In der Welt der Informationssicherheit gibt es ein Prinzip, das so grundlegend ist, dass es in fast jedem Lehrbuch, in jeder Norm und in jeder Schulung vorkommt. Es besteht aus drei scheinbar einfachen Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese „drei magischen Worte“ sind mehr als nur Fachvokabular – sie sind das Fundament, auf dem jede Sicherheitsstrategie aufbaut. Wer sie versteht, begreift, was Informationssicherheit im Kern bedeutet. Und wer sie ignoriert, riskiert, dass alle technischen Maßnahmen und organisatorischen Regeln am Ende wirkungslos bleiben. Diese drei Prinzipien – oft als CIA-Triade (Confidentiality, Integrity, Availability) bezeichnet – tauchen in verschiedenen Kontexten auf: in der ISO-27001-Norm, im BSI-IT-Grundschutz, in NIST-Publikationen, in Unternehmensrichtlinien und sogar in Gesetzen (etwa in der DSGVO, die ausdrücklich Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten verlangt). Sie sind universell anwendbar, unabhängig davon, ob es um den Schutz von Kundendaten in einer Bank, den Quellcode einer Softwarefirma, die Rezeptur eines Pharmaunternehmens, den Einsatzplan einer Feuerwehr oder die Steuerungsdaten einer Produktionsanlage geht. Dennoch werden sie in der Praxis häufig nur oberflächlich behandelt – als Theorieblock, den man schnell abhakt, bevor es zu „spannenden“ Themen wie Firewalls, Cloud-Security oder Penetrationstests kommt. Genau hier verschenken Organisationen Potenzial: Die Triade ist kein Aufsatzthema, sondern ein scharfes Werkzeug, das Prioritäten schafft, Architekturentscheidungen lenkt, Messgrößen definiert und Krisenentscheidungen vereinfacht.
Vertraulichkeit: Kontrolle darüber, wer was wann sehen darf
Vertraulichkeit bedeutet, dass nur diejenigen auf eine Information zugreifen können, die dazu berechtigt sind – nicht mehr und nicht weniger. Klingt banal, ist aber in einer vernetzten Welt eine immense Herausforderung. Früher genügte ein verschlossener Aktenschrank und eine Zugangsliste. Heute leben Daten verteilt über Rechenzentren, SaaS-Dienste, Clouds und mobile Endgeräte, oft über Ländergrenzen hinweg und eingebettet in komplexe Lieferketten. Ein einziger ungesicherter Zugang – sei es ein schwaches Passwort, eine offene API, eine falsch konfigurierte Cloud-Bucket, ein ausgeleiteter Zugriffstoken oder ein kompromittiertes Nutzerkonto – kann dazu führen, dass sensible Informationen in falsche Hände geraten. In regulierten Branchen ist der Verlust der Vertraulichkeit nicht nur peinlich, sondern teuer und potenziell existenzbedrohend: Bußgelder, Schadensersatz, Vertragsstrafen, Auflagen, Marktvertrauensverlust. Vertraulichkeit entsteht aus einer Kette von Bausteinen: Identitäts- und Zugriffsmanagement (MFA, rollen- und attributbasierte Berechtigungen, „least privilege“, Just-in-Time-Privilegien), sauberes On- und Offboarding, starke Authentisierungsverfahren (phishing-resistente Methoden wie FIDO2), durchgängige Verschlüsselung (in Ruhe, in Bewegung, bei Verarbeitung – z. B. über Hardware-Sicherheitsmodule oder vertrauliches Rechnen), Geheimnisverwaltung (Schlüssel, Tokens, Zertifikate), Protokollierung und Alarme auf untypische Zugriffe, Data-Loss-Prevention und Data-Governance (Klassifizierung, Labeling, Richtlinien), sowie physische Maßnahmen (Zutritt, Begleitpflicht, Sichtschutz, sichere Entsorgung). Entscheidend ist, dass Vertraulichkeit nicht nur „technisch“ gedacht wird: Auch Prozesse (z. B. Maker-Checker-Freigaben), Verträge (z. B. mit Dienstleistern) und Kultur (z. B. „Clean Desk“, „Need-to-know“, Meldekultur) gehören dazu.
