Grundwerte der Informationssicherheit

Die CIA-Triade: Das Fundament der Sicherheit

Die Informationssicherheit ruht auf drei zentralen Säulen, die zusammen die sogenannte CIA-Triade bilden. Diese Abkürzung steht für die englischen Begriffe Confidentiality, Integrity und Availability. Wie du bereits aus der Analyse der Bedrohungslandschaft weißt, zielen Angriffsvektoren oft genau auf diese Schwachstellen ab. Jede IT-Sicherheitsstrategie hat das Ziel, diese drei grundlegenden Schutzziele in Einklang zu bringen, um IT-Systeme und Daten ganzheitlich zu schützen. Fehlt auch nur einer dieser Werte, gilt ein System als nicht sicher.

Vertraulichkeit (Confidentiality): Schutz vor unbefugtem Zugriff

Vertraulichkeit stellt sicher, dass Informationen ausschließlich für autorisierte Personen zugänglich sind und vor unbefugter Offenlegung geschützt werden. Stell dir vor, du arbeitest in einem Krankenhaus: Der Zugriff auf hochsensible Patient:innendaten darf nur dem behandelnden medizinischen Fachpersonal gestattet sein. Weder externe Personen noch unbeteiligte Mitarbeitende dürfen diese Akten einsehen. Um diese Vertraulichkeit technisch durchzusetzen und die strengen Vorgaben der DSGVO zu erfüllen, werden Maßnahmen wie strenge Zugriffskontrollen (z. B. Multi-Faktor-Authentifizierung) und starke Verschlüsselungsverfahren (wie die dir bereits bekannten asymmetrischen oder hybriden Verfahren) eingesetzt.

Integrität (Integrity): Schutz vor unbemerktem Verändern

Integrität bedeutet, dass Daten über ihren gesamten Lebenszyklus hinweg vollständig, korrekt und unverändert bleiben. Manipulationen durch unbefugte Akteur:innen müssen zwingend verhindert oder zumindest sofort vom System erkannt werden. Ein klassisches Beispiel ist der Finanzsektor: Wenn du online eine Überweisung tätigst, muss die Manipulation von Bankdaten technisch ausgeschlossen sein. Aus einem Überweisungsbetrag von 50 Euro darf nicht unbemerkt auf dem Weg zur Bank 500 Euro werden, und auch die Ziel-IBAN darf sich nicht verändern. Um diese Unveränderlichkeit zu garantieren, nutzen IT-Systeme kryptografische Prüfsummen (Hashes) oder digitale Signaturen.

Verfügbarkeit (Availability): Zugriff, wenn er benötigt wird

Verfügbarkeit garantiert, dass autorisierte Nutzer:innen jederzeit auf Informationen und IT-Systeme zugreifen können, wenn sie diese benötigen. Die besten Verschlüsselungen nützen nichts, wenn das System im entscheidenden Moment ausfällt. Ein anschauliches Beispiel ist ein Online-Shop: Dieser muss für Kund:innen rund um die Uhr erreichbar sein. Fällt der Server am Black Friday aufgrund einer Überlastung oder eines technischen Defekts aus, können keine Käufe getätigt werden. Das führt zu massiven finanziellen Verlusten und Reputationsschäden. Um eine hohe Verfügbarkeit sicherzustellen, setzen Unternehmen auf redundante Systeme (z. B. Backup-Server, die bei einem Ausfall sofort einspringen) und Notstromaggregate.