Digital / Technik / KI / IT  ·  01. Mai 2025

    Schutzbedarf und Schutzziele: Die Säulen der IT-Sicherheit

    DMZ  ¦ IT ¦ Matthias Walter

     

    In einer vernetzten Welt, in der Daten als das neue Gold gelten, ist der Schutz von Informationen und IT-Systemen essenziell. Unternehmen, Behörden und Privatpersonen stehen vor der Herausforderung, ihre digitalen Ressourcen vor Cyberangriffen, Datenlecks oder Systemausfällen zu sichern. Zwei zentrale Konzepte der IT-Sicherheit, Schutzbedarf und Schutzziele, bilden dabei das Fundament. Unterstützt durch die Strukturanalyse, Vorschriften und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie internationale Standards wie ISO 27001, bieten sie Orientierung für eine robuste Sicherheitsstrategie. Dieser Artikel erklärt die Begriffe verständlich, beleuchtet die Rolle des BSI, die Bedeutung der Datenschutz-Grundverordnung (DSGVO) und die zentralen Rollen im Datenschutz.

     

    Schutzbedarf: Wie wichtig ist der Schutz?

    Der Schutzbedarf beschreibt, wie stark ein Objekt – etwa eine Datenbank, ein Server oder ein Geschäftsprozess – geschützt werden muss. Er richtet sich nach dem potenziellen Schaden bei einer Sicherheitsverletzung. Ein Unternehmen, das personenbezogene Daten wie Adressen, Kreditkarteninformationen oder medizinische Daten speichert, steht vor hohen Risiken. Ein Datenleck könnte finanzielle Verluste, Reputationsschäden oder rechtliche Konsequenzen nach der DSGVO verursachen, etwa durch Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes. Der Schutzbedarf solcher Daten ist daher hoch.

     

    Die Ermittlung des Schutzbedarfs erfolgt durch eine Schutzbedarfsanalyse, die häufig auf den Vorgaben des BSI IT-Grundschutz basiert. Das BSI empfiehlt eine strukturierte Vorgehensweise:

     

    Strukturanalyse: Erfassung aller relevanten IT-Systeme, Anwendungen und Prozesse, um ein vollständiges Bild der IT-Landschaft zu erhalten.

     

    Kategorisierung: Objekte nach Schutzbedarf in Kategorien wie „niedrig“, „mittel“, „hoch“ oder „sehr hoch“ einteilen.

     

    Bewertung: Analyse der potenziellen Schäden – finanziell, rechtlich oder reputationsbezogen – bei Verletzung der Schutzziele.

     

    Ein öffentliches Informationsportal hat etwa einen geringeren Schutzbedarf als ein Online-Banking-System, bei dem sensible Transaktionsdaten verarbeitet werden. Ein hoher Schutzbedarf erfordert Maßnahmen wie Verschlüsselung, Identity and Access Management (IAM) – also die Verwaltung von Benutzeridentitäten und Zugriffsrechten – oder regelmäßige Sicherheitsüberprüfungen. Das BSI unterstützt Unternehmen durch detaillierte Handlungsempfehlungen im IT-Grundschutz-Kompendium, das konkrete Maßnahmen für verschiedene Schutzbedarfsstufen vorschlägt.

     

    Schutzziele: Die Grundpfeiler der Sicherheit

    Während der Schutzbedarf klärt, wie wichtig der Schutz ist, definieren die Schutzziele, was geschützt werden soll. Die drei zentralen Schutzziele der IT-Sicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit – die sogenannte CIA-Triade (Confidentiality, Integrity, Availability).

     

    1. Vertraulichkeit: Daten vor fremden Blicken schützen

    Vertraulichkeit stellt sicher, dass nur autorisierte Personen oder Systeme Zugriff auf Informationen haben. Dies ist besonders für personenbezogene Daten entscheidend, deren Schutz die DSGVO mit Prinzipien wie Datensparsamkeit, Zweckbindung und dem Recht auf Vergessenwerden vorschreibt. Datensparsamkeit fordert, nur die Daten zu erheben, die für den Zweck unbedingt nötig sind. Zweckbindung bedeutet, Daten nur für festgelegte Zwecke zu nutzen, während das Recht auf Vergessenwerden Betroffenen erlaubt, die Löschung ihrer Daten zu verlangen. Maßnahmen wie Verschlüsselung, Zwei-Faktor-Authentifizierung (2FA) oder IAM-Systeme, die präzise steuern, wer auf welche Daten zugreifen darf, gewährleisten Vertraulichkeit. Ein Verstoß, etwa durch einen Hackerangriff auf ein Krankenhaus, könnte Identitätsdiebstahl oder Erpressung nach sich ziehen.

     

    2. Integrität: Korrektheit und Vertrauen gewährleisten

    Integrität sichert die Korrektheit und Vollständigkeit von Daten und Systemen. Manipulationen, ob absichtlich oder durch Fehler, müssen verhindert werden. Ein manipulierter Online-Shop, der falsche Bestelldaten verarbeitet, oder ein kompromittiertes Bankkonto könnten das Kundenvertrauen zerstören. Hash-Funktionen zur Erkennung von Datenveränderungen – eine Hashfunktion nimmt beliebige Daten (z. B. Text, Dateien) und erzeugt daraus einen festen, meist kurzen Wert, den sogenannten Hash: eine feste Zeichenfolge, oft in Hexadezimalform. Zum Beispiel: Eingabe: "Hallo" => SHA-256 Hash (256 Bit bzw. 64 Byte – 1 Byte entspricht 8 Bit, 1 Nibble entspricht 4 Bit): a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9ad9f146e. Dieser ist wie ein digitaler Fingerabdruck: einzigartig für die Eingabedaten, aber nicht rückführbar –, regelmäßige Backups oder die Protokollierung von Zugriffen nach BSI-Empfehlungen helfen, die Integrität zu wahren.

     

    3. Verfügbarkeit: Systeme jederzeit einsatzbereit halten

    Verfügbarkeit garantiert, dass IT-Systeme, Anwendungen und Daten für berechtigte Nutzer jederzeit zugänglich sind. Ein Webshop-Ausfall während des Black Friday oder ein durch DDoS-Angriffe – ein DDoS-Angriff (Distributed Denial of Service) ist ein Angriff, bei dem viele Geräte (oft Botnetze) gleichzeitig eine Website, einen Server oder ein Netzwerk mit Anfragen überfluten. Ziel: Überlastung, sodass der Dienst für echte Nutzer unerreichbar wird) – lahmgelegtes Netzwerk können erhebliche Umsatzeinbußen verursachen. Redundante Server, Firewalls und Notfallwiederherstellungspläne (Disaster Recovery) nach BSI-Vorgaben sichern die Verfügbarkeit.

     

    Erweiterte Schutzziele

    Neben der CIA-Triade nennt das BSI weitere Schutzziele wie Authentizität (Sicherstellung echter Nutzer- oder Systemidentitäten) und Nachvollziehbarkeit (Protokollierung von Aktionen zur Nachverfolgung). Diese sind in komplexen Umgebungen, etwa bei kritischen Infrastrukturen, unerlässlich.

     

    Rolle des BSI und Audits nach ISO 27001

    Das BSI spielt eine zentrale Rolle in der IT-Sicherheit in Deutschland. Es entwickelt Standards wie den IT-Grundschutz, der Unternehmen hilft, Schutzbedarf und Schutzziele systematisch umzusetzen. Die Strukturanalyse des BSI ermöglicht eine präzise Erfassung der IT-Landschaft, während das IT-Grundschutz-Kompendium konkrete Maßnahmen für Schutzziele vorschlägt, etwa zur Absicherung von Netzwerken oder zur Einführung von IAM. Das BSI unterstützt zudem bei der Sensibilisierung für Cyberrisiken und bietet Schulungen sowie Empfehlungen für den Umgang mit Sicherheitsvorfällen.

     

    Internationale Standards wie ISO 27001 ergänzen die BSI-Vorgaben. ISO 27001 definiert Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS). Regelmäßige Audits nach ISO 27001 prüfen, ob Unternehmen Schutzziele einhalten und Risiken angemessen managen. Solche Audits umfassen die Überprüfung von IAM-Systemen, die Sicherstellung der DSGVO-Konformität und die Dokumentation von Sicherheitsmaßnahmen. Eine Zertifizierung nach ISO 27001 signalisiert Kunden und Partnern ein hohes Maß an Informationssicherheit.

     

    DSGVO: Schutz personenbezogener Daten

    Die Datenschutz-Grundverordnung (DSGVO) ist ein Eckpfeiler des Datenschutzes in der Europäischen Union und regelt den Schutz personenbezogener Daten. Sie trat am 25. Mai 2018 in Kraft und gilt für alle Unternehmen und Organisationen, die Daten von EU-Bürgern verarbeiten, unabhängig von ihrem Standort. Die DSGVO betont die Stärkung und Harmonisierung des Datenschutzes sowie den freien Datenverkehr innerhalb der EU.

     

    Verstöße können zu hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres führen, je nachdem, welcher Betrag höher ist, sowie zu Reputationsverlusten.

     

    Grundsätze der Datenverarbeitung

    Die DSGVO legt klare Grundsätze für die Verarbeitung personenbezogener Daten fest:

    Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten müssen rechtmäßig, fair und für die betroffene Person nachvollziehbar verarbeitet werden. Nutzer müssen klar über die Datenverarbeitung informiert werden.

     

    Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht für andere Zwecke weiterverarbeitet werden.

     

    Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den Zweck der Verarbeitung unbedingt notwendig sind.

     

    Richtigkeit: Daten müssen sachlich korrekt und aktuell sein. Unrichtige Daten sind unverzüglich zu korrigieren.

     

    Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den vorgesehenen Zweck erforderlich ist.

     

    Integrität und Vertraulichkeit: Daten müssen durch geeignete technische und organisatorische Maßnahmen (TOMs), wie IAM-Systeme (Identity and Access Management) zur Zugriffskontrolle oder Verschlüsselung bei der Datenübertragung, vor unbefugter Verarbeitung, Verlust, Zerstörung oder Schädigung geschützt werden.

     

    Rechte der betroffenen Personen

    Die DSGVO stärkt die Rechte der Betroffenen erheblich:

    Auskunftsrecht: Betroffene können erfahren, welche Daten über sie gespeichert sind und wie diese verarbeitet werden.

     

    Recht auf Berichtigung: Betroffene können die Korrektur unrichtiger oder unvollständiger Daten verlangen.

     

    Recht auf Löschung („Recht auf Vergessenwerden“): Unter bestimmten Bedingungen können Betroffene die Löschung ihrer Daten fordern.

     

    Recht auf Einschränkung der Verarbeitung: Betroffene können die Einschränkung der Datenverarbeitung verlangen, wenn bestimmte Voraussetzungen erfüllt sind.

     

    Recht auf Datenübertragbarkeit: Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.

     

    Widerspruchsrecht: Betroffene können der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen.

     

    Pflichten der Verantwortlichen und Auftragsverarbeiter

    Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zu umfassenden Maßnahmen, um den Datenschutz zu gewährleisten:

     

    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: Verantwortliche müssen technische und organisatorische Maßnahmen (TOMs) implementieren, wie Verschlüsselung oder Zugriffskontrollen, um die Datenschutzgrundsätze effektiv umzusetzen.

     

    Führung eines Verzeichnisses von Verarbeitungstätigkeiten: Verantwortliche müssen ein detailliertes Verzeichnis aller Datenverarbeitungsaktivitäten führen.

     

    Meldung von Datenschutzverletzungen: Verstöße müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

     

    Durchführung von Datenschutz-Folgenabschätzungen: Bei Verarbeitungsvorgängen mit hohem Risiko für die Rechte und Freiheiten von Personen ist eine Datenschutz-Folgenabschätzung erforderlich.

     

    Benennung eines Datenschutzbeauftragten: Unter bestimmten Voraussetzungen müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten ernennen.

     

    Rechtsgrundlagen der Datenverarbeitung

    Die DSGVO fordert eine Rechtsgrundlage für jede Datenverarbeitung, wie z. B.:

    Einwilligung: Die betroffene Person muss freiwillig und informiert zustimmen.

    Vertragserfüllung: Die Verarbeitung ist notwendig, um einen Vertrag mit der betroffenen Person zu erfüllen.

     

    Gesetzliche Verpflichtung: Die Verarbeitung ist zur Erfüllung rechtlicher Verpflichtungen erforderlich.

     

    Berechtigte Interessen: Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter notwendig, sofern die Interessen der betroffenen Person nicht überwiegen.

     

    Zusammenspiel von Schutzbedarf und Schutzzielen

    Der Schutzbedarf bestimmt, wie stark jedes Schutzziel für ein System gewährleistet werden muss. Ein Online-Banking-System erfordert hohe Vertraulichkeit und Integrität, da Datenverluste oder Manipulationen verheerend wären. Ein öffentliches Portal legt hingegen mehr Wert auf Verfügbarkeit. Durch die Kombination von Schutzbedarfsanalyse, BSI-Vorgaben und ISO 27001 können Unternehmen gezielte Maßnahmen entwickeln: starke Verschlüsselung und IAM für Vertraulichkeit, regelmäßige Datenprüfungen für Integrität und redundante Systeme für Verfügbarkeit.

     

    Relevante Rollen im Datenschutz und in der IT-Sicherheit

    Die Umsetzung von Schutzbedarf und Schutzzielen erfordert klar definierte Rollen:

    Verantwortlicher: Die natürliche oder juristische Person, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Sie trägt die Hauptverantwortung für die DSGVO-Konformität.

     

    Datenschutzbeauftragter (DSB): Berät den Verantwortlichen, überwacht die Einhaltung der DSGVO und ist Ansprechpartner für Betroffene und Behörden.

     

    Auftragsverarbeiter: Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, etwa ein Cloud-Dienstleister, und muss DSGVO-Vorgaben einhalten.

     

    Informationssicherheitsbeauftragter (ISB): Verantwortlich für die Umsetzung der Schutzziele, koordiniert Sicherheitsmaßnahmen und führt Risikoanalysen durch.

     

    Aufsichtsbehörden: Nationale Datenschutzbehörden (z. B. Landesbeauftragte für Datenschutz) überwachen die DSGVO-Einhaltung, bearbeiten Beschwerden und verhängen Bußgelder.

     

    Diese Rollen arbeiten zusammen, um Schutzbedarf und Schutzziele zu gewährleisten, etwa durch IAM-Einführung, Audits oder DSGVO-Schulungen.

     

    Warum das für Unternehmen und Gesellschaft wichtig ist

    In Zeiten von Ransomware (Ransomware ist Schadsoftware, die Daten auf einem Gerät verschlüsselt und unzugänglich macht. Die Angreifer fordern Lösegeld (oft in Kryptowährungen) für die Freigabe. Häufige Infektionswege sind Phishing-E-Mails, bösartige Links oder Schwachstellen in Software), Phishing und Datenlecks sind Schutzbedarf und Schutzziele unverzichtbare Werkzeuge, um Risiken zu minimieren. Für Unternehmen geht es um Kundenvertrauen, rechtliche Konformität und den Schutz kritischer Prozesse. Für die Gesellschaft ist eine sichere IT-Infrastruktur essenziell, um Krankenhäuser, Energieversorger oder Wahlsysteme zu schützen. Das BSI, ISO 27001 und die DSGVO bieten hierbei klare Leitlinien, während IAM-Systeme und Rollen wie der DSB die praktische Umsetzung unterstützen.

     

    Fazit: Sicherheit beginnt mit Verständnis

    Schutzbedarf und Schutzziele sind das Rückgrat der IT-Sicherheit. Durch strukturierte Analysen nach BSI-Vorgaben, Audits nach ISO 27001 und die strikte Einhaltung der DSGVO können Unternehmen Cyberrisiken minimieren. Die Zusammenarbeit von Verantwortlichen, Datenschutzbeauftragten und anderen Rollen stellt sicher, dass Daten und Systeme geschützt bleiben. In einer vernetzten Welt ist IT-Sicherheit nicht nur eine technische, sondern auch eine gesellschaftliche Verantwortung.

     

    –––

    Quellen und Literaturverzeichnis:

    Bundesamt für Sicherheit in der Informationstechnik (BSI). (2023). IT-Grundschutz-Kompendium. Verfügbar unter: https://www.bsi.bund.de/

    Eckert, C. (2021). IT-Sicherheit: Konzepte – Verfahren – Protokolle. 10. Auflage. De Gruyter Oldenbourg.

    ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization.

    Schmitz, R. & Seitz, J. (2020). Grundlagen der IT-Sicherheit: Schutzziele, Bedrohungen und Maßnahmen. Springer Vieweg.

    Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Amtsblatt der Europäischen Union, L 119/1.

    Tags: Mittelländische, Onlinezeitung, #mittellaendische, #dmz

    Kommentar schreiben

    Kommentare: 0
    Impressum | Datenschutz | Sitemap
    DMZ - FÜR MEHR DURCHBLICK - Copyright 2025 - Der Inhalt der DMZ Webseiten ist urheberrechtlich geschützt. Die Vervielfältigung, Änderung, VerbreitungoderSpeicherungvonInformationen oder Daten,insbesondere von Texten, Textteilen oder Bildmaterial, bedarf der vorherigen Zustimmung der DMZ.
    Abmelden | Bearbeiten