C.I.A.

cia
@Adobe @Sashkin

confidentiality, integrity, and availability (CIA triad)

(Vertraulichkeit, Integrität und Verfügbarkeit (CIA-Triade))

Vertraulichkeit, Integrität und Verfügbarkeit, auch bekannt als die CIA-Triade, ist ein Modell, das die Richtlinien für die Informationssicherheit innerhalb einer Organisation leiten soll. Das Modell wird manchmal auch als AIC-Triade (Verfügbarkeit, Integrität und Vertraulichkeit) bezeichnet, um Verwechslungen mit der Central Intelligence Agency zu vermeiden. Die Elemente der Triade werden als die drei wichtigsten Komponenten der Sicherheit angesehen.

In diesem Zusammenhang ist die Vertraulichkeit ein Regelwerk, das den Zugang zu Informationen einschränkt, die Integrität ist die Gewissheit, dass die Informationen vertrauenswürdig und genau sind, und die Verfügbarkeit ist eine Garantie für einen zuverlässigen Zugang zu den Informationen durch autorisierte Personen.

Die Vertraulichkeit:

Vertraulichkeit ist in etwa gleichbedeutend mit Privatsphäre. Die Maßnahmen zur Gewährleistung der Vertraulichkeit sollen verhindern, dass sensible Informationen die falschen Personen erreichen, und gleichzeitig sicherstellen, dass die richtigen Personen sie auch tatsächlich erhalten können: Der Zugang muss auf die Personen beschränkt werden, die zur Einsicht der betreffenden Daten berechtigt sind. Es ist auch üblich, dass Daten nach dem Umfang und der Art des Schadens kategorisiert werden, der entstehen könnte, wenn sie unbeabsichtigt in die Hände fallen. Je nach diesen Kategorien können dann mehr oder weniger strenge Massnahmen umgesetzt werden.

Manchmal kann die Wahrung der Vertraulichkeit von Daten eine spezielle Schulung der Personen erfordern, die in solche Dokumente eingeweiht sind. Eine solche Schulung würde in der Regel Sicherheitsrisiken beinhalten, die diese Informationen bedrohen könnten. Eine Schulung kann dazu beitragen, autorisierte Personen mit den Risikofaktoren und dem Schutz vor diesen Risiken vertraut zu machen. Weitere Aspekte der Schulung können starke Passwörter und passwortbezogene Best Practices sowie Informationen über Social-Engineering-Methoden umfassen, um zu verhindern, dass sie die Regeln der Datenverarbeitung mit guten Absichten und potenziell katastrophalen Ergebnissenverbiegen.

Ein gutes Beispiel für Methoden zur Gewährleistung der Vertraulichkeit ist eine Kontonummer oder eine Routingnummer beim Online-Banking. Die Datenverschlüsselung ist eine gängige Methode zur Gewährleistung der Vertraulichkeit. Benutzer-IDs und Passwörter sind ein Standardverfahren; die Zwei-Faktor-Authentifizierung wird zur Norm. Weitere Optionen sind biometrische Verifikation und Sicherheitstoken, Schlüsselanhänger oder Soft-Token. Darüber hinaus können Benutzer Vorkehrungen treffen, um die Anzahl der Orte, an denen die Informationen erscheinen, und die Anzahl der tatsächlichen Übertragungen zum Abschluss einer erforderlichen Transaktion zu minimieren. Zusätzliche Maßnahmen können im Fall von extrem sensiblen Dokumenten, Vorsichtsmaßnahmen wie die Speicherung nur auf luftüberwachten Computern, nicht angeschlossenen Speichergeräten oder, bei hochsensiblen Informationen, nur in Papierform getroffen werden.

Die Integrität:

Integrität bedeutet, die Konsistenz, Genauigkeit und Vertrauenswürdigkeit von Daten über ihren gesamten Lebenszyklus hinweg zu erhalten. Die Daten dürfen während der Übertragung nicht verändert werden, und es müssen Schritte unternommen werden, um sicherzustellen, dass die Datennicht von Unbefugten (z.B. bei einer Verletzung der Vertraulichkeit) verändert werden können. Zu diesen Maßnahmen gehören Dateiberechtigungen und Benutzerzugriffskontrollen. Die Versionskontrolle kann verwendet werden, um zu verhindern, dass irrtümliche Änderungen oder versehentliches Löschen durch autorisierte Benutzer zu einem Problem werden. Darüber hinaus müssen einige Mittel vorhanden sein, um Änderungen an Daten zu erkennen, die durch nicht von Menschen verursachte Ereignisse wie einen elektromagnetischen Impuls (EMP) oder einen Serverabsturz auftreten könnten. Einige Daten können Prüfsummen, sogar kryptographische Prüfsummen, zur Überprüfung der Integrität enthalten. Es müssen Sicherungen oder Redundanzen vorhanden sein, um die betroffenen Daten wieder in den korrekten Zustand zu bringen.

Die Verfügbarkeit:

Die Verfügbarkeit wird am besten durch eine rigorose Wartung der gesamten Hardware, die sofortige Durchführung von Hardware-Reparaturen bei Bedarf und die Aufrechterhaltung einer korrekt funktionierenden Betriebssystemumgebung, die frei von Software-Konflikten ist, gewährleistet. Es ist auch wichtig, bei allen notwendigen System-Upgrades auf dem Laufenden zu bleiben. Die Bereitstellung einer angemessenen Kommunikationsbandbreite und die Vermeidung von Engpässen sind ebenso wichtig. Redundanz, Failover, RAID und sogar Hochverfügbarkeits-Clusterkönnen ernsthafte Konsequenzen mildern, wenn Hardware-Probleme auftreten. Eine schnelle und anpassungsfähige Notfallwiederherstellung ist für den schlimmsten Fall unerlässlich; diese Kapazität hängt von der Existenz eines umfassenden Notfallwiederherstellungsplans (DRP) ab. Der Schutz vor Datenverlust oder Verbindungsunterbrechungen muss unvorhersehbare Ereignisse wie Naturkatastrophen und Feuer einschließen. Um Datenverluste durch solche Ereignisse zu verhindern,kann eine Sicherungskopie an einem geographisch isolierten Ort, vielleicht sogar in einem feuerfesten, wasserdichten Safe, aufbewahrt werden. Zusätzliche Sicherheitseinrichtungen oder Software wie Firewalls und Proxy-Server können vor Ausfallzeiten und unerreichbaren Daten aufgrund von böswilligen Aktionen wie Denial-of-Service-Angriffen (DoS) und Netzwerkeinbrüchen schützen.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen