Argana Consulting GmbH
 Ihr externer Partner für Informationssicherheit, Datenschutz und Risikomanagement

Informationssicherheitsziele


Informationssicherheitsziele sind die Ziele, die eine Organisation erreichen möchte, um den Schutz ihrer Informationsressourcen zu gewährleisten. Sie bilden das Fundament jedes ISMS: Sie leiten die Erarbeitung von Richtlinien, Kontrollen und Verfahren – und ihr Erreichen trägt zur Risikominderung, zum Schutz vor Cyber-Bedrohungen und zur Einhaltung relevanter Gesetze und Vorschriften bei. Neben der klassischen CIA-Triade sollten moderne Implementierungen auch Authentizität und Nichtabstreitbarkeit einbeziehen.





Vertraulichkeit

Schutz von Informationen vor unbefugtem Zugriff und unbefugter Offenlegung: Sensible Daten sind nur für autorisierte Personen, Prozesse oder Systeme zugänglich. Schlüsselaspekte sind Zugriffskontrolle (Passwörter, Biometrie, ACLs, rollenbasierte Rechte), Verschlüsselung ruhender und übertragener Daten, Datenmaskierung und Pseudonymisierung, sichere Kommunikation über SSL/TLS und VPN, der Grundsatz der geringsten Privilegien sowie klare Sicherheitsrichtlinien.




Integrität

Informationen bleiben korrekt, konsistent und vertrauenswürdig – und werden nicht auf unbefugte Weise verändert oder manipuliert. Dazu gehören Datengenauigkeit über den gesamten Lebenszyklus, Datenkonsistenz über Systeme und Datenbanken hinweg, der Schutz vor und die Erkennung von unbefugten Änderungen (Prüfsummen, Hash-Funktionen, kryptografische Signaturen) sowie die Sicherstellung der korrekten Verarbeitung.




Verfügbarkeit

Informationen, Systeme und Ressourcen sind bei Bedarf für autorisierte Benutzer zugänglich und nutzbar – das sichert den unterbrechungsfreien Betrieb und die Geschäftskontinuität. Schlüsselaspekte: Systemverfügbarkeit und -zuverlässigkeit, Redundanz und Failover, Notfallwiederherstellung nach Ausfällen oder Angriffen, Leistung und Skalierbarkeit, Zugriffskontrolle und Benutzermanagement sowie Schutz vor DoS- und DDoS-Angriffen.





Authentizität

Informationen, Kommunikation und Benutzer eines Informationssystems sind echt: Daten stammen aus legitimen Quellen. Gesichert wird das durch die Überprüfung der Identität von Benutzern, Systemen und Geräten, die Authentifizierung der Datenherkunft, Nachrichten- und Datenintegrität, digitale Signaturen sowie Zertifikate und Public-Key-Infrastruktur (PKI).







Nichtabstreitbarkeit

Wer an einer Transaktion, Kommunikation oder einem Datenaustausch beteiligt war, kann diese Beteiligung nicht abstreiten. Herkunfts- und Zustellungsnachweise, detaillierte Protokolle, digitale Signaturen (erstellt mit dem privaten Schlüssel des Absenders, überprüfbar mit dessen öffentlichem Schlüssel) und kryptografische Verfahren liefern die Beweismittel – digital signierte Verträge sind im E-Commerce oft rechtsverbindlich.




Informationssicherheitsziele und Sicherheitsziele

Informationssicherheitsziele sind speziell auf den Schutz von Informationsressourcen ausgerichtet und typischerweise Teil der Gesamtsicherheitsziele. Sicherheitsziele decken ein breiteres Spektrum ab – von der physischen Sicherheit von Gebäuden über Personalsicherheit bis zu Betriebsprozessen und dem Schutz vor diversen Bedrohungen.