Die vier Schutzziele der Informationssicherheit 2026: Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität

Stand: März 2026 — Dieser Artikel wurde zuletzt im März 2026 fachlich geprüft und aktualisiert.

Das Wichtigste in Kürze

Die vier Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Gemeinsam bilden sie das Fundament jeder Sicherheitsstrategie — ob im Mittelstand, in Konzernen oder in öffentlichen Einrichtungen. Die ersten drei Ziele sind international als CIA-Triade bekannt (Confidentiality, Integrity, Availability). Das vierte Ziel, Authentizität, wird vom BSI und von Aufsichtsbehörden wie der BaFin explizit ergänzt und gewinnt durch Cloud-Dienste, Remote Work und KI-gestützte Angriffe weiter an Bedeutung. In der Praxis greifen alle vier Ziele ineinander: Wer eines vernachlässigt, gefährdet die anderen. Dieser Artikel erklärt jedes Schutzziel im Detail, zeigt typische Bedrohungen und konkrete Maßnahmen — und ordnet die Ziele in den Rahmen von ISO 27001, BSI IT-Grundschutz und DSGVO ein.

Warum Schutzziele der Informationssicherheit jedes Unternehmen betreffen

Informationssicherheit ist kein IT-Problem. Sie ist ein Geschäftsrisiko. Der BSI-Lagebericht 2025 macht das unmissverständlich klar: Rund 80 % aller gemeldeten Cybervorfälle betreffen kleine und mittlere Unternehmen. Der wirtschaftliche Schaden durch Spionage, Sabotage und Datendiebstahl lag in Deutschland 2025 bei rund 289 Milliarden Euro.

Schutzziele machen Sicherheit greifbar. Statt abstrakter Risiken definieren sie konkrete Anforderungen: Welche Daten dürfen nur bestimmte Personen sehen? Welche Systeme müssen rund um die Uhr laufen? Wo muss nachweisbar sein, wer eine Information erstellt hat? Erst wenn diese Fragen beantwortet sind, lassen sich sinnvolle technische und organisatorische Maßnahmen planen.

Regulatorisch gibt es keinen Spielraum. Die DSGVO fordert in Artikel 32 die dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. ISO 27001:2022 verlangt ein systematisches Management aller Schutzziele über den gesamten Informationslebenszyklus. Und die seit Oktober 2024 geltende NIS2-Richtlinie verschärft die Anforderungen für Betreiber kritischer und wichtiger Einrichtungen erheblich — inklusive persönlicher Haftung der Geschäftsführung.

Viele Geschäftsführer denken bei Informationssicherheit nur an Firewalls. Aber die Schutzziele zeigen: Es geht um viel mehr — um Ihre Geschäftsprozesse, Ihre Verträge und das Vertrauen Ihrer Kunden.

Nils OehmichenDatenschutzberater bei frag.hugo

Die CIA-Triade: Drei Säulen, ein Fundament

Die drei klassischen Schutzziele — Vertraulichkeit, Integrität und Verfügbarkeit — bilden die sogenannte CIA-Triade. Der Name leitet sich von den englischen Begriffen Confidentiality, Integrity und Availability ab. Dieses Modell stammt aus den 1970er-Jahren und ist bis heute der internationale Standard in der Informationssicherheit.

Die Stärke der CIA-Triade liegt in ihrer Universalität. Sie gilt für jede Art von Information: digitale Daten, physische Dokumente, mündlich weitergegebenes Wissen. Sie gilt für jede Branche, jede Unternehmensgröße und jede Technologie. Gleichzeitig bildet sie nur das Minimum ab. Für moderne IT-Umgebungen reicht die klassische Triade nicht aus — deshalb ergänzen Fachleute und Standards seit Jahren die Authentizität als viertes Schutzziel.

Im deutschsprachigen Raum wird das erweiterte Modell manchmal als VIVA-Prinzip bezeichnet: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität.

Schutzziel 1: Vertraulichkeit (Confidentiality)

Was Vertraulichkeit in der Praxis bedeutet

Vertraulichkeit betrifft jede Information, die nicht für die Öffentlichkeit bestimmt ist. Kundendaten, Gehaltsabrechnungen, Konstruktionszeichnungen, Rezepturen, Quellcode, Strategiepapiere, Gesundheitsdaten — die Liste ist lang. Vertraulichkeit heißt nicht, dass alle Daten gleich schützenswert sind. Es heißt, dass der Zugang zu Daten dem Prinzip der geringsten Berechtigung (Least Privilege) folgt: Jeder bekommt nur den Zugriff, den er für seine Aufgabe braucht. Nicht mehr.

Das Konzept erstreckt sich über den gesamten Lebenszyklus einer Information. Daten müssen bei der Speicherung (Data at Rest), bei der Übertragung (Data in Transit) und bei der Verarbeitung (Data in Use) geschützt sein. Eine verschlüsselte Festplatte nützt wenig, wenn die Daten unverschlüsselt über ein offenes WLAN übertragen werden.

Typische Bedrohungen für die Vertraulichkeit

• Phishing und Social Engineering: KI-gestützte Phishing-Mails sind 2025/2026 auf einem neuen Qualitätsniveau. Angreifer imitieren interne Kommunikation so überzeugend, dass selbst geschulte Mitarbeitende darauf hereinfallen.
• Unzureichende Zugriffskontrollen: Zu viele Berechtigungen, veraltete Benutzerkonten ausgeschiedener Mitarbeitender, fehlende Rezertifizierung.
• Insider-Bedrohungen: Mitarbeitende mit legitimen Zugriffsrechten, die Daten absichtlich oder versehentlich weitergeben.
• Datenverlust durch Cloud-Fehlkonfiguration: Öffentlich zugängliche S3-Buckets, falsch gesetzte Freigaben in SharePoint oder Google Drive.
• Abfangen von Kommunikation: Man-in-the-Middle-Angriffe, unverschlüsselte E-Mails mit vertraulichen Anhängen.

Maßnahmen zum Schutz der Vertraulichkeit

• Verschlüsselung: AES-256 für gespeicherte Daten, TLS 1.3 für Datenübertragung, Ende-zu-Ende-Verschlüsselung für besonders sensible Kommunikation.
• Identity and Access Management (IAM): Rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA), regelmäßige Rezertifizierung von Zugriffsrechten.
• Data Loss Prevention (DLP): Systeme, die den unbefugten Abfluss von Daten erkennen und verhindern — etwa das Versenden vertraulicher Dokumente per E-Mail an externe Empfänger.
• Schulungen und Awareness: Regelmäßige Phishing-Simulationen, Schulungen zum Umgang mit vertraulichen Informationen, Clean-Desk-Policy.
• Netzwerksegmentierung: Trennung von Netzwerkbereichen, sodass ein Angreifer bei einem Eindringen nicht sofort Zugriff auf alle Systeme hat.
• Physische Sicherheit: Zutrittskontrolle zu Serverräumen, sichere Entsorgung von Datenträgern, Bildschirmsperren.

Schutzziel 2: Integrität (Integrity)

Was Integrität in der Praxis bedeutet

Integrität geht über die Frage "Wurde etwas verändert?" hinaus. Sie umfasst drei Dimensionen:

1. Korrektheit: Die Daten entsprechen der Realität. Ein Kontostand zeigt den tatsächlichen Betrag an, eine Patientenakte enthält die richtigen Diagnosen.
2. Vollständigkeit: Es fehlen keine relevanten Daten. Ein Auditprotokoll enthält alle Einträge, nicht nur die bequemen.
3. Nachvollziehbarkeit von Änderungen: Jede Modifikation ist dokumentiert — wer hat wann was geändert und warum? Dieses Teilziel überschneidet sich mit dem erweiterten Schutzziel der Nachvollziehbarkeit.

In einer Welt, in der Deepfakes und KI-generierte Inhalte alltäglich werden, gewinnt die Integrität von Informationen eine neue Dimension. Es geht nicht mehr nur um technische Manipulation von Datenbanken — es geht darum, ob man dem Inhalt einer E-Mail, eines Dokuments oder einer Sprachnachricht überhaupt noch trauen kann.

Typische Bedrohungen für die Integrität

• Ransomware: Verschlüsselungstrojaner verändern Daten so, dass sie unbrauchbar werden. Selbst nach einer Lösegeldzahlung gibt es keine Garantie, dass die wiederhergestellten Daten vollständig und unverändert sind.
• SQL-Injection und Angriffe auf Datenbanken: Gezielte Manipulation von Datenbankeinträgen — etwa Bestellmengen, Preise oder Berechtigungen.
• Malware und Trojaner: Schadsoftware, die Systeme kompromittiert und Konfigurationen verändert, ohne dass Administratoren es bemerken.
• Menschliches Versagen: Versehentliches Überschreiben von Daten, fehlerhafte Importe, Copy-Paste-Fehler in kritischen Systemen.
• Manipulierte Updates: Supply-Chain-Angriffe, bei denen Angreifer schädlichen Code in Software-Updates einschleusen (wie beim SolarWinds-Vorfall).

Maßnahmen zum Schutz der Integrität

• Kryptographische Prüfsummen (Hashing): SHA-256-Hashes zur Erkennung von Datenveränderungen. Jede noch so kleine Änderung ergibt einen komplett anderen Hash-Wert.
• Digitale Signaturen: Elektronische Unterschriften, die sowohl die Integrität als auch die Herkunft eines Dokuments garantieren.
• Versionierung und Audit-Trails: Jede Änderung an kritischen Daten wird protokolliert und kann rückgängig gemacht werden.
• Zugriffskontrollen mit Vier-Augen-Prinzip: Kritische Änderungen erfordern die Freigabe durch mindestens zwei Personen.
• Intrusion Detection Systems (IDS): Systeme, die unbefugte Veränderungen an Dateien und Konfigurationen in Echtzeit erkennen.
• Regelmäßige Integritätsprüfungen: Automatisierte Vergleiche von Konfigurationen und Daten gegen bekannte Sollzustände.

Schutzziel 3: Verfügbarkeit (Availability)

Was Verfügbarkeit in der Praxis bedeutet

Verfügbarkeit wird in Prozent der Betriebszeit gemessen. Eine Verfügbarkeit von 99,9 % klingt beeindruckend — bedeutet aber immer noch fast neun Stunden Ausfallzeit pro Jahr. Für einen Onlineshop kann eine Stunde Ausfall während des Black Friday einen sechsstelligen Umsatzverlust bedeuten. Für ein Krankenhaus kann der Ausfall eines Patientenmanagementsystems Menschenleben gefährden.

Verfügbarkeit ist kein absolutes Ziel. Nicht jedes System braucht 99,99 % Uptime. Ein internes Wiki kann gelegentlich offline sein — das Produktionssystem einer Fabrik oder das Leitsystem eines Energieversorgers nicht. Die Kunst liegt darin, den Schutzbedarf realistisch einzuschätzen und die Maßnahmen entsprechend zu dimensionieren.

Die DSGVO ergänzt die klassische Verfügbarkeit um den Begriff der Belastbarkeit (Resilience). Systeme müssen nicht nur verfügbar sein — sie müssen auch unter erhöhter Last oder bei Teilausfällen stabil bleiben. Das betrifft insbesondere Cloud-Architekturen und verteilte Systeme.

Typische Bedrohungen für die Verfügbarkeit

• DDoS-Angriffe (Distributed Denial of Service): Angreifer überfluten Server mit Anfragen, bis diese unter der Last zusammenbrechen. DDoS-as-a-Service macht solche Angriffe für wenige Euro zugänglich.
• Ransomware: Neben der Integritätsverletzung ist der Haupteffekt von Ransomware der Ausfall: Systeme und Daten sind nicht mehr nutzbar.
• Hardware-Ausfälle: Defekte Festplatten, ausgefallene Netzteile, überhitzte Serverräume. Ohne Redundanz führen einzelne Defekte zum Totalausfall.
• Naturkatastrophen und Stromausfälle: Überschwemmungen, Brände, Blitzeinschläge — physische Ereignisse, die ganze Rechenzentren lahmlegen können.
• Menschliches Versagen: Fehlkonfigurationen, versehentlich gelöschte Datenbanken, falsch ausgeführte Updates.
• Lieferketten-Abhängigkeiten: Der Ausfall eines Cloud-Providers oder eines DNS-Dienstes kann tausende Unternehmen gleichzeitig betreffen.

Maßnahmen zum Schutz der Verfügbarkeit

• Redundanz: Gespiegelte Systeme, RAID-Konfigurationen, Cluster-Lösungen, georedundante Rechenzentren.
• Backup und Recovery: Die 3-2-1-Regel: Drei Kopien auf zwei unterschiedlichen Medien, davon eine extern. Regelmäßige Wiederherstellungstests.
• Unterbrechungsfreie Stromversorgung (USV): USV-Anlagen und Notstromaggregate für kritische Systeme.
• DDoS-Schutz: Content Delivery Networks (CDN), Lastverteilung, spezialisierte DDoS-Mitigation-Dienste.
• Business Continuity Management (BCM): Dokumentierte Notfallpläne, definierte Wiederanlaufzeiten (RTO/RPO), regelmäßige Notfallübungen.
• Monitoring und Alerting: Proaktive Überwachung aller kritischen Systeme mit automatischer Benachrichtigung bei Anomalien.
• Patch-Management: Zeitnahes Einspielen von Sicherheitsupdates, um bekannte Schwachstellen zu schließen — bevor sie ausgenutzt werden.

Schutzziel 4: Authentizität (Authenticity)

Warum Authentizität das vierte Schutzziel ist

Die CIA-Triade allein reicht nicht aus. Vertraulichkeit schützt vor unbefugtem Zugriff, Integrität vor Manipulation, Verfügbarkeit vor Ausfall. Doch keine dieser drei Eigenschaften beantwortet die Frage: "Kommt diese Information wirklich von dem, der behauptet, sie geschickt zu haben?"

In einer Welt voller Deepfakes, KI-generierter E-Mails und kompromittierter Identitäten ist genau das die entscheidende Frage. CEO-Fraud — also die Vortäuschung einer gefälschten Identität, um Überweisungen auszulösen — ist einer der kostspieligsten Angriffstypen. Ohne Authentizitätsprüfung sind Vertraulichkeit und Integrität wertlos: Was nützt ein vertraulicher, unveränderter Brief, wenn der angebliche Absender gefälscht ist?

Das BSI führt Authentizität als eigenständiges Schutzziel. Die BaFin verlangt in ihren Aufsichtlichen Anforderungen (BAIT, VAIT, KAIT) eine Schutzbedarfsanalyse für die drei klassischen Schutzziele und für die Authentizität. ISO 27001:2022 adressiert Authentizität über mehrere Controls hinweg, insbesondere im Bereich Zugangssteuerung und Kryptographie.

Authentizität umfasst zwei Dimensionen

1. Identitätsauthentizität: Die Überprüfung, ob eine Person oder ein System tatsächlich diejenige Entität ist, die sie vorgibt zu sein. Methoden: Passwörter, biometrische Verfahren, Hardware-Token, Zertifikate.

2. Datenauthentizität: Die Überprüfung, ob eine Information tatsächlich von der angegebenen Quelle stammt und auf dem Weg nicht verändert wurde. Methoden: Digitale Signaturen, Message Authentication Codes (MAC), Zertifikatsketten.

Typische Bedrohungen für die Authentizität

• CEO-Fraud und Business Email Compromise (BEC): Angreifer geben sich per E-Mail oder Telefon als Geschäftsführung aus und veranlassen Mitarbeitende zu Überweisungen. KI-basierte Stimmimitation verstärkt dieses Risiko massiv.
• Phishing mit gefälschten Identitäten: Gefälschte Login-Seiten, die Zugangsdaten abgreifen und dem Angreifer den Zugang mit der Identität des Opfers ermöglichen.
• Man-in-the-Middle-Angriffe: Angreifer schalten sich in die Kommunikation zwischen zwei Parteien ein und geben sich jeweils als die andere Seite aus.
• Gefälschte Zertifikate: Kompromittierte oder betrügerisch ausgestellte SSL/TLS-Zertifikate, die eine falsche Identität vortäuschen.
• Deepfakes: KI-generierte Audio- und Videoinhalte, die Personen Aussagen in den Mund legen, die sie nie getätigt haben.

Maßnahmen zum Schutz der Authentizität

• Multi-Faktor-Authentifizierung (MFA): Kombination aus Wissen (Passwort), Besitz (Token, Smartphone) und Biometrie. Für privilegierte Konten unverzichtbar.
• Digitale Zertifikate und PKI: Public-Key-Infrastrukturen zur Verifizierung von Identitäten — von E-Mail-Signaturen bis zu TLS-Zertifikaten für Websites.
• DKIM, SPF und DMARC: E-Mail-Authentifizierungsverfahren, die das Fälschen von Absenderadressen erschweren.
• Zero-Trust-Architektur: "Never trust, always verify" — jede Zugriffsanfrage wird geprüft, unabhängig davon, ob sie aus dem internen Netzwerk kommt oder von extern.
• Biometrische Verfahren: Fingerabdruck, Gesichtserkennung oder Iris-Scan als ergänzender Authentifizierungsfaktor.
• Rückruf-Verfahren bei kritischen Anweisungen: Eine organisatorische Maßnahme: Bei ungewöhnlichen Zahlungsanweisungen per E-Mail wird telefonisch über eine bekannte Nummer rückbestätigt.

Vergleich: Alle vier Schutzziele im Überblick

Wie die vier Schutzziele zusammenwirken

Die vier Schutzziele sind keine isolierten Anforderungen. Sie bilden ein System, in dem jedes Ziel die anderen stützt — und schwächt, wenn es fehlt.

Authentizität als Voraussetzung für Vertraulichkeit: Nur wenn die Identität eines Nutzers zweifelsfrei feststeht, kann ein System korrekt entscheiden, welche Daten dieser Nutzer sehen darf. Schwache Authentifizierung untergräbt jedes noch so ausgefeilte Berechtigungskonzept.

Integrität als Voraussetzung für Verfügbarkeit: Ein System, dessen Konfiguration manipuliert wurde, kann technisch verfügbar sein — aber es arbeitet nicht mehr korrekt. Ein manipuliertes Backup ist wertlos: Es ist verfügbar, aber nicht integer.

Verfügbarkeit als Voraussetzung für Integrität und Vertraulichkeit: Wenn Logging-Systeme nicht verfügbar sind, können Integritätsverletzungen nicht erkannt werden. Wenn Authentifizierungssysteme ausfallen, greifen Notfallzugänge — oft mit reduzierten Sicherheitskontrollen.

Vertraulichkeit und Authentizität als Verbündete: Verschlüsselung schützt vor dem Mitlesen (Vertraulichkeit), digitale Signaturen schützen vor Fälschung (Authentizität). Protokolle wie TLS kombinieren beides in einem einzigen Handshake.

Die erweiterten Schutzziele: Nichtabstreitbarkeit, Nachvollziehbarkeit und Verbindlichkeit

Neben den vier Hauptschutzzielen existieren weitere, spezialisierte Ziele. Die wichtigsten:

Nichtabstreitbarkeit (Non-Repudiation): Stellt sicher, dass eine durchgeführte Handlung — etwa eine Vertragsunterschrift oder eine Datenbankänderung — im Nachhinein nicht abgestritten werden kann. Zentral für rechtssichere digitale Prozesse. Wir haben diesem Thema einen eigenen, ausführlichen Artikel gewidmet: Nichtabstreitbarkeit in der Informationssicherheit.

Nachvollziehbarkeit (Accountability / Traceability): Ermöglicht die Zuordnung jeder sicherheitsrelevanten Aktion zu einem bestimmten Akteur, Zeitpunkt und Kontext. Grundlage für Audits, forensische Analysen und Compliance-Nachweise. Auch hierzu finden Sie einen spezialisierten Artikel: Nachvollziehbarkeit in der Informationssicherheit.

Verbindlichkeit (Commitment / Non-Repudiation of Communication): Eng verwandt mit Nichtabstreitbarkeit, aber spezifischer: Verbindlichkeit bezieht sich auf die Unwiderruflichkeit von Kommunikation — ein Absender kann nicht leugnen, eine bestimmte Nachricht gesendet zu haben, und ein Empfänger kann den Erhalt nicht abstreiten.

Zurechenbarkeit (Accountability): Ermöglicht die eindeutige Zuordnung von Handlungen zu einer konkreten Person oder einem System. Relevant für die Abrechnung von Diensten und die Zuweisung von Verantwortlichkeiten.

Diese erweiterten Schutzziele leiten sich aus den vier Hauptzielen ab und ergänzen sie für spezifische Anforderungen — insbesondere in regulierten Branchen wie Finanzwesen, Gesundheitswesen und öffentliche Verwaltung.

Schutzziele im regulatorischen Kontext

DSGVO (Artikel 32)

Die Datenschutz-Grundverordnung nennt in Artikel 32 Absatz 1 explizit die Fähigkeit, "die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen." Hinzu kommt die Fähigkeit zur raschen Wiederherstellung nach einem Zwischenfall. Die DSGVO verwendet den Begriff "Belastbarkeit" (Resilience) statt "Authentizität" — in der Praxis überschneiden sich die Anforderungen jedoch erheblich.

Verantwortliche und Auftragsverarbeiter müssen technische und organisatorische Maßnahmen (TOM) treffen, die dem Risiko angemessen sind. Dabei sind der Stand der Technik, die Implementierungskosten und die Art der Verarbeitung zu berücksichtigen. Was passiert, wenn man gegen den Datenschutz verstößt, zeigt, wie hoch die Bußgelder bei unzureichenden Schutzmaßnahmen ausfallen können.

ISO 27001:2022

Die internationale Norm ISO/IEC 27001:2022 bildet den Rahmen für ein Informationssicherheits-Managementsystem (ISMS). Unternehmen, die eine ISO 27001-Zertifizierung anstreben, müssen die Schutzziele systematisch in ihr ISMS integrieren. Die Schutzziele sind in die gesamte Norm eingewoben: von der Risikoanalyse über die Maßnahmenauswahl bis zur kontinuierlichen Verbesserung. Der Anhang A enthält 93 Controls, die alle vier Schutzziele adressieren — von Zugangssteuerung (A.5.15) über kryptographische Maßnahmen (A.8.24) bis zu Incident Management (A.5.24–A.5.28).

BSI IT-Grundschutz und Grundschutz++

Der BSI IT-Grundschutz definiert die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit als Grundwerte und ergänzt bei Bedarf die Authentizität. Das IT-Grundschutz-Kompendium enthält für jeden Baustein konkrete Anforderungen und Umsetzungshinweise, zugeordnet zu den jeweiligen Schutzzielen.

Ab 1. Januar 2026 modernisiert das BSI den Grundschutz unter dem Projektnamen Grundschutz++. Das neue Rahmenwerk löst das bisherige PDF-basierte Kompendium durch ein maschinenlesbares JSON-Format ab, reduziert die Dokumentationslast und setzt stärker auf Automatisierung. Die Schutzziele bleiben unverändert — die Art, wie sie umgesetzt und nachgewiesen werden, wird jedoch grundlegend modernisiert.

NIS2-Richtlinie

Die seit Oktober 2024 geltende NIS2-Richtlinie der EU verschärft die Anforderungen an die Cybersicherheit erheblich. Betreiber wesentlicher und wichtiger Einrichtungen müssen technische, operative und organisatorische Maßnahmen umsetzen, die sich direkt auf alle vier Schutzziele beziehen. Besonders relevant: die persönliche Haftung der Geschäftsleitung und die Meldepflicht für Sicherheitsvorfälle innerhalb von 24 Stunden. Mehr dazu erfahren Sie in unserer NIS2-Beratung.

Schutzziele umsetzen: Der Weg zum Sicherheitskonzept

Die Kenntnis der vier Schutzziele ist der erste Schritt. Die Umsetzung erfordert einen systematischen Ansatz:

1. Bestandsaufnahme und Klassifizierung

Identifizieren Sie alle informationsverarbeitenden Assets: Systeme, Anwendungen, Datenbestände, Kommunikationskanäle. Klassifizieren Sie diese nach ihrem Schutzbedarf — getrennt für jedes der vier Schutzziele. Ein ERP-System hat typischerweise hohen Schutzbedarf bei allen vier Zielen. Ein öffentlich zugängliches Produktdatenblatt hat keinen Vertraulichkeitsbedarf, aber hohen Integritätsbedarf.

2. Risikoanalyse

Bewerten Sie für jedes Asset und jedes Schutzziel: Welche Bedrohungen sind realistisch? Wie wahrscheinlich ist ein Vorfall? Wie groß wäre der Schaden? Die Risikoanalyse ist der Kern von ISO 27001 und BSI Grundschutz — und sie muss regelmäßig wiederholt werden, da sich Bedrohungslagen ändern.

3. Maßnahmenauswahl und Umsetzung

Wählen Sie technische und organisatorische Maßnahmen, die den identifizierten Risiken angemessen sind. Berücksichtigen Sie den Stand der Technik, die Implementierungskosten und die Verhältnismäßigkeit. Nicht jedes Risiko muss mit maximaler Technik behandelt werden — manchmal ist eine Organisationsanweisung wirksamer als eine neue Software.

4. Überwachung und kontinuierliche Verbesserung

Sicherheit ist kein Zustand, sondern ein Prozess. Überwachen Sie die Wirksamkeit Ihrer Maßnahmen durch regelmäßige Audits, Penetrationstests und die Auswertung von Sicherheitsvorfällen. Key Performance Indikatoren (KPIs) wie die Anzahl der Sicherheitsvorfälle, die durchschnittliche Erkennungszeit und die Systemverfügbarkeit machen den Fortschritt messbar.

5. Schulung und Awareness

Technische Maßnahmen allein reichen nicht aus. Mitarbeitende müssen verstehen, warum Informationssicherheit wichtig ist und welche Rolle sie persönlich spielen. Regelmäßige Schulungen, Phishing-Simulationen und klare Richtlinien sind das Rückgrat jeder Sicherheitskultur. Ein externer Datenschutzbeauftragter kann KMU dabei unterstützen, Schulungskonzepte und Awareness-Programme professionell aufzusetzen.

Häufige Fehler bei der Umsetzung der Schutzziele

Schutzziele in der Praxis: Branchenbeispiele

Gesundheitswesen: Patientendaten erfordern höchste Vertraulichkeit (Schweigepflicht, DSGVO Art. 9). Gleichzeitig muss ein Krankenhausinformationssystem rund um die Uhr verfügbar sein — Ausfälle können Menschenleben kosten. Die Integrität von Patientendaten ist lebenswichtig: Falsche Medikamentendosierungen durch manipulierte Daten sind ein reales Risiko. Authentizität sichert, dass nur befugtes Fachpersonal Behandlungsentscheidungen dokumentiert.

Finanzwesen: Banken und Versicherungen unterliegen den strengen Anforderungen der BaFin (BAIT, VAIT, KAIT), die alle vier Schutzziele explizit adressieren. Transaktionen müssen authentisch, integer und nachvollziehbar sein. Die Verfügbarkeit von Zahlungssystemen ist für den Wirtschaftskreislauf systemrelevant.

Produzierendes Gewerbe: Industrie 4.0 und vernetzte Produktionsanlagen bringen neue Herausforderungen. Die Integrität von Steuerungsdaten in einer CNC-Maschine oder einer SPS ist genauso sicherheitskritisch wie die Verfügbarkeit der Produktionslinie. Vertraulichkeit schützt Konstruktionsdaten und Betriebsgeheimnisse vor Industriespionage.

E-Commerce: Onlineshops müssen rund um die Uhr verfügbar sein, Kundendaten vertraulich behandeln, Bestellungen und Zahlungen integer verarbeiten und die Identität von Kunden und Partnern authentisch verifizieren. Jedes Schutzziel hat hier direkte wirtschaftliche Auswirkungen.

Weiterlesen

• Welche Daten dürfen nicht an Dritte weitergegeben werden? DSGVO-Leitfaden 2026
• IT-Sicherheitsgesetz 3.0: Pflichten, Bußgelder und NIS2-Umsetzung

FAQ: Häufig gestellte Fragen zu den Schutzzielen der Informationssicherheit

Fazit: Vier Ziele, ein Sicherheitskonzept

Die vier Schutzziele — Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität — sind kein akademisches Konstrukt. Sie sind das Handwerkszeug, mit dem Unternehmen ihre Informationssicherheit strukturiert aufbauen, bewerten und verbessern. Sie finden sich in jedem relevanten Standard, in jeder regulatorischen Anforderung und in jeder professionellen Risikoanalyse.

Die Bedrohungslage entwickelt sich weiter: KI-gestützte Angriffe, Supply-Chain-Attacken, Deepfakes und immer raffiniertere Ransomware fordern Unternehmen auf allen vier Ebenen heraus. Gleichzeitig steigen die regulatorischen Anforderungen durch NIS2, DORA und die fortlaufende Verschärfung der DSGVO-Durchsetzung.

Entscheidend ist nicht die perfekte Umsetzung aller Maßnahmen von Tag eins. Entscheidend ist ein systematischer Ansatz: Risiken identifizieren, Maßnahmen priorisieren, umsetzen, überwachen und kontinuierlich verbessern. Die vier Schutzziele geben dabei die Richtung vor.