Unter der Lupe: Schutzziele der Informationssicherheit

Schutzziele sind die Ziele, die wir gegenüber unseren Unternehmenswerten aufrechterhalten wollen. Ist ein Schutzziel verletzt, kann die Informationssicherheit des Wertes nicht mehr gewährleistet werden.
Die Bewertung eines Schutzzieles sagt aus, welches Sicherheitsniveau für einen Wert im Minimum erreicht werden muss. Je höher die Wichtigkeit eines Schutzzieles für einen Wert ist, umso höher muss das Sicherheitsniveau für diesen Wert im Minimum sein. Die Bewertung der Schutzziele stellt den angestrebten Endzustand dar, lassen den Weg zum Ziel jedoch weitestgehend offen. Demnach sind unterschiedliche Maßnahmen bzgl. einer Gefahrenkategorie wählbar.

>> In der ISO nennt man es Schutzziele, im IT-Grundschutz des BSI spricht man von Grundwerten.

Was sind die 3 primären Schutzziele der Informationssicherheit?

  1. Vertraulichkeit: Vertraulichkeit bedeutet, dass sämtliche Informationen ausschließlich von autorisierten/befugten Personen zur Kenntnis genommen werden können.
    Beispiel:
    Unbefugtes Eindringen von Hackern in IT-Systeme und die damit mögliche Einsichtnahme von Informationen gefährdet ein gesamtes Unternehmen.
  2. Verfügbarkeit: Bei der Verfügbarkeit geht es darum, dass Informationen, Daten, Systeme oder Services immer dann zur Verfügung stehen, wenn sie gebraucht werden. Verzögerungen sind nur in akzeptablem Umfang zulässig.
    Beispiel:
    Der Ausfall eines Gerätes oder Systems in einem Unternehmen gefährdet direkt die gesamte Wertschöpfungskette. Aus diesem Grund sollten Maßnahmen gegen den Ausfall getroffen werden.
  3. Integrität: Integrität bedeutet, dass Informationen nicht unautorisiert und/oder unbemerkt verändert und/oder manipuliert werden. Die Informationen müssen richtig sein.
    Beispiel:
    Schadsoftware, die auf Unternehmens-Servern eingespielt wird, kann wichtige Daten manipulieren und so das gesamte Unternehmen gefährden.
>> Werden alle Ziele erreicht, sind die Unternehmenswerte bestmöglich gegen Angriffe, Manipulation, Missbrauch, Verlust, Preisgabe, Zerstörung und unbefugte Zugriffe geschützt!

 
Welche 4 Schutzziele sind für KRITIS-Unternehmen verpflichtend?

KRITIS steht für „Kritische Infrastrukturen“.

Unter die Kategorie „KRITIS-Unternehmen“ fallen Organisationen und Einrichtungen mit wichtiger Bedeutung für das Gemeinwesen. Jegliche Art von Beeinträchtigung der Infrastruktur dieser Unternehmen kann Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit zur Folge haben. Ein gutes Beispiel für ein KRITIS-Unternehmen sind Krankenhäuser.
Für KRITIS-Unternehmen ist, zu den 3 genannten Schutzzielen, noch folgendes Schutzziel verpflichtend:

  • Authentizität: Authentizität bedeutet, dass Daten bezüglich ihrer Echtheit überprüft werden.
    Beispiel: Die Absenderangaben von E-Mails können manipuliert werden. Hier ist es wichtig genau überprüfen zu können, ob es sich nicht um einen Manipulationsversuch handelt oder der Absender authentisch ist.

Sie gehören zu einem KRITIS-Unternehmen oder benötigen generell Unterstützung zum Thema Informationssicherheit? Dann melden Sie sich bei uns – wir unterstützen Sie gerne!