Die Schutzziele der Informationssicherheit sind die elementaren Kernpunkte für den Schutz von Informationen. Informationen stellen für jedes Unternehmen einen bedeutenden wirtschaftlichen Wert dar, und zwar nicht erst seit heute. Sie sind das Fundament ihrer Existenz und deshalb eine wesentliche Voraussetzung für erfolgreiches Wirtschaften. Dass Informationen geschützt werden müssen, liegt also auf der Hand – oder ist zumindest wünschenswert. Allerdings klaffen hier Wunsch und Wirklichkeit noch recht weit auseinander.
INHALT
- Was sind die Schutzziele der Informationssicherheit?
- Was bedeutet Vertraulichkeit einer Information?
- Was bedeutet Integrität einer Information?
- Was bedeutet Verfügbarkeit einer Information?
- Was sind "erweiterte" Schutzziele?
- Schutzziele der Informationssicherheit – Fazit
- Ihre DQS – Das können Sie von uns erwarten
Was sind die Schutzziele der Informationssicherheit?
Aufgrund unzureichender Sicherheit in der Informationsverarbeitung werden jährlich Schäden in Milliardenhöhe angerichtet. Doch wie lässt sich ein angemessener Schutz von organisationseigenen Werten erreichen? Und wie kann ein Unternehmen am besten in das Thema Informationssicherheit einsteigen?
Eine optimale Grundlage zur wirksamen Umsetzung einer ganzheitlichen Sicherheitsstrategie bietet ein gut strukturiertes Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001. Die Norm liefert ein Modell für die Einführung, Umsetzung, Überwachung und die Verbesserung des Schutzniveaus. Dafür sollten sich Unternehmen und Organisationen zunächst mit den drei grundlegenden Schutzzielen der Informationssicherheit auseinandersetzen:
- Vertraulichkeit,
- Integrität und
- Verfügbarkeit.
Die Umsetzung und die Wirksamkeit von Maßnahmen, die ein Unternehmen auf den Weg bringt, um diese Schutzziele zu erreichen, sind ein wesentliches Merkmal für den Grad seiner Informationssicherheit.
Sehr hilfreich für Anwender der international anerkannten Informationssicherheitsnorm ISO 27001 (oder daran Interessierte) ist deren Anhang A. Dieser Anhang gibt für die wichtigsten informationssicherheitsrelevanten Situationen Ziele und Referenzmaßnahmen vor.
ISO 27001 wurde einer Revision unterzogen und am 25.10.2022 in englischer Sprache neu veröffentlicht. Die deutsche Norm ist beim Beuth Verlag erhältlich:
DIN EN ISO/IEC 27001:2024-01 – Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)
Welche Änderungen und Fristen mit der Revision einhergegangen sind, erfahren Sie in unserem Beitrag „Die neue ISO/IEC 27001:2022“.
Die bestehende DIN EN ISO/IEC 27001:2017 (ISO/IEC 27001:2013) verliert am 31. Oktober 2025 ihre Gültigkeit.
DQS Praxistag ISMS 2024
Expertenwissen aus erster Hand
Am 13.11.2024 erwartet Sie ein umfangreiches, praxisorientiertes Programm rund um Informationssicherheit, welches Sie bei künftigen gesetzlichen Anforderungen unterstützt. Auszug aus dem Programm:
- NIS2-Compliance durch ISO 27001
- Cloud Security kommt nicht aus der Steckdose
- KI im Kontext der Informationssicherheit
Schutzziele Informationssicherheit: Vertraulichkeit einer Information
Ziel ist der Schutz vertraulicher Daten vor unbefugtem Zugriff, sei es aus datenschutzrechtlichen Gründen oder aufgrund von Betriebsgeheimnissen, die unter das Geschäftsgeheimnisgesetz fallen. Die Vertraulichkeit von Informationen und sensiblen Daten ist also gewährleistet, wenn nur solche Personen darauf Zugriff erhalten, die eine Befugnis (Berechtigung) dafür haben. Zugriff heißt zum Beispiel lesen, bearbeiten (ändern) oder auch löschen.
Die ergriffenen Maßnahmen müssen also sicherstellen, dass ausschließlich befugte Personen Zugang zu den vertraulichen Informationen haben – nichtbefugte Personen auf keinen Fall. Dies gilt auch für Informationen auf Papier, die gegebenenfalls ungeschützt auf einem Schreibtisch zum Lesen einladen, oder auch für die Übertragung von Daten, auf die im Zug ihrer Verarbeitung nicht zugegriffen werden kann.
Für befugte Personen muss zusätzlich festgelegt werden, welche Art von Zugang sie erhalten sollen, was sie tun dürfen bzw. müssen und was sie nicht dürfen. Dabei ist sicherzustellen, dass sie das, was sie nicht tun dürfen, auch nicht tun können. Die Methoden bzw. Techniken, die dabei zur Anwendung kommen sind vielfältig und teilweise unternehmensspezifisch.
Geht es „nur“ um das unberechtigte Einsehen oder Offenlegen von Informationen (auch bei der Übertragung, Klassiker: E-Mail-Verkehr!), können zum Schutz der Vertraulichkeit zum Beispiel kryptografische Maßnahmen zum Einsatz kommen. Geht es darum zu verhindern, dass Informationen nicht unerlaubt verändert werden können, kommt das Schutzziel „Integrität“ zum Tragen.
„Die Neue“ für Informationssicherheit
Wertvolles Wissen: 44 Fragen und Antworten zu ISO/IEC 27001:2022
Zusammenstellung wissenswerter Details zur revidierten ISO 27001 von Anwendern und Experten:
- Was hat es mit den neuen Controls auf sich?
- Wann sollen wir auf die neue Norm umsteigen?
- und vieles anderes mehr
Integrität einer Information
Mit dem Fachterminus Integrität sind gleich mehrere Anforderungen verknüpft:
- Ungewollte Änderungen von Informationen müssen unmöglich sein, wenigstens aber erkannt werden können und nachvollziehbar sein. In der Praxis gilt folgende Abstufung:
– Hohe (starke) Integrität verhindert ungewollte Änderungen.
– Niedrige (schwache) Integrität kann Änderungen eventuell nicht verhindern, stellt aber sicher, dass (ungewollte) Änderungen erkannt und gegebenenfalls auch nachvollzogen werden können (Nachvollziehbarkeit). - Die Verlässlichkeit von Daten und Systemen muss gewährleistet sein.
- Die Vollständigkeit von Informationen muss gewährleistet sein.
Maßnahmen, die die Integrität von Informationen erhöhen sollen, zielen deshalb ebenfalls auf das Thema Zugangsberechtigung in Verbindung mit Schutz vor externen und internen Angriffen.
Während die Wörter „Vertraulichkeit“ und „Verfügbarkeit“ mit Blick auf die klassischen Schutzziele der Informationssicherheit aus sich heraus gut verständlich, ja fast selbsterklärend sind, bedarf der Fachterminus „Integrität“ einer gewissen Erläuterung. Um das Schutzziel, das im Englischen „integrity“ heißt, auf Deutsch zu benennen, wurde „integrity“ der Einfachheit halber 1:1 in „Integrität“ übertragen. Gemeint sind Korrektheit (von Daten und Systemen), Vollständigkeit oder Nachvollziehbarkeit (von Änderungen).
Schutzziele Informationssicherheit: Verfügbarkeit einer Information
Verfügbarkeit von Informationen bedeutet, dass diese einschließlich der benötigten IT Systeme für jeden Berechtigten jederzeit zugänglich und im jeweils notwendigen Umfang nutzbar (funktionsfähig) sein müssen. Fällt ein System aus oder ist ein Gebäude nicht zugänglich, ist die benötigte Information nicht verfügbar. Dies kann in bestimmten Fällen zu Störungen mit weitreichenden Folgen führen, zum Beispiel bei der Aufrechterhaltung von Prozessen.
Deshalb ist es sinnvoll, eine Risikoanalyse mit Blick auf die Wahrscheinlichkeit eines Systemausfalls, auf die mögliche Dauer und auf den gegebenenfalls entstandenen Schaden durch fehlende IT Security durchzuführen. Aus den Ergebnissen können wirksame Gegenmaßnahmen abgeleitet und im Fall der Fälle ausgeführt werden.
Was sind „erweiterte“ Schutzziele?
Neben den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gibt es noch drei erweiterte Schutzziele. darunter versteht man die zwei Aspekte „Verbindlichkeit“ und „Zurechenbarkeit“, die sich gegenseitig ergänzen. Ersteres bedeutet sicherzustellen, dass ein Akteur seine Handlung nicht abstreiten kann, Letzteres, dass ihm seine Handlung sicher zugeordnet werden kann. Beides läuft auf die eindeutige Identifizierbarkeit von Akteuren hinaus, die Ausgabe eindeutiger Passwörter ist eine Mindestvoraussetzung dafür.
Als drittes erweitertes Schutzziel wird „Authentizität“ verstanden, also Echtheit. Eine einfache Frage dazu lautet: Ist die Information echt bzw. stammt sie tatsächlich von der angegebenen Quelle? Dieses Schutzziel ist wichtig, um die Vertrauenswürdigkeit des Ursprungs bewerten zu können.
ISO 27001:2022 – Controls im neuen Anhang A
Kostenfreies Whitepaper
Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Controls) im normativen Anhang A können Sie sicherstellen, dass Ihre Organisation optimal gegen moderne Bedrohungen geschützt ist.
Profitieren Sie von Know-how unserer Experten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Umsetzung zu beachten ist.
Schutzziele der Informationssicherheit – Fazit
Die drei wichtigsten Schutzziele der Informationssicherheit sind „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“.
Vertraulichkeit: Um sie gewährleisten zu können, müssen Sie klar festlegen, wer in welcher Art und Weise berechtigt ist, auf diese sensiblen Daten zuzugreifen. Dies ist an entsprechende Zugangsberechtigungen und den Einsatz zum Beispiel kryptographischer Techniken geknüpft.
Integrität bedeutet den Schutz vor unautorisierten Änderungen an und vor dem Löschen von Informationen, dazu die Verlässlichkeit und Vollständigkeit von Informationen. Für Ihr Unternehmen ist es deshalb wichtig, Vorkehrungen zu treffen, um Veränderungen an Daten schnell zu erkennen oder unerlaubte Manipulation von Grund auf zu verhindern.
Verfügbarkeit heißt, dass Informationen, Systeme und Gebäude für Befugte jederzeit zur Verfügung stehen müssen. Da beispielsweise Systemausfälle mit großen Risiken verbunden sind, sollte zu diesem Themenkomplex eine Risikoanalyse durchgeführt werden. Halten Sie hier die Ausfallwahrscheinlichkeit, die Ausfallzeit und das Schadenspotenzial der notwendigsten Systeme fest.
Verbindlichkeit, Zurechenbarkeit und Authentizität sind „erweiterte“ Schutzziele.
Unter Verbindlichkeit wird verstanden, dass sichergestellt ist, dass ein Akteur seine Handlungen nicht abstreiten kann. Zurechenbarkeit ergänzt dieses erweiterte Schutzziel durch die eindeutige Identifizierung eines solchen Akteurs. Authentizität stellt die Frage: Ist eine Information echt bzw. vertrauenswürdig?
Ausblick: NIS2 in der Schnittmenge zu ISO 27001
Am 27. Dezember 2022 wurde die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) im Amtsblatt der Europäischen Union veröffentlicht und trat am 16. Januar 2023 in Kraft. NIS2 bildet die regulatorische Grundlage für die Cybersicherheit und den Schutz von Informationssystemen in Unternehmen und Organisationen. Die NIS2-Richtlinie als EU-weite Rechtsvorschrift zur Erhöhung des allgemeinen Niveaus der Cybersicherheit muss bis Oktober 2024 in nationales Recht überführt sein.
Was ist zu erwarten? Der § 30 des NIS2UmsuCG-Gesetzesentwurfs liefert dazu Präzisierungen: Risikomanagement, technische und organisatorische Maßnahmen, Stand der Technik, Meldepflichten. Indirekte Auswirkungen auf die Lieferkette werden angesprochen. Mit dem NIS2UmsuCG werden spätestens drei Jahre nach Inkrafttreten des Gesetzes Nachweispflichten gegenüber dem BSI fällig. Cybersicherheit wird damit auch zum Compliance-Thema für jeden Geschäftsführer.
Unter allen NIS2-Experten besteht Konsens, dass ein ISMS eine hervorragende Ausgangsbasis darstellt, um sich auf NIS2 vorbereiten zu können. Unabhängig vom zu verabschiedenden Gesetz kann damit bereits jetzt der Grundstein für die zukünftige Rechtskonformität gelegt werden.
NIS2 in der Schnittmenge zu ISO 27001
Kostenfreie Webinaraufzeichnung
Ihre DQS – Das können Sie von uns erwarten
Informationssicherheit ist ein komplexes Thema, das weit über die IT-Sicherheit hinausgeht. Es umfasst technische, organisatorische und infrastrukturelle Aspekte. Für wirksame Schutzmaßnahmen in Form eines Informationssicherheits-Managementsystems (ISMS) eignet sich die internationale Norm DIN EN ISO/IEC 27001.
Die DQS ist Ihr Spezialist für Audits und Zertifizierungen von Managementsystemen und Prozessen. Mit der Erfahrung aus 35 Jahren und dem Know-how von weltweit 2.500 Auditoren sind wir Ihr kompetenter Zertifizierungspartner und liefern Antworten auf alle Fragen rund um ISO 27001 und Informationssicherheits-Managementsysteme.
Gerne beantworten wir Ihre Fragen
Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich. Unverbindlich und kostenfrei.
Vertrauen und Expertise
Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.
Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.
DQS Newsletter
André Säckel
Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.