Security+:CIA Triade

Die CIA-Triade, auch als „Informationssicherheitstriade“ oder „Triade der Informationssicherheit“ bekannt, ist ein Konzept in der Informationssicherheit. Sie besteht aus den drei grundlegenden Prinzipien der Informationssicherheit: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

  • Vertraulichkeit bezieht sich darauf, dass Informationen nur von autorisierten Personen oder Entitäten eingesehen oder genutzt werden können. Vertrauliche Informationen sollen vor unbefugtem Zugriff oder Offenlegung geschützt werden.
  • Integrität bedeutet, dass Informationen vollständig, korrekt und unverändert bleiben sollten. Die Integrität von Informationen soll sicherstellen, dass sie vor unbefugter Änderung oder Manipulation geschützt sind.
  • Verfügbarkeit bezieht sich auf die Gewährleistung, dass Informationen jederzeit für autorisierte Benutzer zugänglich und nutzbar sind. Informationen sollten vor Ausfällen, Störungen oder anderen Bedrohungen geschützt sein, die ihre Verfügbarkeit beeinträchtigen könnten.

Die CIA-Triade wird als grundlegendes Konzept in der Informationssicherheit verwendet, um die Anforderungen und Schutzziele von Informationen und IT-Systemen zu definieren. Es dient als Leitfaden für die Planung, Implementierung und Bewertung von Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.

Schauen wir und die Prinzipien im Detail an, angefangen mit der „Confidentiality“. Praktisch bedeutet dies, dass nur der Zugriff auf Informationen, Daten etc. erhält, der dazu berechtigt ist. Hier wird das Prinzip des „Least Privilege“ angewendet, also immer nur so viel Zugriff wie nötig, aber so wenig wie möglich. In der Praxis wird dies u.A. erreicht, in dem z.B. Zugriffskonzepte implementiert werden, die dieses Prinzip abbilden, wie IAM-Systeme, oder für kleine Unternehmen bezogen auf Dateiebene die NTFS Berechtigungen, die sorgsam geplant, umgesetzt und dokumentiert werden. Der Bereich der Verschlüsselung fällt u.A. in diese Kategorie, wie z.B Bitlocker, aber auch VPN Verbindungen.

Der Datenschutz (Privacy) ist ebenfalls eng mit der Vertraulichkeit verbunden. Hier gilt es sicherzustellen, das sensitive und persönliche Daten nur von Berechtigten eingesehen werden können.

Der nächste Bereich „Integrity“ beschreibt im Prinzip den Zustand, dass Daten bzw. Informationen das sind, wofür sie sich ausgeben. Als Beispiel sei hier ein Softwaredownload auf einer beliebigen Webseite genannt. Wie kann ich mir als Anwender sicher sein, dass die Software, die zum Download angeboten wird auch die ist, für die sie sich ausgibt? Es wäre durchaus denkbar, dass Hacker die original Software gegen eine mit Malware verseuchte Version ausgetauscht haben. Um in diesen Fall die Integrität zu wahren ist die Angabe des Hashwertes auf der Downloadseite eine Variante, mit derer die heruntergeladene Software überprüft werden kann. Stimmt der selbst ermittelte Hashwert mit der Angabe überein, ist die Integrität gewahrt. In den Bereich der „Integrity“ fallen auch Backups, sowie Versionskontrolle.

Der dritte Pfeiler der „CIA Triade“ nimmt die „Availibilty“ ein. Hier gilt das besondere Augenmerk auf die Erreichbarkeit von Daten und Prozesse für berechtigte Nutzer. Hier spielen funktionierende Netzwerke, aber auch z.B. redundante System ( Hochverfügbarkeit) eine große Rolle. Neben der reinen Erreichbarkeit von Daten wird an dieser Stelle auch die Benutzerfreundlichkeit in Betracht gezogen. Sind die Daten z.B. „nur“ als PDF verfügbar, der berechtige Nutzer besitzt aber kein Anzeigeprogramm für PDF, ist für ihn die Erreichbarkeit der Daten in dem Moment von keinem Nutzen. Auch ist es von enormer Wichtigkeit, dass Daten bzw. Prozesse rechtzeitig bereit gestellt werden. Ein angemieteter Webserver wird z.B. mit einer SLA ( Service Level Agreement versehen), das die Verfügbarkeit vertraglich garantiert. Es obliegt dann dem Vermieter der Ressource sicher zu stellen, dass diese Verfügbarkeit auch eingehalten wird. Der Mieter wiederum hat zu prüfen, ob die vereinbarte bzw. geplante Verfügbarkeit ausreichend für seine Geschäftsprozesse ist. Darüber hinaus gilt es ebenfalls zu prüfen, ob die Maßnahme zur Erhaltung der Verfügbarkeit im angemessenen Verhältnis zu den Kosten steht. Dies lässt sich mittels eines „Quantitative Risk Assessments“ ermittelt werden. Ein Beitrag dazu folgt.

Print Friendly, PDF & Email
Abonnieren
Benachrichtige mich bei

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x