IT-Schutzziele – Integrität von Daten

Besonders die Nutzung des Internets stellt Unternehmen vor immer neue Herausforderungen. Kriminelle Machenschaften und Cyberkriminalität belasten die IT-Abteilungen und es wird eine erhöhte Wachsamkeit eingefordert. Die Experten müssen sich mit Homeoffice-Regelungen beschäftigen und gleichzeitig sind wachsende Datenströme und eine unaufhörliche technische Entwicklung zu verzeichnen. Unternehmen sind aber dazu verpflichtet, Informationen und Daten vor unbefugten Zugriff zu schützen. Ein Missbrauch von Daten kann durch veraltete und nicht sichere Systeme entstehen, aber auch menschliches Versagen und Cyberkriminalität müssen benannt werden. Möchte ein Unternehmen Informationssicherheit erlangen, so müssen die obligatorischen IT-Schutzziele der Vertraulichkeit, Integrität und der Verfügbarkeit jederzeit gewährleistet werden.

Die drei Schutzziele – ein Überblick 

Wird der Bereich der Informationssicherheit betrachtet, so kann ein Verantwortlicher sich nicht auf eine rechtliche Grundlage beziehen, wie sie beim Thema Datenschutz gegeben ist. Aus diesem Grund muss der Verantwortliche das unternehmerische Risiko selber bewerten und die erforderlichen Maßnahmen selbständig definieren. Werden die genannten Schutzziele betrachtet, so ergeben sich diese aus einer Empfehlung des Bundesamtes in der Informationstechnik (BSI). Die Ziele sind vergleichbar mit den Anforderungen aus der ISO 27001, welche die internationale Norm zum Aufbau eines Informationssicherheits-Managementsystems darstellt. Die verbriefte Aussage des IT-Grundschutz-Kompendium des BSI definiert die Situation folgendermaßen: „Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in IT-Systemen oder auch in Köpfen gespeichert sein. Die Schutzziele oder auch Grundwerte der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Viele Anwender ziehen in ihre Betrachtungen weitere Grundwerte mit ein. Da Unternehmen die Brisanz der Thematik erkannt haben, werden die Ziele hinsichtlich der Bereiche Verbindlichkeit, Authentizität und Zurechenbarkeit selbstständig erweitert und um eigene Regeln ergänzt.

Die Vertraulichkeit 

Ein wichtiger Bestand der Schutzziele der Informationssicherheit ist der Bereich der Vertraulichkeit. Die IT-Schutzziele der Vertraulichkeit können nur dann erfüllt werden, wenn ausschließlich ein befugter Personenkreis einen Zugang zu den vorhandenen Daten erlangen kann – für weitere Personen muss ein Datenzugriff unerreichbar bleiben. Besonders IT-Abteilungen müssen sich in diesem Fall um eine ordnungsgemäße Rechtevergabe innerhalb der Unternehmung kümmern. Es ist zu definieren, welche Rechte ein einzelner User erhält und wie dieser Zugang gewährt wird. In diesem Zusammenhang muss ein Verantwortlich darauf achten, dass nur der Zugang zu den gewünschten Daten freigeschaltet ist und weitere Daten abgesichert bleiben. Im Bereich der Vertraulichkeit geht es nicht nur um die Sicherung von physischen und digitalen Daten, sondern auch weitere Wege der Datenübertragung müssen beachtet werden. Insbesondere der E-Mail-Verkehr innerhalb des Unternehmens muss hinsichtlich der Vertraulichkeit bewertet werden. Werden die Maßnahmen betrachtet, um die IT-Schutzziele der Vertraulichkeit zu erfüllen, sind diese Punkte zu beachten: 

• Daten und Informationen müssen verschlüsselt werden 
• Eine ordnungsgemäße Zugangssteuerung muss gewährleistet sein 
• Die Umgebungssicherheit und die physische Sicherheit muss beachtet werden 
• Die Betriebssicherheit ist zu überprüfen und sicherzustellen 
• Sicherheit der Kommunikationswege

Die Integrität 

Wird der Bereich der Integrität innerhalb der IT-Schutzziele betrachtet, so wird deutlich, dass vorhandene Daten nur geändert werden dürfen, wenn dies nachvollziehbar ist und eine ungewünschte Änderung der Daten ausgeschlossen wird. Ermöglicht ein Unternehmen eine Änderung der Daten, so ist die Integrität nur dann gewährleistet, wenn die Änderung nachvollziehbar ist und auch die verantwortliche Person benennbar bleibt. Dieser Bereich deckt sich mit dem Ziel der Vertraulichkeit, da auch bei der Integrität ein unbefugter Zugriff ausgeschlossen werden soll. Möchte man die Datenintegrität sicherstellen, so ist darauf zu achten, dass unbemerkte Veränderungen der Informationen ausgeschlossen werden und somit die Daten immer nachvollziehbar bleiben. Unternehmen müssen besonders auf die verwendeten Systeme und interne Prozesse achten, um die Vorgaben der Integrität zu erfüllen. Als Maßnahmen, welche Unternehmen hinsichtlich der Integrität durchführen können, sind zu nennen: 

• Eine umgesetzte Zugangssteuerung 
• Das Wertemanagement 
• Das Implementieren von zuverlässigen Systemen 
• Die permanente Wartung der Systeme

Die Verfügbarkeit 

Verfügt ein Unternehmen über vertrauliche Daten und Informationen, welche integre behandelt werden, so stellt sich ein internes Problem – es muss definiert werden, wie befugte Personen die gewünschten Daten abrufen können. Das IT-Schutzziel der Verfügbarkeit setzt an diesem Punkt an und somit wird von Unternehmen eingefordert, eine technologische Basis zu schaffen, welche eine Verfügbarkeit der Daten sicher gewährleistet. Eine Verfügbarkeit von Daten geht immer mit dem Schutz vor Systemausfällen einher und aus diesem Grund muss ein Unternehmen Systemausfälle unterbinden. Gehen in einem Unternehmen Daten und Informationen verloren, so müssen die Verantwortlichen aus dem Bereich der Informationssicherheit sicherstellen, dass der gewünschte Betriebszustand schnellstmöglich wieder hergestellt wird – in diesem Fall würde die IT-Abteilung ein Backup der Daten einspielen. Eine Verfügbarkeit von Daten kann mit diesen Maßnahmen erreicht werden: 

• Anschaffung von sicheren Systemen 
• Entwicklung von Systemen 
• Wartung von Systemen 
• Analyse des bestehenden Risikos 
• Das interne Management bei Vorfällen, welche die Informationssicherheit betreffen 
• Ein internes Kontinuitätsmanagement

Erweiterte Schutzziele – wie kann ein Unternehmen sich noch effizienter absichern?

Unternehmen, welche die IT-Schutzziele der Vertraulichkeit, Verfügbarkeit und Integrität beachten, erweitern diese in vielen Fällen noch um weitere Schutzziele, welche sich in die Bereiche der Authentizität, Verbindlichkeit und der Zurechenbarkeit aufgliedern. 

Die Authentizität 

Wird das Schutzziel der Authentizität beschrieben, so handelt es sich um die Sicherstellung der Echtheit von Daten. Jedes Unternehmen muss diese Daten hinsichtlich der vorhandenen Eigenschaften überprüfen. 

Die Verbindlichkeit und die Zurechenbarkeit 

Die Begriffe der Verbindlichkeit und der Zurechenbarkeit sind eng miteinander verbunden. Der Begriff der Verbindlichkeit definiert, dass ein Handelnder eine Tätigkeit nicht abstreiten kann. Eine Handlung oder Tätigkeit kann somit dem Handelnden problemlos zugeordnet werden. Diese Zuordnung einer Tätigkeit wird dem Begriff der Zurechenbarkeit zugeordnet. In Unternehmen wird die Zurechenbarkeit oft über Zugangsberechtigungen abgebildet. Diese Berechtigungen ermöglichen es einem Unternehmen, Handlungen einer Person zweifelsfrei zuzuordnen. 

Welche Hinweise sollte ein Unternehmen beachten – ISO 27001 

Wird in einem Unternehmen über die Thematik der Schutzziele diskutiert, so studieren viele Verantwortliche die Handlungsanweisungen und Fallbeispiele, welche in der internationalen Norm ISO 27001 benannt werden. Als bekanntestes Instrument, welches in der ISO 27001 empfohlen wird, sei der Betrieb eines zentralen Elements genannt, welches sich über ein Informationssicherheits-Managementsystem (ISMS) definiert. Wird ein ISMS betrieben, so wird sich mit einer Herangehensweise beschäftigt, welches die Informationssicherheit innerhalb einer Unternehmung abbildet. Das ISMS beinhaltet hierbei gleichzeitig die klare Definition der zu erreichenden Schutzziele. Durch dieses Vorgehen wird das Unternehmen nachhaltig vor Sicherheitsverletzungen geschützt, welches auch den Bereich von internen Störungen beinhaltet. Die Umsetzung der ISO 27001 stellt für Unternehmen eine große Herausforderung dar und aus diesem Grund ist es anzuraten, die Experten von heydata zu kontaktieren, welche eine große Expertise hinsichtlich der IT-Schutzziele und den Bereich der ISO 27001 vorweisen können. 

Die Bewertung von Schutzzielen 

Datensicherheit darf nicht nur in der Theorie in einem Unternehmen existieren – aus diesem Grund muss die Wirkungsweise der Ziele regelmäßig überprüft und bewertet werden. Werden Schwachstellen innerhalb des ISMS erkannt, so ist es notwendig, diese Risikofaktoren zeitnah zu beseitigen. Eine ständige Weiterentwicklung der Prozesse und Systeme muss grundsätzlich im Fokus stehen und auf einer operativen Ebene müssen alle Mitarbeiter sensibilisiert werden. Wird bei der Bewertung der Schutzziele ein negatives Ergebnis festgestellt, so erhöht sich die Gefahr, dass ein Schaden entsteht. Dieser Schaden kann finanzielle Einbußen, aber auch einen Imageverlust bedeuten. Besonders im Bereich der IT-Sicherheit ist es zwingend notwendig, alle erforderlichen Patches und Updates durchzuführen, da besonders Cyberkriminalität ein hohes Risiko darstellt. Unerwünschte Ransomware kann gezielt Daten abfangen, welche dann für kriminelle Machenschaften verwendet werden können. Werden Daten verkauft, so wird dies einen unmittelbaren Schaden bedeuten, aber auch ein DSGVO-Verstoß könnte angezeigt werden. Wird ein Verlust von Daten von dem Medien aufgegriffen, so kann dies Kunden und Lieferanten aufzeigen, dass das Unternehmen Daten und Informationen nicht sicher verwaltet – dies bedeutet einen Imageverlust, einen Kunden- und Lieferantenverlust und einen Imageverlust, der mit finanziellen Einbußen einhergeht. 

Ein Fazit 

Unternehmen müssen in der heutigen Zeit immer mehr auf Daten und Informationen achten. Geraten Daten in die falschen Hände, so kann dies ein Unternehmen stark belasten. Nicht nur ein Imageverlust und finanzielle Einbußen sind die Folge, sondern auch rechtliche Konsequenzen können innerhalb einer Unternehmung eine Krise auslösen. Aus diesem Grund sollten Unternehmenswerte und gleichzeitig die Daten der Betroffenen geschützt werden.