Die Informationssicherheit dient dem Schutz vor Gefahren, Bedrohungen und die damit verbundenen Schäden. Die sogenannten Schutzziele umfassen mehrere Bereiche. Bei der Informationssicherheit werden Zustände von Systemen sowie Informationen und mit dem Erreichen verschiedener Schutzziele beschrieben. Der Grad der Verletzung eines Schutzziels gibt an, in welcher Art und Weise Daten abgefangen, manipuliert und/oder blockiert wurden.
Um die Art eines Angriffs besser benennen zu können, werden die Schutzziele in unterschiedliche Kategorien unterteilt. Der IT-Grundschutz betrachtet in der ISO/IEC 27001 die Grundwerte der Informationssicherheit:
- Vertraulichkeit
- Verfügbarkeit
- Integrität
Schutzziel 1: Vertraulichkeit (engl. confidentiality)
Im Grundschutz der BSI bedeutet dies den Schutz vor Verrat von Informationen oder vertraulichen Daten. Darunter versteht man z.B. Marketing-Kennzahlen, Umsatzzahlen, Ergebnisse von Produktion, Produkten und Forschungen, Verkaufszahlen etc. – Daten, die auch für den Wettbewerber interessant sind. Vertrauliche Informationen dürfen nur Berechtigten zugänglich gemacht werden. Dies erfordert in datensicheren Systemen die Festlegung von Berechtigungen und Kontrollen der Art, dass sichergestellt ist, dass andere nicht unautorisiert Wissen von Informationen erlangen.
Schutzziel 2: Verfügbarkeit (engl. availability)
Dieses Schutzziel besteht dann, wenn IT-Systeme, IT-Anwendungen, IT-Netzwerke oder elektronische Informationen einem Benutzer (z.B.: Mitarbeiter oder Kunde) zur Verfügung stehen. Die Verfügbarkeit gibt an, welche Leistung ein IT-System zu einem bestimmten Zeitpunkt erbringen muss. Ist die Verfügbarkeit eingeschränkt, z.B. wenn Daten oder Informationen wie Rechnungen, Kundendaten, Marketingdaten u.v.m. nicht vom Rechner abgerufen werden können, macht sich dies schnell bemerkbar. Die Arbeiten in Unternehmen können nicht fortgesetzt werden und somit ist die Informationssicherheit unmittelbar betroffen. Einem Unternehmen können dadurch ernsthafte Schäden entstehen.
Schutzziel 3: Integrität (engl. integrity)
Das Schutzziel Integrität bedeutet das ausnahmslose Funktionieren von IT-Systemen sowie die Vollständigkeit und Richtigkeit von Daten und Informationen. In Bezug auf die IT-Sicherheit bedeutet Integrität das Verhindern von nicht genehmigten Veränderungen an wichtigen Informationen. Dazu zählen alle Veränderungen in betrügerischer Absicht (z.B.: das Einfügen oder Löschen von Zeichen, das Verändern einer Anordnung von Daten oder Dateien, die Verdopplung von Informationen). Auch durch gefälschte Daten können Fehler im Unternehmen auftreten, die schnell zu größeren Schäden führen können.
Weitere Schutzziele, die nach ISO/IEC 27000 ebenfalls Teil der Informationssicherheit sein können, sind u.a.:
- Authentizität
- Verbindlichkeit
- Zurechenbarkeit
Dazu mehr im folgenden Teil II.
Sie haben Fragen zum Thema?
Sie können uns jederzeit gern anschreiben oder telefonisch kontaktieren.