Schutzziele der Informationssicherheit

In allen Unternehmen werden täglich neue Informationen gesammelt und mit vorhandenen Informationen gearbeitet. Dabei können die Informationen in verschiedenen Formen vorliegen und in unterschiedlichen Systemen gespeichert werden.

Die Systeme können technisch als auch nicht-technisch sein. Doch wie schützt man solche Informationen am besten?

Drei Schutzziele der Informationssicherheit

Informationen sind heutzutage wichtiger denn je und gehören mit zu den wertvollsten Vermögenswerten eines Unternehmens. Informationen wie beispielsweise die Marketingstrategie eines Unternehmens oder der Kundenbestand entscheiden über den Erfolg eines Unternehmens und sind dementsprechend besonders schützenswert. Doch die Informationssicherheit erstreckt sich nicht nur auf solche Informationen, die für den Erfolg des Unternehmens von Bedeutung sind, sondern auch auf jegliche Informationen zu personenbezogenen Daten. Diese unterliegen dem Datenschutz und müssen deshalb schon aufgrund des Gesetzes geschützt werden. Die Informationssicherheit setzt sich deshalb aus drei verschiedenen Schutzzielen zusammen: Die Vertraulichkeit, die Integrität und die Verfügbarkeit. Durch diese Schutzziele kann festgestellt werden, wie weit die Systeme eines Unternehmens die Informationssicherheit erreicht haben. Werden die Schutzziele erfüllt, ist das System eines Unternehmens gegen unbefugte Einwirkungen und Angriffe geschützt und wirkt diesen entgegen.

Informationssicherheit: Vertraulichkeit

Das erste Schutzziel der Informationssicherheit ist die Vertraulichkeit. In der Informationssicherheit bedeutet der Begriff „Vertraulichkeit“, dass Daten nur von solchen Personen eingesehen, bearbeitet und verwaltet werden dürfen, die auch dazu befugt sind. Durch die Vertraulichkeit wird somit der Zugang zu Informationen geschützt. Um die Vertraulichkeit von Daten gewährleisten zu können und den Zugriff von nicht berechtigten Personen zu verhindern, muss eine organisierte Struktur im Unternehmen bestehen. Es muss festgelegt werden, welche Personen des Unternehmens Zugriff auf bestimmte Daten haben und inwiefern dieser Zugriff besteht. Ein alltägliches Beispiel hierfür ist der E-Mail Verkehr eines Unternehmens. Heutzutage arbeitet so gut wie jedes Unternehmen mit E-Mails. Tag täglich werden unzählige E-Mails versendet und empfangen. Die meisten dieser E-Mails beinhalten vertrauliche Informationen. Doch wie kann man gewährleisten, dass diese Daten nur von berechtigten Personen eingesehen werden? Im vorliegenden Fall muss der E-Mail Verkehr eines Unternehmens unbedingt geeignet verschlüsselt werden. Eine Verschlüsselung sorgt dafür, dass bei Übertragung der E-Mails unbefugte Personen keinen Zugriff auf diese erhalten. Somit würde durch eine Verschlüsslung die Vertraulichkeit der Informationen gewährleistet werden.

Informationssicherheit: Integrität

Das zweite Schutzziel der Informationssicherheit ist die Integrität. Der Begriff „Integrität“ bedeutet, dass die unerkannte Veränderung von Daten nicht möglich sein soll. Im Gegensatz zu der Vertraulichkeit, die sich mit der Berechtigung der Datenänderung beschäftigt, soll bei der Integrität eine die Korrektheit der Daten sowie eine korrekte Funktionsweise des Systems bestehen. Somit liegt der Fokus der Integrität auf der Nachvollziehbarkeit von Datenänderungen. Die Integrität setzt sich somit aus Datenintegrität und Systemintegrität zusammen. Dabei wird in der Praxis zwischen einer starken Integrität und einer schwachen Integrität unterschieden. Von einer starken Integrität ist die Rede, wenn das System und die Funktionen keine Möglichkeit zur unbemerkten oder unerkannten Datenveränderung bieten. Eine schwache Integrität liegt vor, wenn eine generelle Möglichkeit der Datenveränderung besteht, diese Datenveränderung jedoch keinesfalls unerkannt erfolgen kann. Dieser Fall ist in der Praxis leider kaum zu vermeiden: In vielen Unternehmen ist eine Manipulation der Daten nicht zu verhindern. Für diese Fälle soll jedoch die Möglichkeit bestehen, dass eine Datenveränderung zumindest nicht unerkannt bleibt. Eine Manipulation der Daten kann durch das Abändern, Löschen oder Einfügen von Daten erfolgen. Die Konsequenz einer solchen Manipulation wäre beispielsweise die Entstehung eines verfälschten Produktes. Für viele Unternehmen könnte diese Konsequenz existenzbedrohend sein.

Informationssicherheit: Verfügbarkeit

Als letztes Schutzziel der Informationssicherheit gilt die Verfügbarkeit. Der Begriff „Verfügbarkeit“ steht für die Zeit, in der das System funktioniert. Das bedeutet, dass das System jederzeit verfügbar sein muss und für befugte Personen zugänglich sein sollte. Um das Schutzziel zu erfüllen, sollte die Verfügbarkeit möglichst hoch gehalten werden. Als klassisches Beispiel gilt der berühmte Systemausfall im Unternehmen. Durch einen Systemausfall werden nicht nur die Abläufe eines Unternehmens beeinträchtigt, sondern auch der Zugriff auf bestehende Datenbestände. Ein Unternehmen sollte sich deshalb vor Systemausfällen und Angriffen schützen. Man muss sich einen Überblick über die Datenbestände verschaffen und abwägen, welche Systeme und Daten notwendig sind, damit der Ablauf eines Unternehmens funktioniert und garantiert werden kann. Die Durchführung einer Risikoanalyse kann hier von Vorteil sein, damit Schäden abgewogen werden können. Die Intensität der Schäden ist von Unternehmen zu Unternehmen unterschiedlich. In einigen Unternehmen ist es gravierend, wenn der E-Mail-Verkehr für einen Tag nicht funktioniert. In anderen Unternehmen hingegen ist es gravierender, wenn das Internet nicht funktioniert.

KPI Informationssicherheitsziele

  • Vertraulichkeit von Informationen
  • Daten dürfen nur von befugten Personen eingesehen werden
  • Integrität von Informationen
  • Datenveränderungen müssen nachvollziehbar sein
  • Keine unbefugten oder unerkannten Veränderungen
  • Verfügbarkeit von Informationen
  • Das System muss jederzeit zugänglich sein
  • Handlungen sollten eindeutig demjenigen zugeordnet werden können, der sie ausgeführt hat
  • Nachvollziehbarkeit aller Prozesse