In der heutigen digitalen Ära sind Informationen und Daten zu einem
der wertvollsten Güter geworden. Die Schutzziele der IT-Sicherheit
bilden das Fundament für den Schutz dieser Ressourcen vor einer Vielzahl
von Bedrohungen und Risiken. Sie dienen als Leitlinien für die
Entwicklung, Implementierung und Aufrechterhaltung von
Sicherheitsmaßnahmen innerhalb einer Organisation. Zu den zentralen
Schutzzielen gehören Vertraulichkeit,
Integrität, Verfügbarkeit,
Authentizität, Verbindlichkeit (auch
Zurechenbarkeit genannt) und
Datenschutz.
4.1 1. Vertraulichkeit
Vertraulichkeit gewährleistet, dass sensible
Informationen ausschließlich von autorisierten Personen eingesehen oder
verwendet werden können. Sie schützt Daten vor unbefugtem Zugriff und
verhindert, dass vertrauliche Informationen in die falschen Hände
geraten.
Maßnahmen zur Sicherstellung der Vertraulichkeit:
Zugriffskontrollen: Einrichtung von
Benutzerberechtigungen und Rollen, um den Zugang zu Informationen zu
beschränken.
Verschlüsselung: Einsatz von Technologien wie
SSL/TLS für die Datenübertragung und AES für die Datenspeicherung.
Sichere Authentifizierung: Verwendung von
Multi-Faktor-Authentifizierung (MFA) und starken
Passwort-Richtlinien.
Schulung der Mitarbeiter: Sensibilisierung für
Phishing-Angriffe und Social Engineering.
4.2 2. Integrität
Die Integrität stellt sicher, dass Daten und Systeme
vor unautorisierten oder unbeabsichtigten Änderungen geschützt sind.
Informationen müssen korrekt, vollständig und unverändert bleiben.
Maßnahmen zur Sicherstellung der Integrität:
Hash-Funktionen: Verwendung kryptografischer Hashes
wie SHA-256 zur Überprüfung der Datenintegrität.
Digitale Signaturen: Gewährleistung, dass Daten von
einer authentischen Quelle stammen und nicht verändert wurden.
Versionskontrolle: Nachverfolgung von Änderungen an
Daten und Systemen.
Eingabekontrollen: Validierung von Daten, die in
Systeme eingegeben werden, um Fehler und Manipulationen zu
verhindern.
4.3 3. Verfügbarkeit
Verfügbarkeit garantiert, dass Informationen und
IT-Systeme für autorisierte Nutzer jederzeit zugänglich und
funktionsfähig sind. Dies ist entscheidend für die Kontinuität von
Geschäftsprozessen.
Maßnahmen zur Sicherstellung der Verfügbarkeit:
Redundante Systeme: Einrichtung von Backup-Servern
und Netzwerken zur Vermeidung von Ausfallzeiten.
Notfallpläne: Entwicklung von
Disaster-Recovery-Strategien und Business-Continuity-Plänen.
Schutz vor DoS/DDoS-Angriffen: Implementierung von
Sicherheitslösungen zur Abwehr von Denial-of-Service-Angriffen.
Regelmäßige Wartung: Durchführung von Systemupdates
und Hardwareprüfungen, um Ausfälle zu vermeiden.
4.4 4. Authentizität
Die Authentizität sichert die Echtheit von
Identitäten und Daten. Sie stellt sicher, dass Kommunikationspartner
oder Systeme tatsächlich diejenigen sind, für die sie sich ausgeben.
Maßnahmen zur Sicherstellung der Authentizität:
Authentifizierungsverfahren: Einsatz von
Passwörtern, Biometrie oder Token zur Identitätsprüfung.
Digitale Zertifikate und PKI: Verwendung von
Zertifizierungsstellen zur Validierung von Identitäten im Netzwerk.
Digitale Signaturen: Bestätigung der Urheberschaft
von Dokumenten und Nachrichten.
4.5 5. Verbindlichkeit
(Zurechenbarkeit)
Verbindlichkeit oder
Zurechenbarkeit gewährleistet, dass Aktionen oder
Transaktionen eindeutig einer bestimmten Person oder Entität zugeordnet
werden können. Dies verhindert, dass Beteiligte ihre Handlungen im
Nachhinein abstreiten können.
Maßnahmen zur Sicherstellung der Verbindlichkeit:
Protokollierung: Detaillierte Aufzeichnung von
Systemaktivitäten und Benutzeraktionen.
Audit-Trails: Nachvollziehbarkeit von Transaktionen
und Änderungen innerhalb der Systeme.
Zeitstempel: Verwendung von sicheren Zeitstempeln
zur Dokumentation von Ereignissen.
Rechtliche Vereinbarungen: Festlegung von
Verantwortlichkeiten in Verträgen und Nutzungsbedingungen.
4.6 6. Datenschutz
Der Datenschutz konzentriert sich auf den Schutz
personenbezogener Daten vor Missbrauch und unbefugter Verarbeitung. Er
ist besonders wichtig im Hinblick auf Gesetze wie die
Datenschutz-Grundverordnung (DSGVO).
Maßnahmen zur Sicherstellung des Datenschutzes:
Datensparsamkeit: Erhebung und Verarbeitung nur der
notwendigsten personenbezogenen Daten.
Einwilligung: Einholung der ausdrücklichen
Zustimmung der Betroffenen zur Datenverarbeitung.
Anonymisierung und Pseudonymisierung: Maßnahmen, um
Personen nicht direkt identifizierbar zu machen.
Rechte der Betroffenen: Gewährleistung von
Auskunfts-, Berichtigungs- und Löschungsrechten.