In der heutigen Informationsgesellschaft sind Daten weit mehr als Zahlen und Buchstaben – sie sind unverzichtbare Ressourcen f\u00fcr Unternehmen, Beh\u00f6rden und Privatpersonen. Ob gesch\u00e4ftskritische Produktionsdaten, Kundendatenbanken, medizinische Befunde oder strategische Planungen – Informationen sind das R\u00fcckgrat moderner Organisationen. Ihre Verf\u00fcgbarkeit, Korrektheit und der Schutz vor unberechtigtem Zugriff sind entscheidend f\u00fcr den Gesch\u00e4ftserfolg und die Einhaltung gesetzlicher Vorschriften. Gleichzeitig nehmen Cyber-Bedrohungen, Datenschutzverletzungen und interne Sicherheitsvorf\u00e4lle rasant zu. Die Angriffsfl\u00e4che w\u00e4chst, da immer mehr Systeme, Ger\u00e4te und Menschen miteinander vernetzt sind.<\/p>\n
Informationssicherheit ist heute keine optionale Ma\u00dfnahme mehr, sondern eine betriebliche Notwendigkeit. Sie hat sich daher zu einem zentralen Bestandteil moderner Unternehmensf\u00fchrung entwickelt. Dabei geht es nicht nur um den Schutz vor Hackern oder technischen St\u00f6rungen, sondern auch um die systematische Steuerung von Risiken, die mit der Verarbeitung und Speicherung von Informationen einhergehen. Im Folgenden stellen wir die wichtigsten Schutzziele der Informationssicherheit vor, erkl\u00e4ren, welche die obersten Schutzziele laut ISO 27000 sind, und zeigen praxisnahe Wege zur Umsetzung auf.<\/p>\n
Die drei prim\u00e4ren Schutzziele \u2013 Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit \u2013 gelten als Fundament der Informationssicherheit. Sie sind unabh\u00e4ngig von Branche oder Unternehmensgr\u00f6\u00dfe g\u00fcltig und bilden die Basis jeder Sicherheitsstrategie.<\/p>\n
Vertraulichkeit bedeutet, dass Informationen nur denjenigen zug\u00e4nglich sind, die berechtigt sind, sie einzusehen oder zu bearbeiten. Ziel ist es, den unbefugten Zugriff auf sensible Daten zu verhindern. Insbesondere in datenschutzsensiblen Bereichen wie dem Gesundheitswesen, der Finanzbranche oder bei juristischen Dienstleistungen ist Vertraulichkeit ein nicht verhandelbarer Grundsatz.<\/p>\n
In der Praxis wird dieses Ziel beispielsweise durch Zugriffskontrollen erreicht, die verhindern, dass Mitarbeiterinnen und Mitarbeiter au\u00dferhalb ihres Zust\u00e4ndigkeitsbereichs auf bestimmte Daten zugreifen k\u00f6nnen. Auch Verschl\u00fcsselungsverfahren, Sicherheitsrichtlinien und technische Schutzmechanismen wie Firewalls tragen zur Wahrung der Vertraulichkeit bei. KI-basierte Endpunktsicherheitsl\u00f6sungen wie N‑able EDR<\/a> helfen dabei, proaktiv Bedrohungen zu erkennen, bevor sie zu Sicherheitsvorf\u00e4llen f\u00fchren. Ein Beispiel: Die Patientenakte in einem Krankenhaus darf nur von medizinischem Personal eingesehen werden, das an der Behandlung beteiligt ist. Ohne technische und organisatorische Ma\u00dfnahmen lie\u00dfe sich diese Regelung nicht zuverl\u00e4ssig umsetzen.<\/p>\n Das zweite Schutzziel der Informationssicherheit ist die Integrit\u00e4t. Sie stellt sicher, dass Informationen richtig, vollst\u00e4ndig und unver\u00e4ndert sind. Jede \u00c4nderung von Daten – ob beabsichtigt oder unbeabsichtigt – muss nachvollziehbar und autorisiert sein.<\/p>\n Der Verlust der Integrit\u00e4t kann schwerwiegende Folgen haben. Man denke nur an die fehlerhafte \u00dcbermittlung von Zahlungsinformationen bei einer Online-Transaktion oder an manipulierte Logistikdaten, die dazu f\u00fchren, dass Produkte nicht rechtzeitig ausgeliefert werden. Um die Integrit\u00e4t zu gew\u00e4hrleisten, werden beispielsweise digitale Signaturen, Pr\u00fcfsummen oder die automatische Protokollierung von \u00c4nderungen eingesetzt. So kann nachvollzogen werden, wann, von wem und wie eine Information ver\u00e4ndert wurde.<\/p>\n Verf\u00fcgbarkeit bedeutet, dass Informationen und IT-Systeme jederzeit zuverl\u00e4ssig genutzt werden k\u00f6nnen – insbesondere dann, wenn sie ben\u00f6tigt werden. Ein Informationssystem, das zwar sicher, aber nicht verf\u00fcgbar ist, verliert seinen praktischen Nutzen. Verf\u00fcgbarkeit bezieht sich nicht nur auf Server und Netzwerke, sondern auch auf Prozesse und organisatorische Abl\u00e4ufe.<\/p>\n Ein typisches Beispiel ist der Webshop eines E-Commerce-Unternehmens, der rund um die Uhr erreichbar sein muss. Kommt es zu einem Ausfall – etwa durch einen Cyberangriff oder einen Stromausfall – k\u00f6nnen Ums\u00e4tze verloren gehen, Kundenbeziehungen leiden und im schlimmsten Fall rechtliche Verpflichtungen verletzt werden. Um dies zu verhindern, setzen Unternehmen auf Ma\u00dfnahmen wie Redundanz, regelm\u00e4\u00dfige Backups, Notfallpl\u00e4ne und unterbrechungsfreie Stromversorgung. Auch ein gut aufgestelltes IT-Service-Management mitsamt Cloud-first Backup- und Notfallwiederherstellungssystem<\/a> tr\u00e4gt entscheidend zur Aufrechterhaltung der Verf\u00fcgbarkeit bei.<\/p>\n Neben den drei grundlegenden Zielen gibt es weitere, sogenannte erweiterte Schutzziele der Informationssicherheit, die in der Praxis immer wichtiger werden. Dazu z\u00e4hlen insbesondere Authentizit\u00e4t und Verbindlichkeit.<\/p>\n Authentizit\u00e4t stellt sicher, dass sowohl die Identit\u00e4t von Kommunikationspartnern als auch die Herkunft von Informationen zweifelsfrei \u00fcberpr\u00fcft werden k\u00f6nnen. In einer digitalen Welt, in der Phishing, Identit\u00e4tsdiebstahl und Social Engineering allt\u00e4gliche Bedrohungen darstellen, ist dieses Ziel von zentraler Bedeutung.<\/p>\n Ein konkretes Beispiel f\u00fcr die Umsetzung von Authentizit\u00e4t ist die Zwei-Faktor-Authentifizierung beim Login in ein Unternehmensnetzwerk. Nur wenn sowohl Passwort als auch ein zus\u00e4tzlicher Sicherheitscode korrekt eingegeben werden, wird der Zugriff gew\u00e4hrt. Dies reduziert die Wahrscheinlichkeit, dass Unbefugte Zugang erhalten, erheblich. Auch digitale Zertifikate und elektronische Signaturen dienen dem Nachweis, dass eine Information tats\u00e4chlich von der behaupteten Quelle stammt.<\/p>\n Verbindlichkeit – oft auch als \u201eNichtabstreitbarkeit\u201c bezeichnet – bedeutet, dass Handlungen und \u00c4u\u00dferungen im digitalen Raum zweifelsfrei einer bestimmten Person oder Organisation zugeordnet werden k\u00f6nnen. Damit soll sichergestellt werden, dass niemand im Nachhinein abstreiten kann, bestimmte Informationen \u00fcbermittelt oder Handlungen vorgenommen zu haben.<\/p>\n Dieses Schutzziel ist vor allem im rechtlichen und gesch\u00e4ftlichen Umfeld unerl\u00e4sslich. Wird beispielsweise ein digitaler Vertrag geschlossen, muss eindeutig nachvollziehbar sein, wer ihn wann unterschrieben hat. Digitale Signaturen, Protokollierungsmechanismen und Zeitstempel helfen dabei, die Nachvollziehbarkeit zu gew\u00e4hrleisten. Auch bei internen Prozessen, wie der Freigabe von Rechnungen oder der \u00c4nderung von Konfigurationsdateien, spielt die Verbindlichkeit eine zentrale Rolle.<\/p>\n Das Verst\u00e4ndnis f\u00fcr die Schutzziele der Informationssicherheit ist der erste Schritt \u2013 ihre konsequente Umsetzung in der Organisation ist jedoch die eigentliche Herausforderung. Dabei sind drei Elemente besonders entscheidend: Risikobewertung, Ma\u00dfnahmenplanung und kontinuierliche \u00dcberwachung.<\/p>\n Am Anfang jeder Sicherheitsstrategie steht eine fundierte Risikobewertung. Unternehmen m\u00fcssen sich die Frage stellen, welche Informationen besonders sch\u00fctzenswert sind und welchen Risiken sie ausgesetzt sind. Dabei werden sowohl externe Bedrohungen \u2013 wie Cyberangriffe, Naturkatastrophen oder Industriespionage \u2013 als auch interne Risiken \u2013 etwa menschliches Versagen oder technische Fehler \u2013 betrachtet.<\/p>\n Typische Schritte:<\/p>\n Ein Unternehmen, das sensible Kundendaten verarbeitet, muss beispielsweise bewerten, was passieren w\u00fcrde, wenn diese Daten durch ein Leck an die \u00d6ffentlichkeit geraten. Welche finanziellen und rechtlichen Folgen w\u00e4ren zu erwarten? Welche Auswirkungen h\u00e4tte dies auf das Vertrauen der Kunden? Auf Basis solcher Szenarien wird ein Schutzbedarf festgelegt und die Relevanz der einzelnen Schutzziele f\u00fcr jedes Informations-Asset bewertet.<\/p>\n An die Risikoanalyse schlie\u00dft sich die Entwicklung konkreter Ma\u00dfnahmen zur Sicherstellung der Schutzziele an. Dabei sind technische, organisatorische und personelle Faktoren zu ber\u00fccksichtigen. Technisch k\u00f6nnen beispielsweise Firewalls, Intrusion-Detection-Systeme, Verschl\u00fcsselungstechnologien oder Backup-L\u00f6sungen implementiert werden. Auf organisatorischer Ebene sind Sicherheitsrichtlinien, Rollen- und Rechtemanagement sowie Schulungsprogramme von Bedeutung.<\/p>\n Beispiele f\u00fcr Ma\u00dfnahmen:<\/p>\n Ein besonders wirkungsvoller und strukturierter Weg, um die Schutzziele der Informationssicherheit dauerhaft zu gew\u00e4hrleisten, ist die Einf\u00fchrung eines Informationssicherheits-Managementsystems (ISMS). Ein ISMS ist ein systematischer Rahmen, der Prozesse, Regeln, Verantwortlichkeiten und Ma\u00dfnahmen umfasst, um die Informationssicherheit innerhalb einer Organisation nachhaltig zu steuern und zu verbessern. Die internationale Norm ISO 27001<\/a> beschreibt dabei die Anforderungen an ein solches Managementsystem und gilt weltweit als anerkannter Standard.<\/p>\n Im Kern geht es darum, Risiken f\u00fcr vertrauliche oder gesch\u00e4ftskritische Informationen fr\u00fchzeitig zu erkennen und durch geeignete Ma\u00dfnahmen zu minimieren. Ein ISMS stellt sicher, dass Schutzma\u00dfnahmen nicht nur punktuell umgesetzt, sondern langfristig dokumentiert, \u00fcberpr\u00fcft und optimiert werden. Dazu geh\u00f6rt, dass Sicherheitsprozesse regelm\u00e4\u00dfig \u00fcberpr\u00fcft, angepasst und weiterentwickelt werden – zum Beispiel bei neuen Bedrohungen oder ge\u00e4nderten gesetzlichen Anforderungen.<\/p>\n Ein zentrales Element eines erfolgreichen ISMS ist die Einbindung aller Mitarbeiterinnen und Mitarbeiter. Denn Informationssicherheit betrifft nicht nur die IT-Abteilung, sondern das gesamte Unternehmen. Nur wenn alle Mitarbeitenden verstehen, wo Gefahren lauern und wie sie richtig reagieren, kann ein hohes Sicherheitsniveau erreicht werden. Regelm\u00e4ssige Schulungen, klare Richtlinien und ein gelebtes Sicherheitsbewusstsein sind deshalb ebenso wichtig wie technische Schutzmassnahmen.<\/p>\nIntegrit\u00e4t<\/h3>\n
Verf\u00fcgbarkeit<\/h3>\n
Erweiterte Schutzziele<\/h2>\n
Authentizit\u00e4t<\/h3>\n
Verbindlichkeit<\/h3>\n
Umsetzung der Schutzziele in der Praxis<\/h2>\n
Risikobewertung<\/h3>\n
\n
Ma\u00dfnahmenplanung<\/h3>\n
\n
\u00dcberwachung und Anpassung<\/h3>\n