert dar, und zwar nicht erst seit heute. Sie sind das Fundament ihrer Existenz und deshalb eine wesentliche Voraussetzung für erfolgreiches Wirtschaften. Dass Informationen geschützt werden müssen, liegt also auf der Hand – oder ist zumindest wünschenswert. Allerdings klaffen hier Wunsch und Wirklichkeit noch recht weit auseinander.

Was sind die Schutzziele der Informationssicherheit?

Aufgrund unzureichender Sicherheit in der Informationsverarbeitung werden jährlich Schäden in Milliardenhöhe angerichtet. Doch wie lässt sich ein angemessener Schutz von organisationseigenen Werten erreichen? Und wie kann ein Unternehmen am besten in das Thema Informationssicherheit einsteigen?

Eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Dafür sollten sich Unternehmen und Organisationen zunächst mit den drei grundlegenden Schutzzielen der Informationssicherheit auseinandersetzen:

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit.

Die Umsetzung und die Wirksamkeit von Maßnahmen, die ein Unternehmen auf den Weg bringt, um diese Schutzziele zu erreichen, sind ein wesentliches Merkmal für den Grad seiner Informationssicherheit.

Sehr hilfreich für Anwender der international anerkannten Informationssicherheitsnorm ISO 27001 (oder daran Interessierte) ist deren Anhang A. Dieser Anhang gibt für die wichtigsten informationssicherheitsrelevanten Situationen Ziele und Referenzmaßnahmen vor.

ISO 27001 wurde einer Revision unterzogen und am 25.10.2022 in englischer Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision einhergegangen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Die bestehende DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Loading...

Schutzziele Informationssicherheit: Vertraulichkeit einer Information

Ziel ist der Schutz vertraulicher Daten vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder aufgrund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Die Vertraulichkeit von Informationen und sensiblen Daten ist also gewährleistet, wenn nur solche Personen darauf Zugriff erhalten, die eine Befugnis (Berechtigung) dafür haben. Zugriff heißt zum Beispiel lesen, bearbeiten (ändern) oder auch löschen.

Die ergriffenen Maßnahmen müssen also sicherstellen, dass ausschließlich befugte Personen Zugang zu den vertraulichen Informationen haben – nichtbefugte Personen auf keinen Fall. Dies gilt auch für Informationen auf Papier, die gegebenenfalls ungeschützt auf einem Schreibtisch zum Lesen einladen, oder auch für die Übertragung von Daten, auf die im Zug ihrer Verarbeitung nicht zugegriffen werden kann.

Für befugte Personen muss zusätzlich festgelegt werden, welche Art von Zugang sie erhalten sollen, was sie tun dürfen bzw. müssen und was sie nicht dürfen. Dabei ist sicherzustellen, dass sie das, was sie nicht tun dürfen, auch nicht tun können. Die Methoden bzw. Techniken, die dabei zur Anwendung kommen sind vielfältig und teilweise unternehmensspezifisch.

Geht es „nur“ um das unberechtigte Einsehen oder Offenlegen von Informationen (auch bei der Übertragung, Klassiker: E-Mail-Verkehr!), können zum Schutz der Vertraulichkeit zum Beispiel kryptografische Maßnahmen zum Einsatz kommen. Geht es darum zu verhindern, dass Informationen nicht unerlaubt verändert werden können, kommt das Schutzziel „Integrität“ zum Tragen. 

iso-27001-anhang-a-dqs-auditleitfaden-kostenfrei.png
Loading...

Wertvolles Wissen: DQS-Auditleitfaden

Unser Auditleifaden ISO 27001 – Annex A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen. Der Leitfaden basiert auf DIN EN ISO/IEC 27001:2017. 

Integrität einer Information

Mit dem Fachterminus Integrität sind gleich mehrere Anforderungen verknüpft:

  • Ungewollte Änderungen von Informationen müssen unmöglich sein, wenigstens aber erkannt werden können und nachvollziehbar sein. In der Praxis gilt folgende Abstufung:
    – Hohe (starke) Integrität verhindert ungewollte Änderungen.
    – Niedrige (schwache) Integrität kann Änderungen eventuell nicht verhindern, stellt aber sicher, dass (ungewollte) Änderungen erkannt und gegebenenfalls auch nachvollzogen werden können (Nachvollziehbarkeit).
  • Die Verlässlichkeit von Daten und Systemen muss gewährleistet sein.
  • Die Vollständigkeit von Informationen muss gewährleistet sein.

Maßnahmen, die die Integrität von Informationen erhöhen sollen, zielen deshalb ebenfalls auf das Thema Zugangsberechtigung in Verbindung mit Schutz vor externen und internen Angriffen.

Während die Wörter „Vertraulichkeit“ und „Verfügbarkeit“ mit Blick auf die klassischen Schutzziele der Informationssicherheit aus sich heraus gut verständlich, ja fast selbsterklärend sind, bedarf der Fachterminus „Integrität“ einer gewissen Erläuterung. Um das Schutzziel, das im Englischen „integrity“ heißt, auf Deutsch zu benennen, wurde „integrity“ der Einfachheit halber 1:1 in „Integrität“ übertragen. Gemeint sind Korrektheit (von Daten und Systemen), Vollständigkeit oder Nachvollziehbarkeit (von Änderungen).

Schutzziele Informationssicherheit: Verfügbarkeit einer Information

Verfügbarkeit von Informationen bedeutet, dass diese einschließlich der benötigten IT Systeme für jeden Berechtigten jederzeit zugänglich und im jeweils notwendigen Umfang nutzbar (funktionsfähig) sein müssen. Fällt ein System aus oder ist ein Gebäude nicht zugänglich, ist die benötigte Information nicht verfügbar. Dies kann in bestimmten Fällen zu Störungen mit weitreichenden Folgen führen, zum Beispiel bei der Aufrechterhaltung von Prozessen.

Deshalb ist es sinnvoll, eine Risikoanalyse mit Blick auf die Wahrscheinlichkeit eines Systemausfalls, auf die mögliche Dauer und auf den gegebenenfalls entstandenen Schaden durch fehlende IT Security durchzuführen. Aus den Ergebnissen können wirksame Gegenmaßnahmen abgeleitet und im Fall der Fälle ausgeführt werden.

Was sind „erweiterte“ Schutzziele?

Neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gibt es noch drei erweiterte Schutzziele. darunter versteht man die zwei Aspekte „Verbindlichkeit“ und „Zurechenbarkeit“, die sich gegenseitig ergänzen. Ersteres bedeutet sicherzustellen, dass ein Akteur seine Handlung nicht abstreiten kann, Letzteres, dass ihm seine Handlung sicher zugeordnet werden kann. Beides läuft auf die eindeutige Identifizierbarkeit von Akteuren hinaus, die Ausgabe eindeutiger Passwörter ist eine Mindestvoraussetzung dafür.

Als drittes erweitertes Schutzziel wird „Authentizität“ verstanden, also Echtheit. Eine einfache Frage dazu lautet: Ist die Information echt bzw. stammt sie tatsächlich von der angegebenen Quelle? Dieses Schutzziel ist wichtig, um die Vertrauenswürdigkeit des Ursprungs bewerten zu können.

ISO 27001 Quality standards assurance business technology concept.; Shutterstock ID 1348453067; purc
Loading...

ISO 27001 - Einführung eines Informationssicherheitsmanagementsystems

Nach diesem Workshop verstehen Sie die Anforderungen und Besonderheiten der neuen ISO 27001:2022 und können Informationssicherheit im Kontext eines integrierten Managementsystems einordnen. Aus dem Inhalt: 

  • Grundlagen eines ISMS
  • Anforderungen der Norm und des Annex
  • Mögliche Vorgehensweisen 

Schutzziele der Informationssicherheit – Fazit

Die drei wichtigsten Schutzziele der Informationssicherheit sind „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.

Vertraulichkeit: Um sie gewährleisten zu können, müssen Sie klar festlegen, wer in welcher Art und Weise berechtigt ist, auf diese sensiblen Daten zuzugreifen. Dies ist an entsprechende Zugangsberechtigungen und den Einsatz zum Beispiel kryptographischer Techniken geknüpft.

Integrität bedeutet den Schutz vor unautorisierten Änderungen an und vor dem Löschen von Informationen, dazu die Verlässlichkeit und Vollständigkeit von Informationen. Für Ihr Unternehmen ist es deshalb wichtig, Vorkehrungen zu treffen, um Veränderungen an Daten schnell zu erkennen oder unerlaubte Manipulation von Grund auf zu verhindern.

Verfügbarkeit heißt, dass Informationen, Systeme und Gebäude für Befugte jederzeit zur Verfügung stehen müssen. Da beispielsweise Systemausfälle mit großen Risiken verbunden sind, sollte zu diesem Themenkomplex eine Risikoanalyse durchgeführt werden. Halten Sie hier die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial der notwendigsten Systeme fest.

Verbindlichkeit, Zurechenbarkeit und Authentizität sind „erweiterte“ Schutzziele.

Unter Verbindlichkeit wird verstanden, dass sichergestellt ist, dass ein Akteur seine Handlungen nicht abstreiten kann. Zurechenbarkeit ergänzt dieses erweiterte Schutzziel durch die eindeutige Identifizierung eines solchen Akteurs. Authentizität stellt die Frage: Ist eine Information echt bzw. vertrauenswürdig?

Ihre DQS – Das können Sie von uns erwarten

Informationssicherheit ist ein komplexes Thema, das weit über die IT-Sicherheit hinausgeht. Es umfasst technische, organisatorische und infrastrukturelle Aspekte. Für wirksame Schutzmaßnahmen in Form eines Informationssicherheits-Managementsystems (ISMS) eignet sich die internationale Norm DIN EN ISO/IEC 27001.

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um ISO 27001 und Informationssicherheits-Managementsysteme.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gerne beantworten wir Ihre Fragen

Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich. Unverbindlich und kostenfrei.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Loading...