Wer sich mit Informationssicherheit beschäftigt, kennt sie: die drei klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind das Fundament der Sicherheitsarchitektur und bilden seit Jahrzehnten den Ausgangspunkt fast jeder Sicherheitsstrategie. Doch so zeitlos diese „magischen drei“ sind – die Welt, in der sie entstanden, war eine andere. Heute sind Unternehmen global vernetzt, Datenströme kennen keine Landesgrenzen mehr, Cloud-Dienste und mobile Geräte sind allgegenwärtig, und Bedrohungen entwickeln sich in rasantem Tempo. Diese neue Realität hat dazu geführt, dass die klassische Triade nicht mehr alle Facetten der Informationssicherheit abdeckt. Aus dieser Lücke entstand eine erweiterte Sichtweise: Schutzziele 2.0. Sie ersetzen die Triade nicht, sondern ergänzen sie – um Dimensionen, die Vertrauen, Nachvollziehbarkeit, Widerstandsfähigkeit und rechtliche Wirksamkeit in der digitalen Gegenwart absichern.

Vom Dreiklang zum Orchester: Das Denkmodell hinter Schutzzielen 2.0

Die CIA-Triade beantwortet drei Kernfragen: Wer darf sehen, ob das Gesehene stimmt, und ob das System funktioniert, wenn es gebraucht wird. In modernen Ökosystemen kommen jedoch weitere Fragen hinzu. Woher stammt die Information wirklich? Darf jemand später bestreiten, etwas getan zu haben? Wer trägt Verantwortung für eine Aktion, wenn Menschen, Bots und KI-Modelle gemeinsam handeln? Wie beweise ich in fünf Jahren, dass ein Datensatz unverändert geblieben ist? Wie schnell kann der Betrieb nach einem Ransomware-Angriff wieder anlaufen? Wie schütze ich Privatsphäre über den gesamten Datenlebenszyklus? Und wie stelle ich sicher, dass Sicherheitsentscheidungen erklärbar und überprüfbar sind? Schutzziele 2.0 geben strukturierte Antworten auf diese Fragen.

Der Digital Operational Resilience Act (DORA) ist mehr als nur ein weiteres EU-Regelwerk. Er ist ein Paradigmenwechsel in der Art und Weise, wie Finanzunternehmen und ihre Dienstleister digitale Resilienz verstehen und umsetzen müssen. Mit dem Stichtag 17. Januar 2025 rückt die Frist für die vollständige Umsetzung näher, und in vielen Organisationen ist die Erkenntnis gereift: Wer jetzt nicht mit einem strukturierten Fahrplan startet, wird später unter Zeitdruck geraten und riskieren, halbherzige Lösungen einzuführen, die weder den regulatorischen Anforderungen noch den eigenen Sicherheitsbedürfnissen gerecht werden. DORA-Compliance ist kein „Ordner mit Policies“, sondern die Fähigkeit, unter massiven digitalen Störungen handlungsfähig zu bleiben – messbar, prüfbar, wiederholbar.

DORA in 60 Sekunden

DORA harmonisiert europaweit die Anforderungen an die digitale Betriebsstabilität (Operational Resilience) im Finanzsektor. Der Kern lässt sich in fünf Säulen einordnen:

Wer sich mit Informationssicherheit beschäftigt, stößt früher oder später auf die Rolle des Informationssicherheitsbeauftragten (ISB). In vielen Unternehmen ist diese Position gesetzlich oder regulatorisch vorgeschrieben, in anderen wird sie freiwillig geschaffen, um dem Thema einen festen Platz zu geben. Der ISB ist dabei ein merkwürdiges Zwitterwesen: Er ist weder reiner Technikexperte noch bloßer Verwalter von Richtlinien. Er ist Übersetzer zwischen Welten, Vermittler zwischen Geschäftsleitung und IT, Wächter über Regeln – und manchmal auch Feuerwehrmann, wenn etwas brennt. Gleichzeitig ist er Architekt, der langfristige Strukturen entwirft, um das Haus der Informationssicherheit stabil und zukunftsfähig zu machen. Genau diese Doppelrolle macht die Funktion anspruchsvoll – und für den Unternehmenserfolg essenziell.

Auftrag, Mandat und rechtlicher Rahmen: Wofür der ISB wirklich verantwortlich ist

Der ISB ist kein „nice to have“, sondern Träger eines klaren Auftrags. Je nach Branche und Größe des Unternehmens ergibt sich dieser aus Normen, Gesetzen und Aufsichtsanforderungen. In Deutschland sind vor allem ISO/IEC 27001, der BSI IT-Grundschutz sowie aufsichtsrechtliche Leitlinien relevant (z. B. BAIT für Banken, VAIT für Versicherungen, KAIT für Kapitalverwaltungsgesellschaften). Hinzu kommen horizontale Anforderungen wie NIS2 (Sicherheits- und Meldepflichten für wichtige/besonders wichtige Einrichtungen), DORA (Resilienz im Finanzsektor), DSGVO (TOMs, 72-Stunden-Meldepflicht bei Datenschutzvorfällen) und – je nach Geschäftsmodell – branchenspezifische Rahmenwerke wie TISAX (Automotive) oder IEC 62443 (OT/Industrie).

Die neue NIS2-Richtlinie gilt als Meilenstein in der europäischen Cybersicherheitsgesetzgebung. Sie weitet den Anwendungsbereich deutlich aus, erhöht die Anforderungen und sieht spürbare Sanktionen vor. Für viele Unternehmen ist NIS2 jedoch nicht nur eine regulatorische Vorgabe, sondern auch eine ernsthafte organisatorische und technische Herausforderung. Denn zwischen dem Verständnis der Richtlinie und ihrer praktischen Umsetzung liegen oft Welten. Viele starten motiviert, geraten aber auf halber Strecke ins Stocken – nicht aus bösem Willen, sondern weil die Stolpersteine dort liegen, wo man sie zunächst gar nicht vermutet.

Dieser Beitrag zeigt die häufigsten Fallstricke, erklärt, warum sie gefährlich sind, und beschreibt konkrete Gegenmaßnahmen. Ziel ist, NIS2 nicht nur als Pflicht zu betrachten, sondern als Chance, die eigene Cyber-Resilienz nachhaltig zu stärken – mit klaren Verantwortlichkeiten, gelebten Prozessen und belastbaren Nachweisen.

In der Welt der Informationssicherheit gibt es ein Prinzip, das so grundlegend ist, dass es in fast jedem Lehrbuch, in jeder Norm und in jeder Schulung vorkommt. Es besteht aus drei scheinbar einfachen Begriffen: Vertraulichkeit, Integrität und Verfügbarkeit. Diese „drei magischen Worte“ sind mehr als nur Fachvokabular – sie sind das Fundament, auf dem jede Sicherheitsstrategie aufbaut. Wer sie versteht, begreift, was Informationssicherheit im Kern bedeutet. Und wer sie ignoriert, riskiert, dass alle technischen Maßnahmen und organisatorischen Regeln am Ende wirkungslos bleiben. Diese drei Prinzipien – oft als CIA-Triade (Confidentiality, Integrity, Availability) bezeichnet – tauchen in verschiedenen Kontexten auf: in der ISO-27001-Norm, im BSI-IT-Grundschutz, in NIST-Publikationen, in Unternehmensrichtlinien und sogar in Gesetzen (etwa in der DSGVO, die ausdrücklich Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten verlangt). Sie sind universell anwendbar, unabhängig davon, ob es um den Schutz von Kundendaten in einer Bank, den Quellcode einer Softwarefirma, die Rezeptur eines Pharmaunternehmens, den Einsatzplan einer Feuerwehr oder die Steuerungsdaten einer Produktionsanlage geht. Dennoch werden sie in der Praxis häufig nur oberflächlich behandelt – als Theorieblock, den man schnell abhakt, bevor es zu „spannenden“ Themen wie Firewalls, Cloud-Security oder Penetrationstests kommt. Genau hier verschenken Organisationen Potenzial: Die Triade ist kein Aufsatzthema, sondern ein scharfes Werkzeug, das Prioritäten schafft, Architekturentscheidungen lenkt, Messgrößen definiert und Krisenentscheidungen vereinfacht.

Vertraulichkeit: Kontrolle darüber, wer was wann sehen darf

Vertraulichkeit bedeutet, dass nur diejenigen auf eine Information zugreifen können, die dazu berechtigt sind – nicht mehr und nicht weniger. Klingt banal, ist aber in einer vernetzten Welt eine immense Herausforderung. Früher genügte ein verschlossener Aktenschrank und eine Zugangsliste. Heute leben Daten verteilt über Rechenzentren, SaaS-Dienste, Clouds und mobile Endgeräte, oft über Ländergrenzen hinweg und eingebettet in komplexe Lieferketten. Ein einziger ungesicherter Zugang – sei es ein schwaches Passwort, eine offene API, eine falsch konfigurierte Cloud-Bucket, ein ausgeleiteter Zugriffstoken oder ein kompromittiertes Nutzerkonto – kann dazu führen, dass sensible Informationen in falsche Hände geraten. In regulierten Branchen ist der Verlust der Vertraulichkeit nicht nur peinlich, sondern teuer und potenziell existenzbedrohend: Bußgelder, Schadensersatz, Vertragsstrafen, Auflagen, Marktvertrauensverlust. Vertraulichkeit entsteht aus einer Kette von Bausteinen: Identitäts- und Zugriffsmanagement (MFA, rollen- und attributbasierte Berechtigungen, „least privilege“, Just-in-Time-Privilegien), sauberes On- und Offboarding, starke Authentisierungsverfahren (phishing-resistente Methoden wie FIDO2), durchgängige Verschlüsselung (in Ruhe, in Bewegung, bei Verarbeitung – z. B. über Hardware-Sicherheitsmodule oder vertrauliches Rechnen), Geheimnisverwaltung (Schlüssel, Tokens, Zertifikate), Protokollierung und Alarme auf untypische Zugriffe, Data-Loss-Prevention und Data-Governance (Klassifizierung, Labeling, Richtlinien), sowie physische Maßnahmen (Zutritt, Begleitpflicht, Sichtschutz, sichere Entsorgung). Entscheidend ist, dass Vertraulichkeit nicht nur „technisch“ gedacht wird: Auch Prozesse (z. B. Maker-Checker-Freigaben), Verträge (z. B. mit Dienstleistern) und Kultur (z. B. „Clean Desk“, „Need-to-know“, Meldekultur) gehören dazu.