Schutzziele der Informationssicherheit

Eric Weis, IT Sicherheitsexperte, BRANDMAUER IT GmbH

Sicher haben Sie schon von den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit gehört. Diese Schutzziele geben Aufschluss darüber, wie weit ein System Informationssicherheit erreicht hat. Indem Ihre Systeme und damit auch Ihre Daten diese Schutzziele erfüllen, sind sie gegen Angriffe und Einwirkung geschützt. Weiterhin gibt es neben Vertraulichkeit, Integrität und Verfügbarkeit noch die Schutzziele Authentizität, Zurechenbarkeit und Verbindlichkeit, die bei erweiterter Betrachtung relevant sein können.

 

Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit

1. Vertraulichkeit:

Unter Vertraulichkeit versteht man, dass Daten nur von den Personen eingesehen werden dürfen, die dazu auch berechtigt sind. Will man Daten vertraulich behandeln, muss klar festgelegt sein, wer in welcher Art und Weise Zugriff auf diese Daten hat. Doch man muss noch einen weiteren Aspekt beachten, den viele gerne vergessen!

Zur Vertraulichkeit von Daten gehört auch, dass diese bei der Übertragung nicht von unautorisierten Personen gelesen werden! Das heißt, es muss dafür gesorgt sein, dass die Daten bei einer Übertragung in geeigneter Weise verschlüsselt werden.

Ein gutes Beispiel aus der Praxis stellt hier vor allem Ihr E-Mail-Verkehr dar. Vermutlich umfasst dieser wöchentlich mehrere tausend E-Mails. Darunter befinden sich mit Sicherheit Informationen, die vertraulich zu behandeln sind. Aber können Sie auch garantieren, dass diese Informationen nur die Augen erreichen, für die sie bestimmt sind? Ihr E-Mail-Verkehr muss verschlüsselt sein! Andernfalls können Sie die Vertraulichkeit Ihrer Daten, die per E-Mail versendet wurden, nicht mehr garantieren!

Und hier noch ein weniger technisches Beispiel: Auch Räumlichkeiten, in denen vertrauliche Datenbestände wie. z. B. die Lohnbuchhaltung verarbeitet oder gelagert werden, müssen entsprechend gesichert sein. Wenn solche Räume frei zugänglich sind, kann man die Vertraulichkeit der dort befindlichen Daten vergessen!

 

2. Integrität

Viele verwechseln Integrität mit Vertraulichkeit. Integrität bedeutet allerdings, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Es geht hierbei also nur um die Nachvollziehbarkeit von Datenänderungen, wohingegen bei Vertraulichkeit der Fokus auf der Berechtigung liegt.

Ein kleines Beispiel aus dem Unternehmensalltag: Es existiert ein Datenbestand, auf den über eine Applikation zugegriffen werden kann. Oftmals werden aus Kostengründen nur wenige Lizenzen gekauft. Dann sind auch nur wenige Benutzerkonten mit Passwort vorhanden, die anschließend von mehreren Personen benutzt werden (gerne „Shared User Accounts“ genannt). Offensichtlich ist die Integrität dieser Daten nun nicht mehr gegeben, da Datenänderungen von mehreren Personen, die jedoch dieselbe digitale Identität benutzen, vorgenommen werden können. Mit solchen „Shared User Accounts“ zerstören Sie ganz leicht die Integrität von Datenbeständen, weshalb Sie diese Accounts schnellstmöglich eliminieren sollten! Wenn dies nicht ohne weiteres möglich ist, sollten Sie wenigstens entsprechende Dokumentationspflichten für Datenänderungen einführen.

Nehmen wir einmal Forschungs- und Entwicklungsdaten. Wenn die Integrität solcher Daten zerstört ist, weil eine winzige Änderung unerkannt vorgenommen wurde, können Sie sämtlichen Daten nicht mehr trauen! Man muss niemandem erklären, dass dies eine Katastrophe wäre.

 

3. Verfügbarkeit:

Die Verfügbarkeit eines Systems beschreibt ganz einfach die Zeit, in der das System funktioniert. Im Sinne der Schutzziele geht es hier selbstverständlich darum, die Verfügbarkeit möglichst hoch zu halten. Anders gesagt: Es gilt, das Risiko von Systemausfällen zu minimieren!

Sie sollten sich also einen Überblick über die im Unternehmen vorhandenen Systeme und damit auch Datenbestände verschaffen. Anschließend müssen Sie analysieren, welche Systeme und Datenbestände unbedingt notwendig sind, damit die Arbeitsabläufe im Unternehmen funktionieren können. Diese sollten Sie entsprechend gegen Ausfälle schützen! Eine Art Risikoanalyse, in der man Ausfallwahrscheinlichkeit, Ausfallzeit und Schadenspotenzial auflistet ist hierbei zu empfehlen. Zudem sollte die Geschäftsleitung bzw. eine Fachabteilung festlegen, welche Ausfallzeiten jeweils tolerierbar sind. Diese können nämlich von Unternehmen zu Unternehmen variieren. Beispielsweise kann es durchaus sein, dass der Ausfall des Mailservers für einen Tag verkraftbar ist; in anderen Unternehmen ist das der Super-GAU.

 

Verbindlichkeit und Zurechenbarkeit

Diese zwei erweiterten Schutzziele lassen sich recht gut anhand des Identitätsmanagements veranschaulichen. Verbindlichkeit bedeutet nämlich, dass es nicht möglich sein darf, ausgeführte Handlungen abzustreiten. Unter Zurechenbarkeit (oder Verantwortlichkeit) versteht man die Übernahme von Verantwortung für Informationswerte. Die beiden Begriffe gehen also Hand in Hand. Zudem hängen diese Eigenschaften an den im Unternehmen vorhandenen Identitäten!

Ihr Identitätsmanagement muss dafür sorgen, dass jeder Mitarbeiter eine eindeutige Identität besitzt, deren Handlungen nachvollziehbar sind. Ein kleines Beispiel: Man kann E-Mails signieren. Diese Signatur gibt im Normalfall eine sichere Auskunft darüber, wer eine E-Mail versendet hat. Die Handlung (das Versenden der E-Mail) ist somit zurechenbar und nachvollziehbar.

Ferner gibt es noch ein weiteres Schutzziel namens Authentizität. Diese beschreibt grundsätzlich recht simpel die Echtheit (bzw. Vertrauenswürdigkeit) von Informationen oder Identitäten. Im Sinne der Informationssicherheit hört man oft den Begriff Authentifizierung. Dies sind lediglich die Überprüfung und der Nachweis der Identität einer Person. Der Vorgang des Nachweises der eigenen Identität nennt sich Authentisierung.

 

Fazit

Sie kennen nun die Schutzziele der Informationssicherheit. Was sollten Sie also aus diesem Beitrag mitnehmen? Sie als Geschäftsführer sollten zuerst Ihr Unternehmen und dessen Datenbestände analysieren. Überprüfen Sie welche Daten für das Überleben des Unternehmens essentiell sind und welche Daten bei Verlust die größten Schäden anrichten. Anschließend ist es Ihre Aufgabe, als Geschäftsführer dafür zu sorgen, dass diese Datenbestände die Schutzziele erreichen! Erarbeiten Sie, eventuell auch in Kooperation mit einem IT-Sicherheitsexperten, geeignete Maßnahmen, mit denen Sie Ihre Datenbestände im Sinne der Informationssicherheit schützen.

Praxistipps

Prüfen Sie Ihre Datenbestände mit den folgenden beispielhaften Punkten. Dieser Ausschnitt ist ein guter Überblick über die Prüfkriterien und gibt eine gute Vorstellung davon, was wichtig ist, wenn man die Schutzziele erreichen will.

  • Vertraulichkeit:
  • Dokumentierte Schlüsselausgabe
  • Verschlossene Serverschränke/-räume
  • Passwortkonvention mit komplexem Passwort und mind. 10 Zeichen
  • Zentrale Authentifikation mit Benutzername und Passwort
  • Verschlüsselte Datenträger (z. B. Laptop)
  • Rollenbasiertes Berechtigungskonzept

 

  • Integrität:
  • Verschlüsselung (z. B. VPN, E-Mail etc.)
  • Einsatz von z. B. USB-Datenträgern reglementieren
  • Besonderer Schutz beim physischen Transport von Datenträgern (Backup)

 

  • Verfügbarkeit:
  • Implementiertes Backup & Recoverykonzept
  • Testen der Datenwiederherstellung
  • Ausfallschutz (z. B. USV)
  • dokumentiertes Patch-Management

 

Diese lassen sich von IT-Dienstleistern unabhängig überprüfen und bewerten. Dabei wird der Ist-Zustand Ihrer IT-Sicherheit analysiert und in einem detaillierten Bericht mit eingeschlossenen Maßnahmenempfehlungen verarbeitet. Damit lässt sich die fundierte Annäherung eines Unternehmers samt Unternehmung an ein komplexes aber wichtiges Thema gewährleisten.