Die Welt befindet sich in einer digitalen Transformation. Diese bringt zwar Chancen, aber auch zunehmend Risiken mit sich. Besonders für Unternehmen ist es wichtig, sich gegen mögliche Risiken der digitalen Transformation abzusichern. In diesem Blog werden wir die elementaren drei Schutzziele (Cyber Basics) der Informationssicherheit erläutern und aufzeigen, was Ihr Unternehmen dagegen unternehmen kann.
Grundlagen
Die drei grundlegenden Schutzziele der Cyber Security sind folgende:
Im Umgang mit Cyber Risiken empfehlen wir, dass Sie mindestens über die Grundlagen in den drei Schutzzielen der Cyber Security verfügen. Deshalb werden wir diese Grundlagen nachfolgend etwas ausführlicher erläutern.
1. Vertraulichkeit
Dieses Prinzip bezieht sich darauf, dass sensible Informationen nur von berechtigten Personen zugänglich sein sollten. Das bedeutet, dass alle Daten, die als vertraulich klassifiziert sind, geschützt werden sollten. Damit stellen Sie sicher, dass diese Daten nicht von Unbefugten eingesehen oder gestohlen werden können.
Was ist zu tun?
Legen Sie für Ihre Unternehmen fest, wer, wann und in welcher Form auf sensible Daten zugreifen kann. Um dieses Schutzziel zu erreichen, können Sie Verschlüsselungen und Systeme für die Kontrolle der Zugangsberechtigungen einsetzen. Zudem gilt es, Verfahren für die Betriebs- und Kommunikationssicherheit sowie die physische Sicherheit einzuführen.
2. Integrität
Dieses Prinzip bezieht sich darauf, dass Daten genau und vollständig sein sollten und nur von berechtigten Personen geändert werden dürfen. Um die Integrität von Daten zu wahren sollte das Unternehmen beispielsweise sicherstellen, dass Daten während der Übertragung nicht manipuliert werden können. Dazu gibt es verschiedene Anwendungstechniken, auf die wir hier jedoch nicht weiter eingehen werden.
Was ist zu tun?
Entwickeln Sie Konzepte und setzen Sie diese um, so dass eine unerlaubte Veränderung von Daten ausgeschlossen werden kann. Führen Sie Verfahren ein, welche eine mögliche Verletzung dieses Schutzzieles sofort erkennen und melden. Berücksichtigen Sie, dass oftmals fehlerhafte Systeme die Integrität verletzen können.
3. Verfügbarkeit
Dieses Prinzip bezieht sich darauf, dass Daten für berechtigte Benutzer zugänglich sein sollten, wenn sie benötigt werden. Das bedeutet, dass Systeme und Netzwerke verfügbar sein sollten, wenn sie gebraucht werden, um einen reibungslosen Geschäftsbetrieb zu gewährleisten.
Was ist zu tun?
Die Verfügbarkeit der Daten kann unter anderem durch Ausfälle, reduzierte Erreichbarkeit, Fehlverhalten, oder Performanceprobleme beeinträchtigt werden. Da die Ursachen und die Auswirkungen sehr vielfältig sein können, empfehlen wir Ihnen, eine Risikoanalyse vorzunehmen. Idealerweise wird diese wiederkehrend durchgeführt, um die Schutzvorkehrungen stetig den neuen Risiken anzupassen.
Erweiterte Schutzziele
Über diese drei Schutzziele hinaus gibt es zusätzlich folgende «erweiterte Schutzziele»:
- die Verbindlichkeit,
- die Authentizität,
- die Zurechenbarkeit.
Unter der Authentizität versteht man die Echtheit oder die Vertrauenswürdigkeit einer Information. Die Verbindlichkeit stellt sicher, dass eine Handlung nicht abgestritten werden kann. Über die Zurechenbarkeit wird die Verbindlichkeit geregelt, indem sie den Handlungsverursacher genau identifiziert.
Fazit
Cyber Security beschränkt sich nicht nur auf die Technologie. Sie muss immer auch die Organisation, das Personal, die Prozesse und das Umfeld (beispielsweise Geschäftspartner) mit einbeziehen. In dieser gesamtheitlichen Betrachtung gilt es dann, die drei Schutzziele der Vertraulichkeit, Verfügbarkeit, Integrität sicherzustellen.
