Security+:CIA Triade
Die CIA-Triade, auch als „Informationssicherheitstriade“ oder „Triade der Informationssicherheit“ bekannt, ist ein Konzept in der Informationssicherheit. Sie besteht aus den drei grundlegenden Prinzipien der Informationssicherheit: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).
- Vertraulichkeit bezieht sich darauf, dass Informationen nur von autorisierten Personen oder Entitäten eingesehen oder genutzt werden können. Vertrauliche Informationen sollen vor unbefugtem Zugriff oder Offenlegung geschützt werden.
- Integrität bedeutet, dass Informationen vollständig, korrekt und unverändert bleiben sollten. Die Integrität von Informationen soll sicherstellen, dass sie vor unbefugter Änderung oder Manipulation geschützt sind.
- Verfügbarkeit bezieht sich auf die Gewährleistung, dass Informationen jederzeit für autorisierte Benutzer zugänglich und nutzbar sind. Informationen sollten vor Ausfällen, Störungen oder anderen Bedrohungen geschützt sein, die ihre Verfügbarkeit beeinträchtigen könnten.
Die CIA-Triade wird als grundlegendes Konzept in der Informationssicherheit verwendet, um die Anforderungen und Schutzziele von Informationen und IT-Systemen zu definieren. Es dient als Leitfaden für die Planung, Implementierung und Bewertung von Sicherheitsmaßnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherzustellen.
Schauen wir und die Prinzipien im Detail an, angefangen mit der „Confidentiality“. Praktisch bedeutet dies, dass nur der Zugriff auf Informationen, Daten etc. erhält, der dazu berechtigt ist. Hier wird das Prinzip des „Least Privilege“ angewendet, also immer nur so viel Zugriff wie nötig, aber so wenig wie möglich. In der Praxis wird dies u.A. erreicht, in dem z.B. Zugriffskonzepte implementiert werden, die dieses Prinzip abbilden, wie IAM-Systeme, oder für kleine Unternehmen bezogen auf Dateiebene die NTFS Berechtigungen, die sorgsam geplant, umgesetzt und dokumentiert werden. Der Bereich der Verschlüsselung fällt u.A. in diese Kategorie, wie z.B Bitlocker, aber auch VPN Verbindungen.
Der Datenschutz (Privacy) ist ebenfalls eng mit der Vertraulichkeit verbunden. Hier gilt es sicherzustellen, das sensitive und persönliche Daten nur von Berechtigten eingesehen werden können.
Der nächste Bereich „Integrity“ beschreibt im Prinzip den Zustand, dass Daten bzw. Informationen das sind, wofür sie sich ausgeben. Als Beispiel sei hier ein Softwaredownload auf einer beliebigen Webseite genannt. Wie kann ich mir als Anwender sicher sein, dass die Software, die zum Download angeboten wird auch die ist, für die sie sich ausgibt? Es wäre durchaus denkbar, dass Hacker die original Software gegen eine mit Malware verseuchte Version ausgetauscht haben. Um in diesen Fall die Integrität zu wahren ist die Angabe des Hashwertes auf der Downloadseite eine Variante, mit derer die heruntergeladene Software überprüft werden kann. Stimmt der selbst ermittelte Hashwert mit der Angabe überein, ist die Integrität gewahrt. In den Bereich der „Integrity“ fallen auch Backups, sowie Versionskontrolle.
Der dritte Pfeiler der „CIA Triade“ nimmt die „Availibilty“ ein. Hier gilt das besondere Augenmerk auf die Erreichbarkeit von Daten und Prozesse für berechtigte Nutzer. Hier spielen funktionierende Netzwerke, aber auch z.B. redundante System ( Hochverfügbarkeit) eine große Rolle. Neben der reinen Erreichbarkeit von Daten wird an dieser Stelle auch die Benutzerfreundlichkeit in Betracht gezogen. Sind die Daten z.B. „nur“ als PDF verfügbar, der berechtige Nutzer besitzt aber kein Anzeigeprogramm für PDF, ist für ihn die Erreichbarkeit der Daten in dem Moment von keinem Nutzen. Auch ist es von enormer Wichtigkeit, dass Daten bzw. Prozesse rechtzeitig bereit gestellt werden. Ein angemieteter Webserver wird z.B. mit einer SLA ( Service Level Agreement versehen), das die Verfügbarkeit vertraglich garantiert. Es obliegt dann dem Vermieter der Ressource sicher zu stellen, dass diese Verfügbarkeit auch eingehalten wird. Der Mieter wiederum hat zu prüfen, ob die vereinbarte bzw. geplante Verfügbarkeit ausreichend für seine Geschäftsprozesse ist. Darüber hinaus gilt es ebenfalls zu prüfen, ob die Maßnahme zur Erhaltung der Verfügbarkeit im angemessenen Verhältnis zu den Kosten steht. Dies lässt sich mittels eines „Quantitative Risk Assessments“ ermittelt werden. Ein Beitrag dazu folgt.
Ich bin ein typischer Quereinsteiger, sowie IT Allrounder und habe mein Wissen hauptsächlich aus den vielen kostenlosen Artikeln und Howtos aus dem Internet gezogen. Mit meiner Webseite möchte ich meinen Teil dazu beitragen, dass möglichst viel Wissen weitergeben wird. Meine Artikel/Howtos sind bewusst auf Deutsch gehalten, um den Mitmenschen, die mit Englisch nicht so gut unterwegs sind, einen guten Einstieg zu bereiten.
Seit kurzer Zeit beschäftige ich mich vermehrt mit dem Thema Security, da dies immer mehr an Bedeutung gewinnt und ein Wissen über mögliche Gegenmaßnahmen entscheidend für jedes Unternehmen sind. Die Bösen Jungs schlafen nie.
Danke, dass Ihr es hierher gefunden habt. Über Kommentare zu den einzelne Artikeln würde ich mich freuen.
Viel Spaß beim durcharbeiten und nachmachen 🙂