Schutzziele: CIA und CIAA

Schutzziele: CIA und CIAA

Management Summary

Die klassischen Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Diese drei Schutzziele werden oft als CIA-Triade bezeichnet, da die Anfangsbuchstaben der englischen Übersetzungen dieser Wörter gerade C, I und A sind.
Inzwischen hat ein weiteres Schutzziel an Bedeutung gewonnen. Zunächst vom BSI als Teilbereich der Integrität bezeichnet, wird die Authentizität mittlerweile von vielen Regularien und Standards auf gleicher Augenhöhe mit der CIA-Triade erwähnt.  Lesezeit 4 Minuten


Einleitung

Das zentrale Motiv der Informationssicherheit ist die Gewährleistung der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Allerdings gibt es eine rege Debatte, ob die Sicherstellung dieser Triade tatsächlich ausreicht, um Sicherheit von Informationen garantieren zu können. Daher wurden im Laufe der Jahre die Liste der Schutzziele erweitert oder gar neue Modelle vorgeschlagen.
Ein Beispiel für ersteres ist die Nichtabstreitbarkeit: Handlungen an Informationen oder IT-Systemen sollen nicht unzulässig abstreitbar sein. Existiert zwar ein Authentifizierungsverfahren, dass auf Passwortabfrage basiert, doch Passwörter werden unter Kollegen geteilt, so kann ein authentifizierter Nutzer nach einem von seinem Account begangenen Informationssicherheitsvorfall abstreiten diesen verursacht zu haben. Denn es ist durchaus möglich, dass ein Kollege sich mit Hilfe des Passworts Zugang verschaffen hat. Gegenstand der Nichtabstreitbarkeit ist es solche das Situation zu vermeiden.
Genauer beleuchten möchten wir im Folgenden aber ein anderes Schutzziel, nämlich Authentizität. Im Rahmen der Informationssicherheit ist damit die Echtheit und Vertrauenswürdigkeit einer Information aber auch Person gemeint. In den IT-Grundschutz-Katalogen nennt das Bundesamt für Sicherheit in der Informationstechnik (BSI) dieses Attribut im gleichen Atemzug mit der zuvor erwähnten Triade und schafft damit ein Quartett der Informationssicherheit.
Bevor wir uns im Folgenden mit den Gründen für die Aufwertung der Authentizität sowie ihre Auswirkungen wollen wir uns noch einmal die Definition der übrigen Schutzziele ins Gedächtnis rufen.

Die Schutzziele

Die zuvor genannten Schutzziele werden häufig durch das sogenannte CIA-Triade (siehe Abbildung 1) visualisiert. Dabei steht das Akronym CIA für die Anfangsbuchstaben der englischen Entsprechungen der drei Schutzziele Vertraulichkeit (Confidendiality), Integrität (Integrity) und Verfügbarkeit (Availability). Ergänzt man dieses Modell durch die Authentizität (englisch Authenticity), so erhält man das CIAA-Quartett (siehe Abbildung 1).

Vertraulichkeit

Das Ziel der Vertraulichkeit ist der Schutz von Informationen vor unbefugter Einsicht. Dies erlangt besondere Wichtigkeit in Zusammenhang mit personenbezogenen Daten (wie Kunden- oder Mitarbeiterdaten), deren Schutz beispielsweise durch die Datenschutzgrundverordnung (DSGVO) gefordert wird. Aber auch Unternehmen haben ein Interesse, dass sensible Daten nicht in die Hände der Konkurrenz fallen.
Die Vertraulichkeit von Informationen kann durch angemessene Berechtigungsvergabe in Verbindung mit Authentifizierungsverfahren sowie Verschlüsselung sichergestellt werden.

Integrität

Unter dem Begriff Integrität versteht man einerseits die Korrektheit von Daten, und zwar in dem Sinne, dass Daten sowohl vollständig als auch unverändert sind. Beispielsweise stellt die Manipulation der Bankverbindung eines Kunden eine Verletzung der Integrität dar. Im weiteren Sinne umfasst Integrität auch Informationen wie Metadaten und betrifft somit unter anderem auch das Datum der letzten Änderung eines Dokuments.
Andererseits bezeichnet Integrität auch die korrekte Funktionsweise von IT-Systemen.

Verfügbarkeit

Informationen, IT-Systeme und Anwendungen sind verfügbar, wenn sie Anwendern zugänglich sind und von diesen wie vorgesehen genutzt werden können. Malware, die Unternehmensdaten verschlüsselt und damit unleserlich macht, oder der Ausfall eines Servers stellen Verletzungen der Verfügbarkeit dar.
Einschränkungen der Verfügbarkeit können auf vielfältige Art und Weise zu geldwerten sowie Reputationsverlusten für Unternehmen führen.

Authentizität

Die Authentizität einer Person bedeutet, dass ihre Identität sowie ihre Aussagen zu ihrer Identität übereinstimmen. Eine Information ist authentisch, wenn die angegebene Autorin der Information tatsächlich ihre Verfasserin ist. Wird der Absender einer E-Mail ausgetauscht, so verliert die E-Mail ihre Authentizität.
Eine große Rolle spielt Authentizität auch beim Zugang zu IT-Systemen und Anwendungen. Bevor Zugang gewilligt wird, muss ein Nutzer in der Lage sein sich zu authentifizieren. Dies kann durch Passworteingabe geschehen. Je nach Schutzbedarf des IT-Systems oder der Anwendungen können Authentifizierungsverfahren allerdings auch mehrere sogenannte Faktoren abfragen.

Weitere Informationen zu den Schutzzielen und anderen Themen rund um die Cybersicherheit finden Sie auch in unserem Cybersicherheit Glossar.

Die Rolle der Authentizität

Gerade im Zusammenhang mit Informationen gibt es deutliche Überschneidungen zwischen den Begriffen Integrität und Authentizität. Ob die angegebene Autorin eines Dokument dieses auch tatsächlich verfasst hat, ist eine Frage der Authentizität. Sollten angegebene Autorin und tatsächliche Verfasserin nicht übereinstimmen, ist damit allerdings auch die Korrektheit des Dokuments (bzw. der Metadaten des Dokuments) kompromittiert und insofern auch die Integrität betroffen. Dass die Authentizität durch das BSI aufgewertet wurde, liegt also nicht mit der (dahingehenden) Unvollständigkeit der bestehenden CIA-Triade zusammen. Ziel ist es ein stärkeres Bewusstsein für die Authentizität zu schaffen.

CIA und CIAA in Regularien

Die CIA-Triade sowie ihre Erweiterung um das vierte Standbein Authentizität findet sich in vielen Gesetzestexten, Regularien und Standards wieder, die die Informationssicherheit von Unternehmen betreffen. Folgend ist eine Auflistung der Erwähnung der drei beziehungsweise vier Schutzziele in den Regularien und Standards:

  • IT-Grundschutz-Kataloge
  • IT-Sicherheitsgesetz (IT-SiG)
  • Bankenaufsichtliche Anforderungen an die IT (BAIT)
  • Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
  • Datenschutzgrundverordnung (DSGVO)

Wie eingangs beschrieben wird Authentizität bereits in den IT-Grundschutz-Katalogen des BSI im gleichen Atemzug mit der CIA-Triade erwähnt und zwar in der Benennung von Schadenskategorien in der Informationssicherheit . Allerdings wird die Authentizität dort als Teilbereich (beziehungsweise Subkategorie) der Integrität untergeordnet, ihre steigende Bedeutung aber verdeutlicht.
Inzwischen steht Authentizität aber auf der gleichen Stufe wie Vertraulichkeit, Integrität und Verfügbarkeit, wie das IT-SiG beweist. In dieser Gesetzesnovelle wird von Betreibern kritischer Infrastrukturen nicht nur verlangt organisatorische und technische Vorkehrungen zur Sicherung der drei klassischen Schutzziele für IT-Systeme, -Komponenten und -Prozesse zu treffen, sondern auch zur Wahrung der Authentizität. Auch die Meldepflicht erheblicher Störungen an das BSI der Schutzziele bezieht die Authentizität mit ein.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verwendet in ihren Texten ebenfalls das CIAA-Quartett, so beispielsweise in den Rundschreiben BAIT und VAIT, die Anforderungen an die IT von Banken und Versicherungen stellen. Beispielsweise wird im dritten Themenmodul dieser Rundschreiben, welches Vorgaben an das Informationsrisikomanagement formuliert, verlangt, dass IT-Systeme und zugehörige IT-Prozesse die Integrität, die Verfügbarkeit, die Vertraulichkeit sowie die Authentizität wahren. Und wie das BSI spricht die BaFin nicht nur dann von einem Informationssicherheitsvorfall, wenn eines der Schutzziele der CIA-Triade verletzt wird, sondern auch, wenn lediglich die Authentizität kompromittiert ist.
Letztlich finden sich die Schutzziele auch in der DSGVO. In Artikel 32 werden Anforderungen an die Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit von datenverarbeitenden Systemen und Diensten beschrieben, die CIA-Triade also durch Belastbarkeit ergänzt. In Erwägungsgrund 49 wird das Sammeln personenbezogener Daten zur Gewährleistung der Netz- und Informationssicherheit als überwiegendes berechtigtes Interesse bezeichnet, da dies dem Schutze der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit dient (hier ist wieder vom CIAA-Quartett die Rede).

Quellen

[1] Bundesamt für Sicherheit in der Informationstechnik: “IT-Grundschutz Kataloge”. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/itgrundschutzkataloge_node.html (16.07.2018)
[2] Deutscher Bundestag: “Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)”. https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&start=//*%255B@attr_id=%27bgbl115s1324.pdf%27%255D#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl115s1324.pdf%27%5D__1531743673579 (16.07.2018)
[3] Bundesanstalt für Finanzdienstleistungsaufsicht: “Rundschreiben 10/2017 (BA) vom 03.11.2017: Bankenaufsichtliche Anforderungen an die IT (BAIT)”. https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html (16.07.2018)
[4] Bundesanstalt für Finanzdienstleistungsaufsicht: “Rundschreiben 10/2018: Versicherungsaufsichtliche Anforderungen an die IT (VAIT)”. https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1810_vait_va.pdf?__blob=publicationFile&v=4 (16.07.2018)
[5] Europäisches Parlament und europäischer Rat: “Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)”. https://dsgvo-gesetz.de (16.07.2018)

Autor

Carsten Reffgen