Cyberkriminalität verursacht jedes Jahr Schäden in Milliardenhöhe, Tendenz steigend. Faktoren wie standortunabhängiges Arbeiten, wachsende Datenmengen und rasante technologische Entwicklungen begünstigen den Trend.

Um den Schutz der Informationswerte eines Unternehmens vor kriminellen Angriffen, fehlerhaften Systemen und menschlichem Versagen kümmert sich die Informationssicherheit.

Dazu orientiert sich Informationssicherheit an dem Schutz von Informationen nach mindestens drei Schutzzielen: Vertraulichkeit, Verfügbarkeit und Integrität. Was genau das bedeutet und welche Schutzmaßnahmen sich welchem Ziel zuordnen lassen, erfahren Sie hier.

Woher kommen die drei Schutzziele?

In der Informationssicherheit gibt es – anders als im Datenschutz – für die meisten Unternehmen keinen vorgegebenen rechtlichen Rahmen. Das bedeutet, dass Unternehmen ihre Ziele und die zugehörigen Maßnahmen entsprechend dem eigenen Risikoappetit festlegen können. Wer hat also die drei Schutzziele als solche definiert?

Die Schutzziele wurden als solche vom Bundesamt in der Informationstechnik (BSI) festleget. Angelehnt sind sie an die Anforderungen der ISO 27001 – die internationale Norm zum Aufbau eines Informationssicherheits-Managementsystems. Im IT-Grundschutz-Kompendium des BSI heißt es:

„Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein.“

Viele Unternehmen sehen Verbindlichkeit, Zurechenbarkeit und Authentizität als erweiterte Schutzziele an und fügen ggf. noch weitere, selbst definierte Schutzziele hinzu. 

Was bedeuten die Schutzziele der Informationssicherheit?

Vertraulichkeit

Die Vertraulichkeit stellt sicher, dass nur jeweils befugte Personen Zugang zu den entsprechenden Daten haben. Wichtig in diesem Zusammenhang ist die Rechtevergabe. Stellen Sie sicher, was individuelle Nutzer tun dürfen, vor allem aber was sie nicht tun dürfen. Die Vertraulichkeit umfasst nicht nur die Speicherung physischer und digitaler Daten, sondern auch die Wege der Datenübertragung. So muss beispielsweise der E-Mail-Verkehr zum Schutz der Vertraulichkeit verschlüsselt werden.

Maßnahmen, die der Vertraulichkeit von Informationen dienen, umfassen:

  • Verschlüsselung von Daten
  • Zugangssteuerung
  • Physische Sicherheit und Umgebungssicherheit
  • Betriebssicherheit
  • Kommunikationssicherheit

Integrität

,Die Integrität von Information bedeutet, dass ungewünschte, nicht nachvollziehbare Änderungen unmöglich gemacht werden. Wenn Änderungen möglich sind, muss nachvollziehbar sein wer sie wann gemacht hat. In gewisser Weise spielt auch hier die Vertraulichkeit mit hinein – also der Schutz vor unbefugtem Zugriff. Doch Integrität meint vor allem den Schutz vor unbemerkten Veränderungen. Oft passiert dieser weniger durch Menschen und mehr durch fehlerhafte Systeme und Prozesse.

Zu Maßnahmen, die der Integrität von Informationen dienen, gehören:

  • Zugangssteuerung
  • Management der Werte
  • Anschaffung, Entwicklung und Instandhalten von Systemen 

Verfügbarkeit

Was nutzen vertraulich behandelte, integre Daten, wenn Nutzer nicht in dem Moment an sie herankommen, in dem sie benötigt werden? Beim Schutzziel der Verfügbarkeit geht es darum, die technologische Infrastruktur aufzubauen, die Daten und Informationen verfügbar machen. Oder deutlicher ausgedrückt: Systemausfälle zu verhindern. Gehen Daten doch einmal verloren, ist es ebenfalls Aufgabe der Informationssicherheit, den Betriebszustand so schnell wie möglich wieder herzustellen – zum Beispiel durch Backups.

Zu Maßnahmen, die der Verfügbarkeit von Informationen dienen, gehören:

  • Risikoanalyse
  • Anschaffung, Entwicklung und Instandhalten von Systemen
  • Management von Informationssicherheitsvorfällen
  • Betriebliches Kontinuitätsmanagement 

Schutzziele der Informationssicherheit

Neben den drei wichtigsten Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität, die jedes Unternehmen betreffen, gibt es noch sogenannte erweiterte Schutzziele. Diese haben viele Unternehmen für sich zu den drei bereits beschriebenen Schutzzielen hinzugefügt:

  • Authentizität
  • Verbindlichkeit
  • Zurechenbarkeit

Authentizität steht für die Echtheit von Informationen, die sich anhand seiner Eigenschaften überprüfen lassen muss.

Verbindlichkeit und Zurechenbarkeit hängen eng miteinander zusammen. Verbindlichkeit definiert, dass ein Akteur seine Handlungen nicht abstreiten kann. Dafür muss ihm die Handlung zweifelsfrei zugeordnet werden können. Diese wird über die Zurechenbarkeit geregelt. Ein Beispiel sind eindeutige Zugangsberechtigungen für jeden Mitarbeiter. Somit kann nachvollzogen werden, wer wann welche Eingaben getätigt hat.

Wie lassen sich die Schutzziele mit einem ISMS umsetzen?

Ihr Unternehmen ist nicht das erste und nicht das letzte, das sich mit den Schutzzielen im Speziellen und Informationssicherheit im Allgemeinen beschäftigt. Glücklicherweise gibt es längst ausgereifte Best Practices und Vorlagen für die Informationssicherheit in Unternehmen. Die bekannteste und bedeutendste ist die internationale Norm ISO 27001. Ein zentrales Element der ISO 27001 ist die Entwicklung eines Informationssicherheits-Managementsystems (ISMS).

Ein ISMS legt die Herangehensweise Ihrer Organisation in Bezug auf Informationssicherheit dar – inklusive der Umsetzung von Schutzzielen. So schützen Sie Ihr Unternehmen vor Sicherheitsverletzungen und minimieren die Auswirkungen von Störungen.

Dataguard unterstützt Sie bei der Einführung eines auf Ihre Geschäftsprozesse maßgeschneiderten ISMS. Sprechen Sie uns an.

Mehr zum Thema ISMS und ISO 27001 finden Sie außerdem hier:

Wie werden die Schutzziele gemessen?

Es ist essenziell, Datensicherheit nicht nur theoretisch zu ermöglichen, sondern auch Praktikabilität und Wirkung nachzuweisen und zu überwachen. So muss jedes ISMS durch vorher definierte KPIs messbar sein. Denn nur so sind Sie in der Lage, Schwachstellen zu erkennen und zu beseitigen. Hierbei wird zwischen der strategischen und der operativen Ebene unterschieden.

Bei der strategischen Ebene geht es primär um die Frage, ob das ISMS Schwachstellen erkennt sowie die beständige Weiterentwicklung. Dies macht es schwierig, eine konkrete Messbarkeit zu definieren. Auf der operativen Ebene fällt dies deutlich leichter. Ein KPI könnte eine vorher festgelegte Anzahl an Mitarbeitern sein, die in einem festgelegten Zeitraum geschult werden. Ein anderes die rechtzeitige Installation von Patches. In der Automobilbranche gibt es mit der TISAX®-Zertifizierung einen 41 Maßnahmen umfassenden Fragenkatalog, der sich gut für die KPI-Definition eignet.

Was passiert, wenn eines der Schutzziele verletzt wird?

Wird eines dieser Ziele verletzt, besteht die Gefahr eines großen Schadens. 90% der Ransomware-Attacken gelingen, weil Patches nicht rechtzeitig installiert oder Mitarbeiter nicht ausreichend geschult wurden. Awareness und Patch Management sind demnach die kritischsten Faktoren im IT-Sicherheitskatalog eines Unternehmens. Werden Daten abgefangen und gar verkauft, kommen zum unmittelbaren Schaden unter Umständen noch Strafen wegen eines DSGVO-Verstoßes hinzu. Doch der materielle Schaden ist nicht alles. Viel größer kann der immaterielle Schaden aufgrund des Vertrauensverlusts in die Unternehmenssicherheit sein.

Fazit

Wenn Daten verloren gehen, nicht abrufbar sind oder in falsche Hände geraten, müssen Unternehmen mit finanziellen Schäden, Imageverlusten und ggf. rechtlichen Konsequenzen rechnen. Mit der Datenmenge und dem technischen Fortschritt steigen auch die Anforderungen an deren Schutz.

In der Informationssicherheit geht es darum, die Daten und Unternehmenswerte bestmöglich zu schützen – damit es weder zu ungewollten, selbst verschuldeten Störfällen noch zu erfolgreichen Hackerangriffen von außen kommen kann. Für einen umfassenden Überblick über das Thema Informationssicherheit werfen Sie einen Blick in unseren Guide für Anfänger! 

Informationssicherheit für Anfänger

 

 

Über den Autor

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile auf einen Blick

  • Datenschutz, Informationssicherheit und Compliance aus einer Hand
  • Individuelle Beratung durch qualifizierte Experten – ganz ohne Fachjargon
  • Zeitsparende Technologie zur Automatisierung repetitiver Aufgaben
  • Faire und transparente Preise für optimale Planbarkeit und Budgetierung

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000