Sicherheits-Schutzziele
Es gibt im Wesentlichen vier Sicherheits-Schutzziele in der Informationstechnik. Diese haben dabei immer den Zweck, vor Gefahren und Bedrohungen zu schützen und damit Schaden zu verhindern. Gerade bei Privat-Anwendern muss sich dieser Schaden nicht immer wirtschaftlich niederschlagen. Oftmals entsteht ein Schaden durch Verletzung der Privatsphäre oder Identitätsdiebstahl.
Diese vier Schutzziele sind Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit und werden detaillierter auf den untergeordneten Seiten beschrieben. Diese Webseite als Ganzes hat das Ziel, Sie bei der Umsetzung dieser Ziele erfolgreich zu unterstützen.
Beim Datenschutz steht die Vertraulichkeit im Fokus. Es geht dabei immer um personenbezogene Daten bzw. Informationen.
Vertraulichkeit ist die Eigenschaft einer Nachricht oder Information, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Dieser Empfängerkreis ist wohl definiert, man spricht hier von Befugten.
Um Vertraulichkeit zu gewährleisten, müssen die im System gespeicherten oder in den Kommunikationseinrichtungen übertragenen Daten durch Verschlüsselung vor unberechtigtem Zugriff geschützt werden. Dabei ist zu berücksichtigen, wie stark die angestrebte Vertraulichkeit ist. Wie hoch ist der Schaden, wenn die Vertraulichkeit nicht gewahrt wird? Es ist leicht zu verstehen, dass es weniger Schaden oder Unheil verursacht, wenn die Information des nächsten Urlaubsziels in die Öffentlichkeit gelangt als wie wenn die gesamte finanzielle Situation einer Person offenbar wird. Dementsprechend muss die Vertraulichkeit auch konsequenter geschützt werden, wofür dann auch ein hoher Aufwand angemessen ist.
Die Vertraulichkeit spielt im Internet bei Emails eine ganz wesentliche Rolle. Oder wenn Sie Bilder oder andere persönliche Dokumente in die Cloud laden, sollen diese vor unbefugtem Zugriff geschützt sein. Aber auch beim "Surfen" werden oftmals Daten bzw. Informationen übertragen, die nur den Befugten zugänglich sein dürfen, z.B. die Anmeldedaten beim Online-Banking. Die Betreiber von solchen Seiten sollten daher Vorkehrungen treffen, dass die Übertragung verschlüsselt wird und somit nicht abgehört werden kann. Dazu finden Sie im Abschnitt sicheres Surfen mehr Informationen.
Sie möchten vermutlich jederzeit auf Ihr System und Ihre Daten zugreifen können. Anwendungen oder Services, die nicht ordnungsgemäß funktionieren, die also nicht verfügbar sind, sind ohne Wert. Auch der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein.
Der am häufigsten vorkommende Grund für Datenverlust sind Hardwarefehler. Aber auch Bedienfehler führen häufiger zum Datenverlust wie Angriffe oder fehlerhafte Software.
Eng mit dem Schutzziel Verfügbarkeit ist somit das Thema Datensicherung verbunden. Während man in der Regel noch billigend in Kauf nehmen kann, dass Systeme oder Daten für eine Zeit nicht verfügbar sind, ist es meist wirklich tragisch, wenn Daten unwiederbringlich verloren gehen. Dabei ist der Grund für den Datenverlust unerheblich. Wenn Ihre Bildersammlung - inklusive Erinnerungsbilder aus Ihrer Jugend - unwiderruflich verlorengeht, ist es Ihnen im Ergebnis vermutlich egal, ob die Festplatte gelöscht wurde oder ob die Verwaltungssoftware die Dateien unbrauchbar gemacht hat.
Auf das Schutzziel Verfügbarkeit wird im Abschnitt Datensicherung daher detaillierter eingegangen.
Unter Integrität versteht man die Korrektheit und Unversehrtheit von Daten und die korrekten Funktionsweise von Systemen.
Korrekter Inhalt:
Sachverhalte der realen Welt sollen korrekt abgebildet werden. Dies soll beispielsweise durch Integritätsbedingungen sichergestellt werden.
Unmodifizierter Zustand:
Diese Integritätsart liegt vor, wenn Nachrichten unverändert zugestellt werden und Programme und Prozesse wie beabsichtigt ablaufen. Unter Gesichtspunkten der IT-Sicherheit ist i.d.R. dieser Aspekt gemeint.
Erkennung von Modifikation:
Unerwünschte Modifikationen, die nicht verhindert werden können, werden zumindest erkannt.
Temporale Korrektheit:
Diese Integritätsart liegt vor, wenn Nachrichten ausgetauscht und relevante zeitliche Bedingungen, wie etwa Reihenfolgen oder maximale Verzögerungszeiten, eingehalten werden.
Bei der Integrität einer Nachricht kann davon ausgegangen werden, dass der Nachrichteninhalt auf der Sende- und Empfangsseite vollkommen identisch ist, also der Nachrichteninhalt bei der Übertragung unverändert geblieben ist. Die Datenintegrität kann mit bestimmten Prüfverfahren wie dem Einsatz von Hashfunktionen, von Message Authentication Codes (MAC) oder mit digitalen Signaturen überprüft werden, weil diese direkt an den Nachrichteninhalt gekoppelt sind.
Verbindlichkeit im Sinne der IT-Sicherheit bezeichnet die Möglichkeit, einer IT-Transaktion während und nach der Durchführung zweifelsfrei und gegebenenfalls gerichtsverwertbar den Durchführenden zuordnen zu können. Dies kann z.B. durch die Nutzung von qualifizierten digitalen Signaturen und eine sichere Aufbewahrung von Logdateien erreicht werden. Sehr häufig spricht man auch von der Nichtabstreitbarkeit (englisch: non repudiation).
Bei der Übertragung von Informationen bedeutet dies, dass die Informationsquelle ihre Identität bewiesen hat und der Empfang der Nachricht nicht in Abrede gestellt werden kann.