Schutzziele der Informationssicherheit
Einleitung
In dieser kleinen Reihe möchte ich die Chance nutzen und ein bisschen Wissen weitergeben, das ich in den vergangenen Jahren sammeln konnte. Es geht dabei hauptsächlich um Informationssicherheit. Insgesamt sind derzeit 6 Posts in dieser Reihe geplant. Unter anderem geht es um Passwortsicherheit, E-Mail-Sicherheit, aber auch Begriffsbestimmungen und Abgrenzungskriterien.
Den Start möchte ich mit den allgemeinen Schutzzielen der Informationssicherheit machen.
Ich wünsche viel Spaß beim Lesen.
Schutzziele
Damit Risiken eingeschätzt werden können, benötigt es Kriterien anhand derer man einen Sachverhalt messen kann. In der Informationssicherheit sind diese Kriterien die Schutzziele. Im Wesentlichen unterscheidet man diese drei:
- Vertraulichkeit (Confidentiality)
- Integrität (Integrity)
- Verfügbarkeit (Availability)
Alle Schutzziele werden in den Ausprägungen normal, hoch, sehr hoch angegeben. Das ist abhängig davon, welche Informationen verarbeitet werden sollen und wie kritisch der Prozess für die Behörde ist.
Vertraulichkeit
Die Vertraulichkeit beurteilt wer maximal Zugriff auf Informationen erlangen darf. Die Vertraulichkeit stellt sicher, dass nur jeweils befugte Personen Zugang zu den entsprechenden Daten haben. Analog gesprochen: Wer darf die Inhalte der Akten lesen? Wer hat also Zugang zum Aktenschrank?
Integrität
Die Integrität von Information bedeutet, dass ungewünschte, nicht nachvollziehbare Änderungen unmöglich gemacht werden. Wenn Änderungen möglich sind, muss nachvollziehbar sein wer sie wann gemacht hat.Analog gesprochen: Wenn etwas per Brief verschickt wird und der Vorgang wird ohne Absprache mit den eigentlichen Kommunikationsteilnehmenden durch einen Dritten verändert, indem Dokumente entnommen oder hinzugefügt werden, dann ist die Integrität gefährdet.
Verfügbarkeit
Eine Information muss immer dann verfügbar sein, wenn sie gebraucht wird. Beim Schutzziel der Verfügbarkeit geht es darum, die technologische Infrastruktur aufzubauen, die Daten und Informationen verfügbar machen. Oder deutlicher ausgedrückt: Systemausfälle zu verhindern. Ist ein Server also nicht erreichbar, ist das Schutzziel der Verfügbarkeit beeinträchtigt.