Die CIA-Triade: Vertraulichkeit, Integrität, Verfügbarkeit

Heutzutage ist Sicherheit für Unternehmen wichtiger als der Umsatz. Wenn eure Firma maximal viele Vertragsverlängerungen erzielen muss, verkauft ihr das Produkt nicht nur einmal – ihr verkauft es Tag für Tag. Sobald eure Sicherheit gefährdet ist oder Dienste ausfallen, denken eure Kunden und Anwender garantiert darüber nach, zur Konkurrenz abzuwandern. Deshalb benötigt ihr eine starke Sicherheitsstrategie auf Basis der CIA-Triade: Confidentiality, Integrity & Availability (Vertraulichkeit, Integrität & Verfügbarkeit).

Die CIA-Sicherheitstriade leitet Informationssicherheitsstrategien und gibt Orientierung bei der Implementierung von Sicherheitsrahmenwerken und der Bedrohungsaufklärung im Cybersecurity-Bereich. Sicherheitsexperten unterstreichen die aktuelle Relevanz dieser Konzepte, auch wenn Aktualisierungen nötig sein könnten.

Am besten sehen wir uns das genauer an.

Kurzfassung der Triade: Vertraulichkeit vs. Integrität vs. Verfügbarkeit

Dies ist ein umfassender Artikel, fassen wir ihn deshalb kurz zusammen:

• Vertraulichkeit schützt Informationen (Daten) vor unberechtigtem Zugriff.
• Integrität bezeichnet die Genauigkeit und Konsistenz von Daten sowie die Vollständigkeit und Zuverlässigkeit von Systemen.
• Verfügbarkeit steht für die Fähigkeit der Benutzer, bei Bedarf auch unter erschwerten Bedingungen auf Systeme und Informationen zuzugreifen.

Die CIA-Triade, die die wichtigsten Eigenschaften von Informationen identifiziert und so jede Organisation schützt, ermöglicht es Sicherheitsteams, Risiken effektiv und quantitativ zu analysieren. Ja, es gibt in der Branche Diskussionen darüber, ob diese Konzepte eine Überarbeitung benötigen. Darauf gehen wir später ein.

Die Rolle der Sicherheit.

Zunächst fragt ihr euch vielleicht, warum Sicherheit so wichtig ist – oder warum sie so schwer zu erreichen ist.

Ein Grund für die wachsenden Bedeutung von Cybersicherheit ist die Zunahme der Cyberkriminalität. Cyberangriffe nehmen heutzutage zu, entwickeln sich weiter und verursachen größere Schäden. Sie zielen auf alles Mögliche ab – von kritischer Infrastruktur bis hin zu persönlichen Daten. Diese Angriffe nehmen mit der wachsenden Nutzung von Cloud-Diensten, vernetzten Geräten und Remote-Arbeit zu. Zu den bemerkenswertesten Angriffen zählten zum Beispiel:

• Anfang 2024 nutzte eine Gruppe das Fehlen von MFA (Multi-Faktor-Authentifizierung) bei einem alten Konto aus und verschaffte sich Zugang zu Unternehmens-E-Mails von Microsoft, darunter auch E-Mails von Behörden.
• Im Februar 2024 führte ein Angriff auf Change Healthcare zur Abschaltung zahlreicher IT-Systeme. Dies betraf Apotheken und Krankenhäuser in den USA. Die Ransomware legte sensible Patientendaten offen, was etwa ein Drittel der US-Bevölkerung betraf.
• Die weitverbreiteten VPNs von Ivanti waren massiven Angriffen ausgesetzt. Zu den Opfern gehörte auch die US-amerikanische CISA (Cybersecurity and Infrastructure Security Agency).
• Sicherheitsverletzungen wie die oben genannten können finanziellen Schaden, Vertrauensverlust bei Kunden und teure Wiederherstellungsmaßnahmen verursachen. Korrekt implementierte Cybersicherheitsprotokolle können
• Datenschutz und die Einhaltung von Vorschriften wie HIPAA oder DSGVO sicherstellen und damit sensible Daten schützen.
• Ransomware oder Datenlecks verhindern und damit das Risiko finanzieller Verluste minimieren.
• Vor Cybervorfällen schützen. Störungen reduzieren und die Geschäftskontinuität sicherstellen.
• Vertrauen bei Partnern, Stakeholdern und Kunden aufbauen, da euer Unternehmen das Engagement zum Schutz der Kundendaten mit aktuellen Cybersicherheitspraktiken und -protokollen demonstriert.

Klar, den Schutz der eigenen Daten bekommt man doch noch hin, oder? Passwortmanager, Multi-Faktor-Authentifizierung, USB-Sticks, Sicherheitsschlüssel, VPNs.

Stellt euch nun vor, ihr seid der Chief Information Security Officer (CISO) eines großen, multinationalen Unternehmens. Sicherheit wirkt dadurch plötzlich viel anspruchsvoller. Wenden wir uns nun den Grundlagen der Cybersicherheit zu.

Vertraulichkeit in der Sicherheit

Vertraulichkeit steht an erster Stelle, und zwar aus gutem Grund, sagt Larry Kinkaid von BARR Advisory:

„Sicherheitsstrategien legen den Hauptfokus meist darauf, Daten vor neugierigen Blicken zu schützen. Auf der grundlegendsten Ebene bedeutet dies, dass Benutzer ihre Identität authentifizieren und nachweisen müssen, wer sie sind. Das System bestimmt dann, ob sie zum ,Lesen‘ berechtigt sind. Deshalb gibt es Verschlüsselung schon seit langer Zeit, um Daten sowohl im Ruhezustand als auch während der Übertragung zusätzlich zu schützen.“

Vertraulichkeit lässt sich also als Schutz von Informationen vor unberechtigtem Zugriff zusammenfassen. Welche Arten von Informationen? Einige:

• Finanzielle Vermögenswerte
• Geistiges Eigentum wie Urheberrechte, Patente, Marken oder auch Code- und Software-Repositories
• Alle möglicherweise sensiblen Kommunikationsformen wie E-Mails, Slack- und Teams-Nachrichten, SMS, aufgezeichnete Anrufe, Besprechungen und mehr

Dann stellt sich die Frage, wie sich vertrauliche Daten vor unberechtigtem Zugriff schützen lassen? Betrachten wir zunächst, wie Vertraulichkeit verletzt wird. Anschließend schauen wir, wie sie sich gewährleisten lässt.

Wie Vertraulichkeitsverletzungen entstehen

Eine Sicherheitsverletzung liegt vor, wenn Unbefugte Zugriff auf vertrauliche Daten erhalten. Dies kann auf verschiedene Weise geschehen, etwa durch Datenlecks, Insider-Bedrohungen, Social-Engineering-Angriffe und sogar Brute-Force-Attacken.

Ein Datenleck kann beispielsweise entstehen, wenn ein Angreifer Zugriff auf eine Datenbank mit sensiblen Informationen wie Kreditkartennummern und personenbezogenen Daten (PII) erhält. Ein Insider-Angriff liegt vor, wenn ein Angestellter fahrlässig oder absichtlich auf sensible Informationen zugreift und diese weitergibt.

Bei einem Social-Engineering-Angriff bringt ein Angreifer einen Mitarbeiter dazu, sensible Informationen wie Anmeldedaten preiszugeben. Phishing ist dafür ein häufig vorkommendes Beispiel.

In allen Beispielen ist die Vertraulichkeit der sensiblen Informationen gefährdet: Unbefugte können darauf zugreifen und sie möglicherweise missbrauchen. Auch wenn kein Schaden entsteht, stellt dies eine Schwachstelle dar, die ihr berücksichtigen müsst.

(Untersucht Schwachstellen, Bedrohungen und Risiken – ein weiteres grundlegendes Sicherheitsprinzip.)

So lässt sich Vertraulichkeit gewährleisten

Unternehmen können verschiedene Maßnahmen ergreifen, um Vertraulichkeit sicherzustellen.

• Verschlüsselt sensible Daten wie Kreditkartennummern oder persönliche Informationen bei der Übertragung über Netzwerke oder Speicherung auf Computern.
• Setzt Zugriffskontrollen wie Benutzerauthentifizierung und -autorisierung ein, um den Zugriff auf sensible Daten und deren Verwendung einzuschränken.
• Nutzt physische Kontrollen wie Schlösser und Sicherheitskameras, um unbefugten Zugriff auf sensible Daten an physischen Standorten wie Rechenzentren oder Bürogebäuden zu verhindern.
• Pflegt eine klare Datenschutzrichtlinie und schult eure Mitarbeiter regelmäßig in Sicherheitsverfahren, damit sie sensible Informationen korrekt handhaben.

Integrität in der Sicherheit

Als Nächstes folgt die Integrität. Integrität (oder Datenintegrität) bezeichnet die Genauigkeit und Konsistenz von Daten sowie die Vollständigkeit und Zuverlässigkeit von Systemen. Dies bedeutet, dass Daten vollständig und genau ihrer ursprünglichen Form entsprechen. Für Systeme bedeutet Integrität, dass sie frei von Beschädigungen, Manipulationen oder unbefugten Veränderungen sind.

Die Gewährleistung der Integrität von Daten und Systemen ermöglicht es Unternehmen, fundierte und zuverlässige Entscheidungen auf Basis ihrer Daten zu treffen. Zudem hilft sie, Betriebsfehler, Sicherheitsverletzungen und Verluste zu vermeiden, die der Firma schaden könnten.

Traditionell stand Integrität hinter Vertraulichkeit erst an zweiter Stelle, doch moderne Ansätze verflechten beide miteinander.

Wie Integrität gefährdet werden kann

Eine Integritätsverletzung liegt vor, wenn Daten verändert werden. Dies kann auf verschiedene Weise geschehen:

• Datenkorruption kann auftreten, wenn ein Softwarefehler oder eine Hardwarestörung dazu führt, dass Daten falsch übertragen oder gespeichert werden. Das führt zu Fehlern oder Inkonsistenzen.
• Schadsoftware.Wenn ein Angreifer Schadsoftware wie ein Virus in das System einschleust, kann dieses Daten ohne Wissen oder Zustimmung des Benutzers verändern und möglicherweise Schäden oder Störungen verursachen.
• Manipulation bezeichnet den physischen Zugriff eines unbefugten Benutzers auf einen Computer oder Speicher, um Daten zu löschen, zu ändern oder falsche beziehungsweise irreführende Informationen hinzuzufügen.

Gewährleistung der Integrität

Zur Gewährleistung der Integrität eignen sich zunächst logische Zugangskontrollen wie regelmäßige Zugriffsüberprüfungen und das Prinzip der geringsten Privilegien. Diese Kontrollen sichern die Integrität der Informationen durch Autorisierung ausschließlich bestimmter Personen. Kinkaid weist darauf hin, dass Datenverschlüsselung für die Integrität nützlich sein kann:

„Verschlüsselung gilt oft als Kontrolle für Vertraulichkeit, sie soll aber auch sicherstellen, dass Daten während der Übertragung nicht verändert werden, und sie unterstützt das Prinzip der Nichtabstreitbarkeit.“

Unternehmen können Prüfsummen oder kryptografische Hash-Werte verwenden, um zu überprüfen, ob Daten unverändert und unversehrt sind. Zusätzlich können sie Transaktionsprotokolle oder Prüfpfade einsetzen, um Änderungen an Daten und Systemen nachzuverfolgen. So erkennen sie unbefugte oder fehlerhafte Änderungen und können diese korrigieren.

Schließlich können Richtlinien und Verfahren für das Datenmanagement wie regelmäßige Back-ups und Zugangskontrollen die Daten- und Systemintegrität absichern.

Verfügbarkeit in der Sicherheit

Verfügbarkeit bezeichnet die Aufrechterhaltung des Zugriffs auf Ressourcen bei Bedarf – auch unter Belastung (wie etwa bei Naturkatastrophen) oder nach gezielten Cyberangriffen. Diese Definition fühlt sich wie ein bewegliches Ziel an, das geht vielen so. Kinkaid stellt fest, dass sich das Konzept der „Verfügbarkeit“ in den letzten Jahren am stärksten gewandelt hat.

Heute beeinflusst Verfügbarkeit praktisch jede Diskussion über Betriebszeit und Serviceverfügbarkeit. (Natürlich erleben wir auch andere Natur- und Sicherheitskatastrophen). Verfügbarkeit spielt eine zentrale Rolle in Konzepten wie:

• Business Continuity und Disaster-Recovery-Plänen
• Business Impact Analysis (BIA)
• Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
• Service Level Agreements (SLAs) für die Betriebszeit und Verfügbarkeit von Diensten

„Während diese Pläne immer schon existiert haben“, weist Kinkaid darauf hin, „dass sie heute viel formaler und ausgereifter sind und oft so erstellt werden, dass sie im Wesentlichen kundenorientiert sind. Ein starkes Sicherheitsprogramm, das die Verfügbarkeit berücksichtigt, schafft Mehrwert und kann ein Unterscheidungsmerkmal im Vergleich mit der Konkurrenz sein.“

Beispiele für Verfügbarkeitsausfälle

Zu den häufigsten Ursachen für Verfügbarkeitseinbrüche gehören Hardware- oder Softwareausfälle, Netzwerkstörungen, Stromausfälle, Naturkatastrophen und Cyberangriffe.

Ein Hardwareausfall kann zum Absturz eines Servers führen und dafür sorgen, dass User nicht mehr auf ihre Daten oder Dienste zugreifen können. Netzwerkausfälle können Benutzer daran hindern, über das Internet auf Daten oder Systeme zuzugreifen. Stromausfälle können den Zugriff auf Daten oder Systeme verhindern, die elektrische Energie benötigen. Eine Naturkatastrophe wie eine Überschwemmung oder ein Erdbeben kann physische Schäden an Rechenzentren oder anderen kritischen Infrastrukturen verursachen. Auch das verhindert den Zugriff auf Daten und Systeme. Ein Cyberangriff wie eine Denial-of-Service-Attacke kann ein System mit Datenverkehr überlasten und legitime Benutzer am Zugriff hindern.

Verfügbarkeit sicherstellen

Die Gewährleistung der Verfügbarkeit muss in vielen Bereichen der Netzwerk- und Software-Entwicklung Berücksichtigung finden:

• Setzt redundante Systeme wie mehrere Server oder Back-up-Stromquellen ein oder implementiert Caching. Auf diese Weise können bei Ausfall eines Systems die anderen weiterarbeiten und die Daten bereitstellen, die ihr benötigt.
• Verwendet Load Balancer, die eingehende Anfragen auf mehrere Systeme verteilen, damit kein einzelnes System überlastet wird und ausfällt.
• Führt regelmäßige Tests und Wartungsarbeiten an euren Systemen durch, um mögliche Verfügbarkeitsprobleme zu erkennen und zu beheben, bevor es zu Störungen kommt.

(Erfahrt mehr über das Verfügbarkeitsmanagement.)

Die CIA-Triade heute

Die CIA-Triade erweist sich auch heute noch als grundlegend und nützlich. Betrachten wir zwei Diskussionen in der Sicherheitsbranche: Ob dem Konzept weitere InfoSec-Eigenschaften hinzugefügt werden sollten und wie praktikabel es ist, wenn jeder ein digitaler Nutzer ist. Mit der Entwicklung der Bedrohungen entwickeln sich jedoch auch die Frameworks und Tools zu deren Abwehr. Lasst uns in diesem Zusammenhang NIST ansprechen.

Die Rolle von NIST in der Cybersicherheit

Das NIST (National Institute of Standards and Technology) spielt eine zentrale Rolle bei der Entwicklung von Cybersicherheits-Standards. Die Special Publication (SP) 800-12 Rev 1 zählt zu ihren wichtigsten Beiträgen mit umfassenden Richtlinien zur Sicherung von Informationssystemen. Sie konzentriert sich auch auf die Notwendigkeit, Sicherheitskontrollen über verschiedene Technologieebenen hinweg zu integrieren – von Hardware bis Software. Dies gewährleistet letztlich einen ganzheitlichen Schutzansatz.

NIST stellt sicher, dass Unternehmen nicht nur Best Practices befolgen, sondern auch über praxiserprobte Cybersicherheitslösungen verfügen. Das Cybersecurity-Framework von NIST basiert auf fünf Kernfunktionen: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Zu ihren Initiativen zählt das NCCoE (National Cybersecurity Center of Excellence), das eine Laborumgebung zur Entwicklung von Lösungen für reale Probleme bietet. Dies beinhaltet die Erkennung von Angriffen auf die Datenintegrität und die Planung von Reaktionsmaßnahmen.

Das NCCoE arbeitet mit verschiedenen Technologieanbietern und Unternehmen wie Cisco, GreenTec, Tripwire und Semperis zusammen, um Lösungen gegen sich entwickelnde Cyberbedrohungen zu schaffen. Das soll Unternehmen bei der Verbesserung ihrer Cyberabwehr unterstützen.

Zusätzliche Sicherheitseigenschaften

Sicherheitsexperten wissen natürlich, dass Computersicherheit nicht bei der CIA-Triade endet. ISO-7498-2 enthält zwei weitere Eigenschaften für Computersicherheit:

• Authentifizierung bezeichnet die Fähigkeit eurer Systeme, eine Identität zu bestätigen.
• Nichtabstreitbarkeit oder Nachvollziehbarkeit bedeutet, dass eure Systeme die Gültigkeit von Vorgängen im System bestätigen können. Dies gewährleistet zusätzlich die Herkunft und Integrität der Informationen.

Manche Leute argumentieren, dass die CIA-Triade um weitere Komponenten wie Nichtabstreitbarkeit oder physische Sicherheit erweitert werden sollte.Walter Haydock, Gründer und CEO von StackAware, widerspricht unter Verweis auf Redundanz:

„Geschäftskritische und lebenserhaltende Systeme wie Betriebstechnik in Kraftwerken und medizinische Geräte sind auf Datenintegrität und Verfügbarkeit angewiesen, um korrekt zu funktionieren. Der Schutz von Leib und Leben ergibt sich daraus als nachgelagerter Effekt. Und im militärischen und nachrichtendienstlichen Kontext kann Datenvertraulichkeit oft über Leben und Tod entscheiden.“

Trotz der kontinuierlichen Entwicklung von Cyberbedrohungen und Technologie bleibt die CIA-Triade laut Haydock ein einfaches und effektives Framework für InfoSec.

Weitere Akteure in der Cybersicherheit

Cybersicherheit beschränkt sich nicht mehr nur auf NOCs und SOCs. Sie fließt in jede Entscheidung ein, die wir treffen – von der Auswahl eines Unternehmensanbieters für einen Fünfjahresvertrag bis hin zum Download einer Fitness-App auf dem Smartphone. Das gilt besonders für moderne Arbeitsplätze, die auf eine Vielzahl von Drittanbietern und Software angewiesen sind.

Das bedeutet, dass jeder einzelne Mitarbeiter im Unternehmen Verantwortung für die Sicherheit übernehmen muss.Andreas Grant, ein Netzwerkingenieur im Sicherheitsbereich, sagt, dass interne Bedrohungen ein „offenes Geheimnis“ sind, was die Cybersicherheit zu einem noch größeren Problem macht. Berücksichtigt die CIA-Triade auch Endnutzer wie die Angestellten in eurer Firma? Grant argumentiert:

„Die CIA-Triade bereitet die Anwender in keiner Weise darauf vor, mit unerfahrenen Endnutzern umzugehen. Während Menschen mit böswilligen Absichten anders sind, sollte es eine Absicherung für unerfahrene Personen geben. Eine Cybersicherheits-Infrastruktur muss auch ihre Nutzer und deren grundlegendes Verständnis von Cybersicherheit berücksichtigen. Zumindest in großen Unternehmen muss es Schulungen geben, um interne Angriffe zu verhindern. Leider wird dies meist erst nach einer Datenpanne in Betracht gezogen.“

Letztlich ist Grant davon überzeugt, dass auch das Verhalten der Endnutzer Berücksichtigung finden muss. „Ich habe immer wieder gesehen, wie eine superstarke Infrastruktur durcheinandergebracht wurde“, fährt er fort, „nur weil die Angestellten es nicht besser wussten.“

Wer die in diesem Artikel dargelegten Best Practices befolgt (einschließlich der kontinuierlichen Schulung aller Beteiligten), verschafft sich die bestmögliche Position. Dennoch weiß jeder Sicherheitsexperte, dass hundertprozentige Sicherheit nie möglich ist.

Weitere Grundlagen der Datensicherheit

• Sicherheitsbücher und -artikel zum Lesen (empfohlen von Sicherheitsexperten)
• Die besten Sicherheitskonferenzen und -veranstaltungen, die ihr besuchen könnt
• Die Demokratisierung von Daten: Vor- und Nachteile der Datenfülle
• Cyberhygiene: Konzepte und Best Practices für Cybersicherheit
• Netzwerksicherheit 101: Eine kurze Einführung in die Netzwerksicherung
• Cyber Kill Chains erklärt: Phasen, Vor- und Nachteile sowie Sicherheitstaktiken
• Datensicherheit heute: Bedrohungen, Techniken und Lösungen