CIA-Triad: Vertraulichkeit, Integrität, Verfügbarkeit

Bevor man über Angriffe, Firewalls oder Verschlüsselung spricht, braucht man eine Sprache: Was wollen wir eigentlich schützen? Die Antwort gibt das CIA-Modell – das Fundament jeder IT-Sicherheitsstrategie. CIA steht für Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Wer ein Sicherheitsproblem beschreibt, kann es immer einem oder mehreren dieser drei Schutzziele zuordnen.

1) Die drei Schutzziele im Detail

CIA-Triad – Die drei Schutzziele der IT-Sicherheit

Confidentiality
Vertraulichkeit

Daten dürfen nur von autorisierten Personen eingesehen werden. Unbefugter Zugriff muss verhindert werden.

Verschlüsselung, Zugriffsrechte, Passwörter, Need-to-know-Prinzip

Integrity
Integrität

Daten dürfen nur von autorisierten Personen auf autorisierte Weise verändert werden. Unbemerkte Manipulationen müssen verhindert werden.

Checksummen, digitale Signaturen, Versionskontrolle, Audit-Logs

Availability
Verfügbarkeit

Systeme und Daten müssen für autorisierte Nutzer dann verfügbar sein, wenn sie benötigt werden. Ausfälle müssen minimiert werden.

Redundanz, Backups, DDoS-Schutz, USV, Monitoring

Das CIA-Modell wird manchmal zur CIA-Triad plus erweitert: Authentizität (Echtheit der Identität), Nicht-Abstreitbarkeit (Nachweis einer Aktion) und Verbindlichkeit. Für die IHK-Prüfung sind die drei Kernschutzziele C, I, A die wichtigen.

2) Angriffe den Schutzzielen zuordnen

Jeder IT-Angriff verletzt mindestens eines der drei Schutzziele. Diese Zuordnung ist ein klassisches IHK-Prüfungsthema. Hier sind typische Beispiele:

Angriffe und Schutzziel-Verletzung

Vertraulich.Datenleck / Data Breach: Kundendaten werden gestohlen und veröffentlicht → Vertraulichkeit verletzt (unbefugter Zugriff auf Daten)

Vertraulich.Man-in-the-Middle: Angreifer belauscht unverschlüsselte Kommunikation → Vertraulichkeit verletzt (Mitlesen ohne Berechtigung)

IntegritätRansomware (Datenverschlüsselung): Angreifer verschlüsselt Dateien → Integrität verletzt (Daten unbefugt verändert/unbrauchbar gemacht)

IntegritätWebsite-Defacement: Angreifer verändert Inhalte einer Website → Integrität verletzt (unbefugte Änderung)

Verfügbar.DDoS-Angriff: Server wird mit Anfragen überflutet, bis er ausfällt → Verfügbarkeit verletzt (autorisierte Nutzer können nicht mehr zugreifen)

Verfügbar.Ransomware (Systemsperre): System wird gesperrt, kein Zugriff mehr → Verfügbarkeit verletzt

Ransomware verletzt oft alle drei Schutzziele: Vertraulichkeit (Daten werden exfiltriert), Integrität (Daten werden verschlüsselt/verändert) und Verfügbarkeit (System nicht nutzbar). Das macht sie besonders gefährlich.

3) Schutzziele im Zielkonflikt

Die drei Schutzziele können sich gegenseitig einschränken – und das ist eines der zentralen Spannungsfelder der IT-Sicherheit. Maximale Verfügbarkeit (immer erreichbar, keine Passwörter) widerspricht maximaler Vertraulichkeit (strenge Zugangskontrollen). Maximale Integrität (jede Änderung wird protokolliert und geprüft) kann die Verfügbarkeit bremsen. IT-Sicherheit ist daher immer eine Balance – angepasst an die konkrete Risikolage und Schutzbedarfsanalyse (mehr in IT-Sicherheitskonzept: Schutzbedarfsanalyse).

Zusammenfassung

Die CIA-Triad ist das Fundament der IT-Sicherheit. Confidentiality (Vertraulichkeit): nur Befugte sehen Daten. Integrity (Integrität): nur Befugte ändern Daten auf erlaubte Weise. Availability (Verfügbarkeit): Systeme sind für Befugte immer erreichbar. Jeder Angriff verletzt mindestens eines dieser Ziele. Schutzmaßnahmen (TOMs nach DSGVO, BSI-Grundschutz) orientieren sich an diesen Schutzzielen. Details zu Angriffsvektoren in Angriffsvektoren: Malware, Phishing, Social Engineering.

CIA-Triad: Vertraulichkeit, Integrität, Verfügbarkeit

1) Die drei Schutzziele im Detail

2) Angriffe den Schutzzielen zuordnen

3) Schutzziele im Zielkonflikt

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title