MENU Schließen
Schließen

Vertraulichkeit, Integrität, Verfügbarkeit – Einfach erklärt!

Informationen stellen kostbare Vermögenswerte eines jeden Unternehmens dar. In ihnen schlummern bedeutende wirtschaftliche Werte und sie beherbergen das Fundament für unzählige Unternehmensexistenzen.

Die Big 3 der Informationssicherheit, auch als Schutzziele bekannt, bilden die Kernpunkte zum Schutz Ihrer Informationen. Was genau hinter den Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit steckt und durch welche Bedrohungen diese Schutzziele verletzt werden können, erfahren Sie im Folgenden.

Vertraulichkeit in der Systemsicherheit

Ein System liefert Vertraulichkeit, wenn niemand unautorisiert Informationen gewinnen kann.

Schutzziele der Informationssicherheit : Vertraulichkeit

Bedrohungen der Vertraulichkeit

Eine typische Bedrohung für die Vertraulichkeit von Daten ist zum Beispiel, wenn der Arbeitsplatz akustisch oder visuell nicht richtig abgesichert ist und Unbefugte so einfach an Informationen gelangen können. Bestimmt haben Sie es auch schon mal erlebt, dass Sie in der Bahn jemandem ohne Probleme auf den Bildschirm und damit vielleicht auch auf die Präsentation für die nächste Vorstandssitzung schauen konnten. Auch über den Büroflur bekommt man z.B. oft unabsichtlich sensible Informationen mit.

Manchmal sind solche „Vertraulichkeits-Lecks“ auch besonders perfide, weil man sich ihrer gar nicht bewusst ist. Moderne Drucker speichern z.B. oft automatisch Daten auf der eingebauten Festplatte ab. Die ARD kaufte für einen Test gebrauchte Multifunktionsdrucker auf ebay und las mit einer kostenlosen Software die Festplatten aus. Es fanden sich Scheidungsunterlagen, Lohnsteuerkarten, polizeiliche Zeugenvernehmungen, etc. Einer der Drucker befand sich wohl in einer Anwaltskanzlei, die sich nicht bewusst war, dass die gescannten Dokumente gespeichert wurden. In diesem Fall ist das sogar nicht nur aus datenschutztechnischen Gründen relevant, sondern auch ein Verstoß gegen §203 Strafgesetzbuch, nach dem fremde Geheimnisse, die persönliche Lebensbereiche oder Betriebs- oder Geschäftsgeheimnisse betreffen, nicht weitergegeben werden dürfen.

So oft Sie können, sollten Sie daher Gebrauch von Verschlüsselung machen. Ein ungeschütztes WLAN oder unverschlüsselte E-Mails sind potentielle Sicherheitsrisiken. Auch für den Fall, dass ein Dienst-Smartphone, Laptop oder USB-Stick verloren gehen sollte, steht es um die Vertraulichkeit der Daten wesentlich besser, wenn das Gerät verschlüsselt war.

Auch wenn die Anwaltskanzlei aus dem ARD Versuch mit einem blauen Auge davon kam. Können Vorfälle wie dieser unter reellen Bedingungen einen starken Imageverlust nach sich ziehen.
Damit es erst gar nicht zu unbekannten Einfallstoren kommen kann, empfiehlt es sich immer alle Bestandteile seiner IT-Umgebung zu inventarisieren. Dank IT-Inventarisierung können somit jederzeit alle Geräte erfasst werden und die Auflistung aktuell aufbereitet werden.

Integrität der Systemsicherheit

Ein System gewährleistet die Integrität, wenn es nicht möglich ist, zu schützende Daten unautorisiert und unbemerkt zu verändern.

Schutzziele der Informationssicherheit : Integrität

Bedrohungen der Integrität

Ein Beispiel für den aktiven Angriff auf die Integrität von Daten wäre die sogenannte SQL-Injection. Bei dieser Attacke nutzt ein Angreifer die mangelnde Überprüfung von Nutzereingaben aus, um eigene Befehle in eine SQL-Datenbank einzuschleusen. So kann der Angreifer die Daten in der Datenbank manipulieren oder unter Umständen sogar die gesamte Datenbank löschen. Wenn Sie mehr über SQL-Injection wissen möchten, werden Sie auf unserem Blog fündig.

Die Integrität von Daten kann aber nicht nur durch Angriffe, sondern auch unabsichtlich verletzt werden. Z.B. dann, wenn Soft- oder Hardware fehlerhaft arbeiten und dadurch falsche Informationen gespeichert oder weitergegeben werden.

Auch um die Datenintegrität zu gewährleisten gilt wieder, immer Verschlüsselung zu verwenden, wenn es möglich ist. Wichtige Kundenkommunikation sollte am besten auf dem Postweg, persönlich oder verschlüsselt erfolgen, damit Daten auf wichtigen Verträgen nicht einfach unbemerkt von Dritten geändert werden können.

Um derartigen Sicherheitslecks vorzubeugen, lohnt es sich immer auf einen Penetrationstest zurück zu greifen. Dieser hilft Ihnen Schwachstellen und mögliche Einfallstore frühzeitig zu erkennen und gibt Ihren IT-Security Spezialisten darüber hinaus die Chance ihre Arbeit auf Erfolg zu prüfen.

Authentizität als Ergänzung der Integrität

Ein Objekt oder ein Benutzer ist authentisch, wenn dessen Echtheit und Glaubwürdigkeit anhand einer eindeutigen Identität/charakteristischen Eigenschaften überprüfbar ist (z.B. Nutzername & Passwort, Fingerabdruck). Die Prüfung der Authentizität wird als Authentifikation bezeichnet.

Bedrohungen der Authenzität

Einen Angriff auf die Authentizität stellt z.B. die Erzeugung von Nachrichten unter einer falschen Identität dar. Beispielsweise das Bestellen von Waren im Internet unter einem falschen Namen. Wichtig ist, dass Unternehmen Kriminellen diesen Vorgang nicht auch noch erleichtern, z.B. dadurch, dass Passwörter unsicher gewählt werden.
Die aktuellen Top 10 der deutschen Passwörter sind laut dem Hasso-Plattner-Institut übrigens:

  1. 123456
  2. 123456789
  3. 1234
  4. 12345
  5. 12345678
  6. hallo
  7. passwort
  8. 1234567
  9. 111111
  10. hallo123

Solche Passwörter tragen natürlich nicht gerade zur Sicherung der Authentizität bei. Abhilfe kann hier z.B. ein Passwortmanager schaffen, also ein Programm zur sicheren Speicherung von Passwörtern. Auch wenn es möglich ist, sich in bestimmten Bereichen ohne Passwort anzumelden oder das Standardpasswort für den Serverzugang nie geändert wurde, stellt dies eine Bedrohung für die Authentizität dar.

Fest zur Authentizität gehört auch die Verbindlichkeit: „Verbindlichkeit einer Aktion wird gewährleistet, wenn ein Subjekt diese im Nachhinein nicht abstreiten kann.“ Im Bereich Verbindlichkeit kann man z.B. viel mit der Erstellung von sogenannten Logdateien erreichen. Das sind automatisch geführte Protokolle über Computeraktivitäten. Diese Logdateien können dann im Idealfall bei einem Sicherheitsvorkommnis dazu verwendet werden, aufzuklären, welcher Mitarbeiter wann Zugriff auf welche Kundendaten hatte und was er damit gemacht hat. Auch digitale Signaturen können helfen die Verbindlichkeit herzustellen. Sie funktionieren wie eine digitale Unterschrift, so dass man sicher sein kann, dass die Nachricht auch wirklich vom Unterzeichner kommt.

Verfügbarkeit von Systemen

Ein System gewährt Verfügbarkeit, wenn authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.

Schutzziele der Informationssicherheit : Verfügbarkeit

Bedrohung der Verfügbarkeit

Einen Angriff auf die Verfügbarkeit stellt z.B. ein Serverausfall dar. Aber auch elementare Gefährdungen müssen hier betrachtet werden. Wenn der Serverraum abgebrannt ist, dann steht der entsprechende Dienst wahrscheinlich auch nicht mehr zur Verfügung. Generell gilt es für Sie Ihre IT möglichst ausfallsicher zu gestalten. Helfen kann Ihnen hierbei ein effektives IT-Monitoring. Mit diesem erreicht Ihre Arbeit ein proaktives Level und hilft Ihnen Anomalien frühzeitig zu detektieren.

Für die Gewährleistung der Verfügbarkeit ist es besonders wichtig ein gutes Krisenmanagement zu haben. Wer ist im Notfall zuständig und wie ist derjenige erreichbar? Unumgänglich ist auch eine Back-Up Strategie, bei der nicht nur regelmäßig Back-Ups erstellt werden, sondern auch tatsächlich das Wiedereinspielen dieser Back-Ups geprobt wird. In der Praxis stellt nämlich gerade Letzteres eine größere Herausforderung dar, als man denkt.

Alle oben genannten Schutzziele dürfen aber selbstverständlich nicht komplett isoliert betrachtet werden. Sie greifen ineinander und bedingen sich gegenseitig. Das ganzheitliche Konzept von Enginsight kann Sie bei der Realisierung dieser Schutzziele daher bestens unterstützen.

Zusammenfassung: Vertraulichkeit, Integrität, Verfügbarkeit in der IT

Vertraulichkeit, Integrität und Verfügbarkeit sind die Kernpunkte des Schutzes von Informationen. Vertraulichkeit bedeutet, dass niemand unautorisiert Zugang zu Informationen hat. Bedrohungen der Vertraulichkeit sind ungeschützte Arbeitsplätze und unverschlüsselte Datenübertragungen. Integrität bedeutet, dass Informationen unverändert bleiben. Bedrohungen der Integrität sind Viren und Trojaner. Verfügbarkeit bedeutet, dass Informationen zu jeder Zeit zugänglich sind. Bedrohungen der Verfügbarkeit sind DDoS-Angriffe und Ausfälle von Hardware oder Software.

Wie Sie die einzelnen Schutzziele mit unserer Software umsetzen, zeigen wir Ihnen gern in einem persönlichen Beratungstermin. Kommen Sie gern auf uns zu!

Weiterführendes Wissen:
Information Security Management System (ISMS) – zur dauerhaften Steigerung der Informationssicherheit

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes