IT-Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit

Wenn es um das Thema IT-Sicherheit geht, stößt man oft auf die sogenannten CIA-Schutzziele: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Für die Planung und Implementierung einer qualitativ hochwertigen Sicherheitspolitik ist es wichtig zu verstehen, was die CIA-Schutzziele sind.

Vertraulichkeit

Wenn wir von der Vertraulichkeit von Informationen sprechen, geht es um den Schutz der Daten vor der Weitergabe an Unberechtigte. In der heutigen Welt haben Informationen einen hohen Wert. Jeder hat Geheimnisse, die er lieber für sich behält oder von denen er zumindest nicht möchte, dass sie jeder erfährt – wir sprechen hier von persönlichen Informationen, wie z. B. Adresse, Sozialversicherungsnummern, Bankkontodaten, Kreditkartennummern und andere wichtige Informationen. Ihr Ziel ist es, den Schutz dieser wichtigen Dokumente zu gewährleisten, und zwar im Rahmen der Vertraulichkeit. Vertraulichkeit ist das erste Ziel der IT-Sicherheit. Sie schützt Unternehmensdaten während der Übertragung oder im Speicher vor nicht autorisiertem Zugriff. Die Vertraulichkeit stellt sicher, dass die Daten nur für berechtigte Personen zugänglich sind.

Hacker wissen, wie wichtig die persönlichen Daten eines jeden sind. Die Vertraulichkeit wird daher oft als wichtigstes Schutzziel angesehen.

Die Vertraulichkeit hat drei Schlüsselkonzepte: Autorisierung, Authentifizierung und Verschlüsselung.

Authentifizierung

Der Authentifizierungsprozess hilft, die Identität eines Benutzers zu beweisen. Durch die Authentifizierung wird bewiesen, dass ein Benutzer tatsächlich der ist, für den er sich ausgibt. Dieser Prozess stellt sicher, dass jeder autorisierte Benutzer seine eigenen Benutzer-IDs und Passwörter hat.

Autorisierung

Bei diesem Prozess werden Zugriffskontrollen eingerichtet, um sicherzustellen, dass Benutzeraktionen nur von den Personen durchgeführt werden, die die entsprechenden Berechtigungen haben. Sie können zwar authentifiziert worden sein, das bedeutet jedoch nicht, dass sie jede Aktion ausführen oder alle Daten sehen können. Sie können nur auf die Daten zugreifen und sie verändern, für die sie eine Berechtigung erhalten haben.

Verschlüsselung

Mit dieser Maßnahme wird die Vertraulichkeit sichergestellt. Sie schützt die Daten vor unbefugten Personen, egal ob im Speicher oder bei der Übertragung. Banken zum Beispiel verwenden HTTPS-Verbindungen, um alle Daten, die zwischen dem Kunden und der Bank übertragen werden, zu verschlüsseln. Vertrauliche Details wie Kontonummern können während der Übertragung nicht eingesehen werden.

Zur sicheren Übermittlung von Informationen über das Internet werden heute sogenannte Virtual-Private-Networks (VPN) eingesetzt. Bei einem VPN wird ein „verschlüsselter Kanal“ oder „Tunnel“ aufgebaut. Durch diesen werden die Informationen sicher übertragen. Hierzu benötigt man eine zentral-administrierbare VPN-Software, die es erlaubt, Informationen zu verschlüsseln und diese an eine Gegenstelle zu schicken

Integrität

Integrität bezieht sich auf die Vertrauenswürdigkeit von Ressourcen oder Daten; sie gewährleistet die Vollständigkeit und Vertrauenswürdigkeit von Daten; sie schützt die Systemdaten vor absichtlichen oder versehentlichen Änderungen. Die gespeicherten Daten müssen richtig und manipulationssicher gespeichert werden, und jede Änderung muss autorisiert und überwacht werden. Ein Beispiel ist der Abgleich von Batch-Transaktionen, um sicherzustellen, dass alle Informationen nicht nur vollständig, sondern auch korrekt verbucht wurden.

Integritätsmechanismen werden in zwei Klassen unterteilt: Prävention und Erkennung.

Prävention

Diese Maßnahmen zielen darauf ab, die Datenintegrität zu gewährleisten. Indem Handlungen und sogar Versuche, die Daten ohne entsprechende Berechtigung zu ändern, unterbunden werden.

Erkennung

Diese Schutzmechanismen verhindern keine Integritätsverletzungen. Sie überprüfen Systemereignisse, um Probleme festzustellen (z. B. manipulierte Daten).

Verfügbarkeit

Bei der Verfügbarkeit geht es darum, dass die Systeme insbesondere in Notfällen oder bei Katastrophen einwandfrei funktionieren.

Fällt der Server mit allen Kundendaten aus, kann das empfindliche Folgen haben: Zeitaufwand zur Wiederherstellung oder sogar der totale Verlust aller Daten sowie Ausfall des Arbeitswerkzeuges sind nur einige schmerzliche Nachwirkungen. Auch der Ausfall einer Festplatte und der dazugehörige Datenverlust kann schwerwiegende Folgen haben.

Verfügbarkeit ist ein wichtiger Faktor für den Computerbetrieb und kann unter Umständen sogar Leben retten. Unternehmen sollten immer Notfallpläne bereithalten, um sicherzustellen, dass ihre Systeme immer verfügbar bleiben.

IT-Schutzziele

Alle Anforderungen (Vertraulichkeit, Integrität, Verfügbarkeit) müssen erfüllt werden, um ein sicheres System zu gewährleisten.

Rene Hifinger
Rene Hifinger
Rene Hifinger verfügt über umfassende Erfahrungen in den Bereichen IT-Sicherheit und Programmierung. Er beherrscht zahlreiche Programmiersprachen. Die Fragen der Datensicherheit gehören zu seiner täglichen Arbeit.

Rene Hifinger hat an verschiedenen IT-Sicherheitsprojekten mitgewirkt, beispielsweise im Bereich des Malware-Schutzes. Unter anderem hat er einige Internet-FAQs und ein Sammelsurium an Berichten über Viren und Trojaner geschrieben.

Seit 15 Jahren berät er Firmen weltweit als IT-Sicherheitsexperte.