Schutzziele 2.0 – Was heute noch alles zählt

Schutzziele 2.0 – Was heute noch alles zählt

Wer sich mit Informationssicherheit beschäftigt, kennt sie: die drei klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind das Fundament der Sicherheitsarchitektur und bilden seit Jahrzehnten den Ausgangspunkt fast jeder Sicherheitsstrategie. Doch so zeitlos diese „magischen drei“ sind – die Welt, in der sie entstanden, war eine andere. Heute sind Unternehmen global vernetzt, Datenströme kennen keine Landesgrenzen mehr, Cloud-Dienste und mobile Geräte sind allgegenwärtig, und Bedrohungen entwickeln sich in rasantem Tempo. Diese neue Realität hat dazu geführt, dass die klassische Triade nicht mehr alle Facetten der Informationssicherheit abdeckt.

So ist in den letzten Jahren eine erweiterte Sichtweise entstanden – oft unter dem Schlagwort Schutzziele 2.0. Dabei geht es nicht darum, die alten drei Ziele zu ersetzen, sondern sie um weitere Dimensionen zu ergänzen, die in der modernen, hochvernetzten Welt unverzichtbar geworden sind.

Eines dieser zusätzlichen Schutzziele ist die Authentizität. Sie stellt sicher, dass die Herkunft und Echtheit einer Information zweifelsfrei nachgewiesen werden können. In einer Zeit, in der gefälschte E-Mails, manipulierte Dokumente und „Deepfake“-Videos alltäglich werden, ist Authentizität zu einer zentralen Herausforderung geworden. Sie verhindert, dass wir auf gefälschte Quellen hereinfallen oder manipulierten Daten vertrauen. Technisch lässt sich Authentizität beispielsweise durch digitale Signaturen oder Public-Key-Infrastrukturen (PKI) sicherstellen. Organisatorisch erfordert sie klare Prozesse, die sicherstellen, dass Kommunikationskanäle und Dokumentenquellen überprüfbar sind.

Ein weiteres wichtiges Ziel ist die Verbindlichkeit – im Englischen oft als Non-Repudiation bezeichnet. Sie sorgt dafür, dass niemand bestreiten kann, eine bestimmte Handlung durchgeführt zu haben. Das ist besonders relevant bei Vertragsabschlüssen, Finanztransaktionen oder behördlichen Genehmigungen in digitaler Form. Verbindlichkeit schützt vor der Gefahr, dass Beteiligte ihre Verantwortung leugnen, wenn es zu Problemen kommt. Hier spielen technische Maßnahmen wie manipulationssichere Protokollierungen und rechtlich anerkannte elektronische Signaturen eine große Rolle.

Ebenfalls immer bedeutender wird die Zurechenbarkeit (Accountability). Sie erweitert den Gedanken der Verbindlichkeit um die Frage, wer für eine bestimmte Aktion verantwortlich ist und wie sich dies nachvollziehen lässt. In komplexen IT-Systemen mit vielen Benutzern, automatisierten Prozessen und KI-Komponenten ist es nicht trivial, Verantwortlichkeiten eindeutig zu bestimmen. Zurechenbarkeit erfordert transparente Protokolle, eindeutige Benutzeridentitäten und ein durchdachtes Rechte- und Rollenkonzept.

Dann gibt es noch das Ziel der Revisionssicherheit. Es ist vor allem in regulierten Branchen wie dem Finanzwesen, der Pharmaindustrie oder der öffentlichen Verwaltung entscheidend. Revisionssicherheit bedeutet, dass Informationen so gespeichert werden, dass sie über lange Zeiträume hinweg unverändert, nachvollziehbar und vollständig bleiben – und jederzeit beweiskräftig sind. Gerade bei steuerlichen oder rechtlichen Anforderungen spielt dieses Ziel eine zentrale Rolle. Technische Maßnahmen wie Write-Once-Read-Many-Speicher (WORM) oder Blockchain-Technologien können hier wertvolle Dienste leisten.

Nicht zu vergessen ist die Resilienz – die Fähigkeit von Systemen und Organisationen, Störungen zu verkraften und den Betrieb schnell wieder aufzunehmen. Resilienz ist in den letzten Jahren zum Schlüsselbegriff geworden, weil Unternehmen nicht mehr davon ausgehen können, dass Sicherheitsvorfälle komplett vermeidbar sind. Stattdessen geht es darum, die Auswirkungen zu begrenzen und so schnell wie möglich wieder handlungsfähig zu sein. Das umfasst technische Redundanzen, funktionierende Notfallpläne, regelmäßige Übungen und eine Kultur, die Flexibilität und Anpassungsfähigkeit fördert.

Interessanterweise stehen auch diese erweiterten Schutzziele in einem Spannungsverhältnis zueinander – genau wie die klassische CIA-Triade. Mehr Resilienz kann zum Beispiel bedeuten, dass man zusätzliche Kopien von Daten anlegt, was wiederum Auswirkungen auf die Vertraulichkeit hat. Hohe Revisionssicherheit kann mit Einschränkungen in der Flexibilität einhergehen. Authentizität kann zusätzliche Schritte im Arbeitsablauf erfordern, die die Verfügbarkeit verlangsamen. Informationssicherheit ist daher immer eine Frage der Priorisierung und des Ausgleichs zwischen konkurrierenden Anforderungen.

Warum aber ist diese Erweiterung überhaupt nötig geworden? Der Hauptgrund liegt im Wandel der Bedrohungslage. Früher waren viele Risiken lokal begrenzt – ein Brand im Archiv, ein Diebstahl von Akten, ein Serverausfall im Rechenzentrum. Heute hingegen können Cyberangriffe aus aller Welt erfolgen, Schadsoftware kann in Sekunden Millionen Systeme erreichen, und Falschinformationen können sich in sozialen Medien in Windeseile verbreiten. Die Gefahren sind nicht nur technischer Natur, sondern betreffen auch Vertrauen, Reputation und Rechtskonformität.

Darüber hinaus haben regulatorische Vorgaben die Schutzzieldebatte erweitert. Gesetze wie die DSGVO in Europa oder branchenspezifische Regelwerke wie DORA im Finanzsektor fordern explizit Nachweise für Verantwortlichkeit, Integrität über lange Zeiträume, schnelle Wiederherstellung nach Vorfällen und transparente Prozesse. Diese Anforderungen lassen sich nur erfüllen, wenn man über die klassische Triade hinausdenkt.

Schutzziele 2.0 sind daher kein akademisches Gedankenspiel, sondern ein praktisches Werkzeug. Sie helfen, Sicherheitsstrategien ganzheitlich zu planen und nicht nur auf die bekannten technischen Risiken zu reagieren. Sie erinnern uns daran, dass Informationssicherheit nicht allein eine IT-Aufgabe ist, sondern tief in Organisation, Prozesse und Unternehmenskultur hineinwirkt.

Wer heute ein Informationssicherheits-Managementsystem aufbaut, kommt an diesen erweiterten Zielen nicht vorbei. Sie sind das Bindeglied zwischen den klassischen Grundprinzipien und den komplexen Herausforderungen unserer Zeit. Vertraulichkeit, Integrität und Verfügbarkeit bleiben unverzichtbar – doch sie allein reichen nicht mehr aus, um die digitale Gegenwart und Zukunft abzusichern.

Am Ende zeigt sich: Schutzziele 2.0 sind keine Modeerscheinung, sondern eine notwendige Evolution. Sie spiegeln wider, dass Informationssicherheit heute mehr leisten muss als früher – nicht nur schützen, sondern auch Vertrauen schaffen, Verantwortung klären, Nachvollziehbarkeit sichern und die Widerstandsfähigkeit einer Organisation stärken. Wer das versteht und umsetzt, baut Sicherheitskonzepte, die nicht nur auf dem Papier bestehen, sondern im Ernstfall halten, was sie versprechen.