Vertraulichkeit, Integrität, Verfügbarkeit: Die Schutzziele der Informationssicherheit erklärt

Wer sich mit Informationssicherheit beschäftigt, stößt schnell auf die drei klassischen Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. Sie bilden das Fundament jeder Sicherheitsstrategie und sind maßgeblich für die Risikobewertung, Auswahl von Schutzmaßnahmen und die tägliche Arbeit im Bereich der Informationssicherheit.

Die drei Schutzziele werden im internationalen Kontext häufig als „CIA-Triade“ bezeichnet, eine Abkürzung für die englischen Begriffe Confidentiality, Integrity und Availability. Diese Bezeichnung hat sich besonders im angloamerikanischen Raum etabliert und steht für das grundlegende Sicherheitsdreieck der Informationssicherheit. Die CIA-Triad dient als gedankliches Modell, um Sicherheitsmaßnahmen systematisch zu planen und Risiken strukturiert zu bewerten. Auch internationale Normen wie die ISO/IEC 27001 greifen auf dieses Konzept zurück.

Doch was genau steckt hinter diesen Begriffen und warum sind sie in der Praxis so entscheidend?

1. Vertraulichkeit – Informationen vor unbefugtem Zugriff schützen

Definition: Vertraulichkeit bedeutet, dass Informationen nur von berechtigten Personen eingesehen oder verarbeitet werden dürfen.

Praxisbeispiel: Ein Unternehmen verwaltet sensible Kundendaten, wie Adressen, Bankverbindungen oder Gesundheitsinformationen. Gelangen diese Daten in falsche Hände, ist nicht nur der Ruf des Unternehmens bedroht, es drohen auch rechtliche Konsequenzen, etwa aufgrund der DSGVO.

Typische Maßnahmen:

Zugriffsrechte nach dem Need-to-know-Prinzip
Verschlüsselung von Daten (z.B. E-Mails oder Festplatten)
Zwei-Faktor-Authentifizierung (2FA)
Schulungen für Mitarbeitende zum Umgang mit sensiblen Daten

Vertraulichkeit ist auch ein wichtiges Thema für den Informationssicherheitsbeauftragten (ISB). Er sorgt dafür, dass entsprechende Richtlinien vorhanden sind und technische sowie organisatorische Maßnahmen umgesetzt werden.

2. Integrität – Schutz vor Manipulation und Datenverfälschung

Definition: Integrität stellt sicher, dass Daten und Systeme korrekt und unverändert sind – sowohl bei der Speicherung als auch bei der Übertragung.

Praxisbeispiel: Eine manipulierte Rechnung, bei der die Bankverbindung geändert wurde, kann zu erheblichen finanziellen Schäden führen. Noch gravierender wird es, wenn ein medizinisches System Patientendaten verfälscht – etwa durch fehlerhafte Diagnosen oder Medikationsangaben.

Typische Maßnahmen:

Hash-Werte und Prüfsummen zur Überprüfung der Unverfälschtheit
Digitale Signaturen
Versionierung und Änderungsprotokolle
Kontrollmechanismen bei der Datenverarbeitung

In der Praxis geht es also nicht nur darum, ob jemand Zugriff auf Informationen hat, sondern auch, ob diese korrekt sind. Der ISB prüft deshalb regelmäßig, ob Prozesse zur Sicherstellung der Integrität funktionieren. Dies gilt besonders für Systeme, in denen kritische Entscheidungen getroffen werden.

3. Verfügbarkeit – Informationen und Systeme müssen nutzbar sein

Definition: Verfügbarkeit bedeutet, dass Informationen und IT-Systeme bei Bedarf zuverlässig zur Verfügung stehen.

Praxisbeispiel: Ein Onlineshop, der während einer Rabattaktion stundenlang nicht erreichbar ist, verliert Umsatz und Kunden. In kritischen Infrastrukturen – etwa bei Krankenhäusern oder Energieversorgern – kann mangelnde Verfügbarkeit sogar Menschenleben gefährden.

Typische Maßnahmen:

Backup- und Wiederherstellungskonzepte
Ausfallsichere Systeme (Redundanzen)
Notfallpläne und Business Continuity Management
Schutz vor DDoS-Angriffen

Auch hier spielt der Informationssicherheitsbeauftragte eine wichtige Rolle: Er koordiniert Notfallübungen, bewertet die Resilienz der IT-Systeme und wirkt bei der Erstellung von Wiederanlaufplänen mit.

Das Zusammenspiel der Schutzziele ist ein Balanceakt

In der Realität stehen die drei Schutzziele oft in einem Spannungsverhältnis. Ein Beispiel: Wenn man den Zugang zu Informationen stark beschränkt (Vertraulichkeit), kann das die Verfügbarkeit für befugte Nutzer einschränken. Oder: Eine zu starke Komprimierung von Daten zur Effizienzsteigerung könnte die Integrität gefährden.

Daher ist es Aufgabe der Informationssicherheit, diese Schutzziele sinnvoll auszubalancieren, je nach Schutzbedarf der jeweiligen Daten und Systeme. Diese Einordnung erfolgt meist im Rahmen einer Schutzbedarfsanalyse, die auch andere Aspekte wie rechtliche Vorgaben oder Unternehmenswerte berücksichtigt.

Schnittstellen zu anderen Bereichen der Informationssicherheit

Die drei Schutzziele sind nicht nur theoretische Prinzipien, sondern wirken in viele Bereiche hinein:

Risikomanagement: Die Bewertung von Risiken erfolgt entlang der Schutzziele – „Was passiert, wenn die Verfügbarkeit einer Anwendung nicht gegeben ist?“
Technische Maßnahmen: Firewalls, Monitoring-Tools oder Verschlüsselungstechnologien zielen stets auf mindestens eines der drei Ziele ab.
Awareness & Schulung: Mitarbeitende müssen die Bedeutung der Schutzziele verstehen und ihr Handeln daran ausrichten.
Recht & Compliance: Gesetze wie die DSGVO oder Normen wie ISO/IEC 27001 fordern explizit Maßnahmen zur Wahrung der Schutzziele.

Fazit

Vertraulichkeit, Integrität und Verfügbarkeit sind keine abstrakten IT-Begriffe – sie sind konkrete Leitplanken für den sicheren und verantwortungsvollen Umgang mit Informationen. Wer diese Ziele im Blick behält, schützt nicht nur Daten, sondern auch Prozesse, Entscheidungen und letztlich den unternehmerischen Erfolg.

Der Informationssicherheitsbeauftragte ist dabei eine zentrale Schnittstelle: Er plant und koordiniert Maßnahmen, damit die Schutzziele im Unternehmen nicht nur definiert, sondern auch praktisch in Systemen, in Richtlinien und im Verhalten der Mitarbeitenden umgesetzt werden.

Gerne stehen wir Ihnen als externer Informationssicherheitsbeauftragter zur Seite, wenn Sie Unterstützung hierbei benötigen. Nutzen Sie unsere kostenlose Erstberatung, um mehr über unsere Leistungen zu erfahren.

Verwandte Artikel

Diese Beiträge könnten Sie auch interessieren

24.04.2025

Wie integriertes Risikomanagement Ihre Risiken sichtbar und beherrschbar macht

Viele Unternehmen behandeln Compliance-Themen getrennt voneinander: Datenschutz ist Sache der Rechtsabteilung, Informationssicherheit liegt in der Verantwortung der IT und Risiken werden meist isoliert im Finanz- oder Qualitätsmanagement betrachtet. Dieser siloartige Ansatz mag auf dem Papier übersichtlich erscheinen, führt in der Praxis aber häufig zu Redundanzen, Lücken oder widersprüchlichen Maßnahmen.

06.02.2024

Von Phishing bis Passwortspray: Wie Multi-Faktor-Authentifizierung hilft

Für den Schutz von Informationen ist es unerlässlich, IT-Systeme wirksam abzusichern. Der Zugriffskontrolle kommt dabei eine entscheidende Rolle zu, da ein erheblicher Teil erfolgreicher Cyber-Angriffe auf kompromittierte Identitäten zurückzuführen ist.

26.03.2024

Business Continuity Management: Tipps und Best Practices für eine effektive Umsetzung

Störungen oder Krisen können die Geschäftstätigkeit von Unternehmen einschränken oder sogar vollständig zum Erliegen bringen. Business Continuity Management (BCM) soll sicherstellen, dass ein Unternehmen für den Ernstfall vorbereitet ist und der Geschäftsbetrieb weiterhin stattfindet.

09.03.2022

IT-Sicherheitskonzept: Entwicklung, Phasen & Umsetzung

Daten von Unternehmen sind zahlreichen Risiken ausgesetzt. Informationssicherheit hilft, diese Risiken zu minimieren.

03.01.2025

Datenschutz-Trends 2025: Womit sich Unternehmen auseinandersetzen müssen

Auch 2025 bleibt Datenschutz ein zentrales Thema in der digitalen Welt. Unternehmen, die auf kommende Entwicklungen vorbereitet sind, können nicht nur Bußgelder vermeiden, sondern auch das Vertrauen von Kunden und Partnern stärken.

Neueste Artikel

Die aktuellsten Beiträge aus unserem Blog

12.06.2025

Digitale Barrierefreiheit: Viele mittelständische Unternehmen müssen jetzt handeln

Digitale Barrierefreiheit ist keine Kür mehr, sondern eine gesetzliche und unternehmerische Pflicht. Dennoch wird sie in vielen mittelständischen Unternehmen bisher kaum berücksichtigt.

06.06.2025

Cybercrime 2025: Was IT-Verantwortliche in KMU jetzt wissen müssen

178,6 Milliarden Euro Schaden in Deutschland, allein durch Cyberangriffe. Diese Zahl, veröffentlicht vom Bitkom e.

15.05.2025

Behörden nehmen das Recht auf Löschung ins Visier – sind Sie auf Kontrollen vorbereitet?

Zum vierten Mal haben sich über 30 europäische Datenschutzbehörden unter der Leitung des Europäischen Datenschutzausschusses (EDSA) zusammengeschlossen, um eine zentrale Datenschutzanforderung gezielt zu überprüfen – dieses Mal das Recht auf Löschung.

07.05.2025

Neue Bedrohungswelle: Wie sich Unternehmen vor KI-basierten Cyberangriffen schützen

Die digitale Transformation hat unsere Arbeitswelt revolutioniert, doch mit ihr ist auch eine neue Ära der Cyberbedrohungen angebrochen. Während wir uns an immer ausgefeiltere Angriffsmethoden gewöhnt haben, steht uns nun eine weitere Eskalationsstufe bevor: KI-basierte Cyberangriffe.

06.05.2025

PDCA-Zyklus in der Praxis: Leitfaden für Datenschutz und Informationssicherheit

Der PDCA-Zyklus ist ein bewährtes Managementkonzept aus dem Qualitätsmanagement zur kontinuierlichen Verbesserung von Prozessen, Systemen und organisatorischen Abläufen. Datenschutz- und Informationssicherheitsbeauftragte setzen es gerne in ihren Managementsystemen ein.

Immer gut informiert - mit unserem Newsletter

Wir halten Sie auf dem Laufenden zu aktuellen Entwicklungen und praxisrelevanten Neuerungen aus den Bereichen Informationssicherheit, Compliance und Datenschutz.

Newsletter abonnieren