Die Schutz­zie­le der In­for­ma­ti­ons­si­cher­heit sind die ele­men­ta­ren Kern­punk­te für den Schutz von In­for­ma­tio­nen. In­for­ma­tio­nen stellen für jedes Un­ter­neh­men einen be­deu­ten­den wirt­schaft­li­chen Wert dar, und zwar nicht erst seit heute. Sie sind das Fun­da­ment ihrer Existenz und deshalb eine we­sent­li­che Vor­aus­set­zung für er­folg­rei­ches Wirt­schaf­ten. Dass In­for­ma­tio­nen geschützt werden müssen, liegt also auf der Hand – oder ist zu­min­dest wünschenswert. Al­ler­dings klaffen hier Wunsch und Wirk­lich­keit noch recht weit aus­ein­an­der.

Was sind die Schutzziele der Informationssicherheit?

Aufgrund unzureichender Sicherheit in der Informationsverarbeitung werden jährlich Schäden in Milliardenhöhe angerichtet. Doch wie lässt sich ein angemessener Schutz von organisationseigenen Werten erreichen? Und wie kann ein Unternehmen am besten in das Thema Informationssicherheit einsteigen?

Eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Dafür sollten sich Unternehmen und Organisationen zunächst mit den drei grundlegenden Schutzzielen der Informationssicherheit auseinandersetzen:

  • Vertraulichkeit,
  • Integrität und
  • Verfügbarkeit.

Die Umsetzung und die Wirksamkeit von Maßnahmen, die ein Unternehmen auf den Weg bringt, um diese Schutzziele zu erreichen, sind ein wesentliches Merkmal für den Grad seiner Informationssicherheit.

Sehr hilfreich für Anwender der international anerkannten Informationssicherheitsnorm ISO 27001 (oder daran Interessierte) ist deren Anhang A. Dieser Anhang gibt für die wichtigsten informationssicherheitsrelevanten Situationen Ziele und Referenzmaßnahmen vor.

ISO 27001 wurde einer Revision un­ter­zo­gen und am 25.10.2022 in eng­li­scher Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:

DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Welche Änderungen und Fristen mit der Revision ein­her­ge­gan­gen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.

Die be­stehen­de DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.

Loading...

Schutzziele Informationssicherheit: Vertraulichkeit einer Information

Ziel ist der Schutz vertraulicher Daten vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder aufgrund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Die Vertraulichkeit von Informationen und sensiblen Daten ist also gewährleistet, wenn nur solche Personen darauf Zugriff erhalten, die eine Befugnis (Berechtigung) dafür haben. Zugriff heißt zum Beispiel lesen, bearbeiten (ändern) oder auch löschen.

Die ergriffenen Maßnahmen müssen also sicherstellen, dass ausschließlich befugte Personen Zugang zu den vertraulichen Informationen haben – nichtbefugte Personen auf keinen Fall. Dies gilt auch für Informationen auf Papier, die gegebenenfalls ungeschützt auf einem Schreibtisch zum Lesen einladen, oder auch für die Übertragung von Daten, auf die im Zug ihrer Verarbeitung nicht zugegriffen werden kann.

Für befugte Personen muss zusätzlich festgelegt werden, welche Art von Zugang sie erhalten sollen, was sie tun dürfen bzw. müssen und was sie nicht dürfen. Dabei ist sicherzustellen, dass sie das, was sie nicht tun dürfen, auch nicht tun können. Die Methoden bzw. Techniken, die dabei zur Anwendung kommen sind vielfältig und teilweise unternehmensspezifisch.

Geht es „nur“ um das unberechtigte Einsehen oder Offenlegen von Informationen (auch bei der Übertragung, Klassiker: E-Mail-Verkehr!), können zum Schutz der Vertraulichkeit zum Beispiel kryptografische Maßnahmen zum Einsatz kommen. Geht es darum zu verhindern, dass Informationen nicht unerlaubt verändert werden können, kommt das Schutzziel „Integrität“ zum Tragen. 

iso 27001-whitepaper-fragen-antworten
Loading...

„Die Neue“ für In­for­ma­ti­ons­si­cher­heit

Wert­vol­les Wissen: 44 Fragen und Ant­wor­ten zu ISO/IEC 27001:2022

Zu­sam­men­stel­lung wis­sens­wer­ter Details zur re­vi­dier­ten ISO 27001 von An­wen­dern und Ex­per­ten:

  • Was hat es mit den neuen Controls auf sich?
  • Wann sollen wir auf die neue Norm um­stei­gen?
  • und vieles anderes mehr

Integrität einer Information

Mit dem Fachterminus Integrität sind gleich mehrere Anforderungen verknüpft:

  • Ungewollte Änderungen von Informationen müssen unmöglich sein, wenigstens aber erkannt werden können und nachvollziehbar sein. In der Praxis gilt folgende Abstufung:
    – Hohe (starke) Integrität verhindert ungewollte Änderungen.
    – Niedrige (schwache) Integrität kann Änderungen eventuell nicht verhindern, stellt aber sicher, dass (ungewollte) Änderungen erkannt und gegebenenfalls auch nachvollzogen werden können (Nachvollziehbarkeit).
  • Die Verlässlichkeit von Daten und Systemen muss gewährleistet sein.
  • Die Vollständigkeit von Informationen muss gewährleistet sein.

Maßnahmen, die die Integrität von Informationen erhöhen sollen, zielen deshalb ebenfalls auf das Thema Zugangsberechtigung in Verbindung mit Schutz vor externen und internen Angriffen.

Während die Wörter „Vertraulichkeit“ und „Verfügbarkeit“ mit Blick auf die klas­si­schen Schutz­zie­le der In­for­ma­ti­ons­si­cher­heit aus sich heraus gut verständlich, ja fast selbsterklärend sind, bedarf der Fach­ter­mi­nus „Integrität“ einer gewissen Erläuterung. Um das Schutz­ziel, das im Eng­li­schen „integrity“ heißt, auf Deutsch zu be­nen­nen, wurde „integrity“ der Ein­fach­heit halber 1:1 in „Integrität“ übertragen. Gemeint sind Kor­rekt­heit (von Daten und Sys­te­men), Vollständigkeit oder Nach­voll­zieh­bar­keit (von Änderungen).

Schutzziele Informationssicherheit: Verfügbarkeit einer Information

Verfügbarkeit von Informationen bedeutet, dass diese einschließlich der benötigten IT Systeme für jeden Berechtigten jederzeit zugänglich und im jeweils notwendigen Umfang nutzbar (funktionsfähig) sein müssen. Fällt ein System aus oder ist ein Gebäude nicht zugänglich, ist die benötigte Information nicht verfügbar. Dies kann in bestimmten Fällen zu Störungen mit weitreichenden Folgen führen, zum Beispiel bei der Aufrechterhaltung von Prozessen.

Deshalb ist es sinnvoll, eine Risikoanalyse mit Blick auf die Wahrscheinlichkeit eines Systemausfalls, auf die mögliche Dauer und auf den gegebenenfalls entstandenen Schaden durch fehlende IT Security durchzuführen. Aus den Ergebnissen können wirksame Gegenmaßnahmen abgeleitet und im Fall der Fälle ausgeführt werden.

Was sind „erweiterte“ Schutzziele?

Neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gibt es noch drei erweiterte Schutzziele. darunter versteht man die zwei Aspekte „Verbindlichkeit“ und „Zurechenbarkeit“, die sich gegenseitig ergänzen. Ersteres bedeutet sicherzustellen, dass ein Akteur seine Handlung nicht abstreiten kann, Letzteres, dass ihm seine Handlung sicher zugeordnet werden kann. Beides läuft auf die eindeutige Identifizierbarkeit von Akteuren hinaus, die Ausgabe eindeutiger Passwörter ist eine Mindestvoraussetzung dafür.

Als drittes erweitertes Schutzziel wird „Authentizität“ verstanden, also Echtheit. Eine einfache Frage dazu lautet: Ist die Information echt bzw. stammt sie tatsächlich von der angegebenen Quelle? Dieses Schutzziel ist wichtig, um die Vertrauenswürdigkeit des Ursprungs bewerten zu können.

Cover sheet for german whitepaper iso 27001 new controls with pdf
Loading...

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Schutzziele der Informationssicherheit – Fazit

Die drei wichtigsten Schutzziele der Informationssicherheit sind „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.

Vertraulichkeit: Um sie gewährleisten zu können, müssen Sie klar festlegen, wer in welcher Art und Weise berechtigt ist, auf diese sensiblen Daten zuzugreifen. Dies ist an entsprechende Zugangsberechtigungen und den Einsatz zum Beispiel kryptographischer Techniken geknüpft.

Integrität bedeutet den Schutz vor unautorisierten Änderungen an und vor dem Löschen von Informationen, dazu die Verlässlichkeit und Vollständigkeit von Informationen. Für Ihr Unternehmen ist es deshalb wichtig, Vorkehrungen zu treffen, um Veränderungen an Daten schnell zu erkennen oder unerlaubte Manipulation von Grund auf zu verhindern.

Verfügbarkeit heißt, dass Informationen, Systeme und Gebäude für Befugte jederzeit zur Verfügung stehen müssen. Da beispielsweise Systemausfälle mit großen Risiken verbunden sind, sollte zu diesem Themenkomplex eine Risikoanalyse durchgeführt werden. Halten Sie hier die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial der notwendigsten Systeme fest.

Verbindlichkeit, Zurechenbarkeit und Authentizität sind „erweiterte“ Schutzziele.

Unter Verbindlichkeit wird verstanden, dass sichergestellt ist, dass ein Akteur seine Handlungen nicht abstreiten kann. Zurechenbarkeit ergänzt dieses erweiterte Schutzziel durch die eindeutige Identifizierung eines solchen Akteurs. Authentizität stellt die Frage: Ist eine Information echt bzw. vertrauenswürdig?

Ausblick: NIS2 in der Schnittmenge zu ISO 27001

Am 27. Dezember 2022 wurde die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. NIS2 bildet die regulatorische Grundlage für die Cybersicherheit und den Schutz von Informationssystemen in Unternehmen und Organisationen. Die NIS2-Richtlinie als EU-weite Rechtsvorschrift zur Erhöhung des allgemeinen Niveaus der Cybersicherheit muss bis Oktober 2024 in nationales Recht überführt sein.

Was ist zu erwarten? Der § 30 des NIS2UmsuCG-Gesetzesentwurfs liefert dazu Präzisierungen: Risikomanagement, technische und organisatorische Maßnahmen, Stand der Technik, Meldepflichten. Indirekte Auswirkungen auf die Lieferkette werden angesprochen. Mit dem NIS2UmsuCG werden spätestens drei Jahre nach Inkrafttreten des Gesetzes Nachweispflichten gegenüber dem BSI fällig. Cybersicherheit wird damit auch zum Compliance-Thema für jeden Geschäftsführer.

Unter allen NIS2-Experten besteht Konsens, dass ein ISMS eine hervorragende Ausgangsbasis darstellt, um sich auf NIS2 vorbereiten zu können. Unabhängig vom zu verabschiedenden Gesetz kann damit bereits jetzt der Grundstein für die zukünftige Rechtskonformität gelegt werden.

woman sits on the couch with a laptop and a headset taking notes on a notepad during a workshop
Loading...

NIS2 in der Schnitt­men­ge zu ISO 27001

Kos­ten­freie Web­i­nar­auf­zeich­nung

Ihre DQS – Das können Sie von uns erwarten

Informationssicherheit ist ein komplexes Thema, das weit über die IT-Sicherheit hinausgeht. Es umfasst technische, organisatorische und infrastrukturelle Aspekte. Für wirksame Schutzmaßnahmen in Form eines Informationssicherheits-Managementsystems (ISMS) eignet sich die internationale Norm DIN EN ISO/IEC 27001.

Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um ISO 27001 und Informationssicherheits-Managementsysteme.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Ger­ne be­ant­wor­ten wir Ihre Fra­gen

Mit welchem Aufwand müssen Sie rechnen, um Ihr In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­tem nach ISO 27001 zertifizieren zu lassen? In­for­mie­ren Sie sich. Un­ver­bind­lich und kos­ten­frei.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit