# Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit

**Was sind die Schutzziele der Informationssicherheit?**

Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet, dass nur befugte Personen Daten sehen. Integrität bedeutet, dass Daten unverfälscht bleiben. Verfügbarkeit bedeutet, dass Daten und Systeme bereitstehen, wenn Sie sie brauchen.

Die drei Ziele geben Ihnen eine Ordnung für Entscheidungen. Jede Schutzmaßnahme lässt sich einem oder mehreren Zielen zuordnen, und jeder Vorfall verletzt eines oder mehrere davon. Ein Angriff mit Erpressungssoftware, die Daten verschlüsselt und für die Freigabe Geld verlangt, trifft zuerst die Verfügbarkeit, weil niemand mehr arbeiten kann. Werden dabei Daten kopiert und veröffentlicht, ist zusätzlich die Vertraulichkeit verletzt.

Im Alltag sehen die drei Ziele so aus. Die Vertraulichkeit ist verletzt, wenn der Ordner mit der Lohnverrechnung für alle Beschäftigten lesbar im Netzwerk liegt. Die Integrität ist verletzt, wenn in einer Rechnung die Bankverbindung verändert wird und die Zahlung auf ein fremdes Konto geht. Die Verfügbarkeit ist verletzt, wenn der Server ausfällt und die Aufträge des Tages liegen bleiben.

Die Gewichtung der drei Ziele hängt von Ihrem Geschäft ab. Ein Produktionsbetrieb, der ohne laufende Maschinen keinen Umsatz macht, stellt die Verfügbarkeit voran. Eine Kanzlei oder eine Ordination, die Berufsgeheimnisse verwaltet, stellt die Vertraulichkeit voran. Der erste sinnvolle Schritt ist eine kurze Liste: Welche drei bis fünf Datenbestände und Abläufe braucht Ihr Betrieb, um arbeiten zu können? Fragen Sie zu jedem Punkt, was ein Diebstahl, eine unbemerkte Veränderung und ein Ausfall für Sie bedeuten würden. Aus den Antworten ergibt sich, welche Maßnahmen zuerst wirken.

Die Schutzziele stehen auch im Gesetz. Artikel 32 der Datenschutz-Grundverordnung verlangt, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen und die Wirksamkeit der getroffenen Maßnahmen regelmäßig zu überprüfen. Wer personenbezogene Daten verarbeitet, etwa Kunden- oder Personaldaten, muss sich also mit allen drei Zielen befassen.

Eine externe Prüfung zeigt, an welchen Stellen eines der Ziele ungeschützt bleibt. Der IT-Check von vetosec prüft in 8 Prüfbereichen über 100 Prüfpunkte, darunter Zugriffsrechte, Datensicherungen und die Erreichbarkeit von Systemen aus dem Internet. Der Befund ordnet die Feststellungen nach Dringlichkeit und beschreibt zu jeder Feststellung die empfohlene Maßnahme.

## Verwandte Begriffe
- [Angriffsfläche](https://vetosec.at/it-sicherheit/angriffsflaeche/)
- [Technische und organisatorische Maßnahmen (TOM)](https://vetosec.at/it-sicherheit/tom-dsgvo/)
- [Backup und Wiederherstellung](https://vetosec.at/it-sicherheit/backup-wiederherstellung/)
- [DSGVO](https://vetosec.at/it-sicherheit/dsgvo/)

## Quelle
https://vetosec.at/it-sicherheit/schutzziele/ (vetosec, grundlagen)
