Читать книгу Datenschutzgrundverordnung für Dummies - Christian Szidzek - Страница 100

Vertraulichkeit liegt vor, wenn eine unberechtigte Informationsgewinnung nicht möglich ist. Das bedeutet, dass auf Informationen nur von Personen mit einer vorhandenen Zugriffsberechtigung zugegriffen werden darf und von anderen nicht.

Das Schutzziel der Integrität umfasst zum einen die Richtigkeit der Daten (Datenintegrität) und speziell bei der IT-Sicherheit auch die korrekte Funktionsweise von Datenverarbeitungssystemen (Systemintegrität), um unberechtigte Manipulationen an den Informationen zu verhindern. Man unterscheidet dabei zwischen starker und schwacher Integrität. Eine starke Integrität liegt vor, wenn es tatsächlich keine Möglichkeit einer unbefugten Datenmanipulation gibt. Von einer schwachen Integrität ist die Rede, wenn eine Datenmanipulation zwar möglich, aber auf keinen Fall unbemerkt möglich ist. Mögliche Manipulationen sind das Verändern, Löschen oder Einfügen von Daten. Geeignete Mittel zur Sicherstellung der Integrität sind Message Authentication Codes (MAC), also Nachrichtenidentifizierungscodes, oder Tamper Resistant Security Modules (TRSM), also manipulationssichere Sicherheitsmodule, mit denen die Erkennbarkeit von Manipulationen möglich wird und dann automatisch Folgemaßnahmen wie zum Beispiel eine Datenlöschung durchgeführt werden.

Mit dem Begriff der Verfügbarkeit meint man, dass IT-Systeme jederzeit betriebsbereit sein sollen und die Verarbeitung der Daten ordnungsgemäß abläuft. Berechnet wird die Zuverlässigkeit in der Praxis regelmäßig über das Verhältnis der Zeit, in der das System tatsächlich zur Verfügung stand, und der vereinbarten Zeit, in der das System zu Verfügung hätte stehen sollen. Angestrebt werden dabei zwar 100 Prozent, was aber nur unter sehr hohen Kosten erreicht werden kann. Bei Anwendungen, die nicht unternehmensintern betrieben, sondern zugekauft werden, vereinbaren Unternehmen mit dem Anbieter deshalb bestimmte Verfügbarkeitszeiten in sogenannten Service-Level-Agreements (SLA), die Strafgelder (Pönalen) enthalten können, falls von der vereinbarten Verfügbarkeit abgewichen wird.

Die CIA-Schutzziele sind dabei nicht die einzigen möglichen Schutzziele der IT-Sicherheit, aber die wichtigsten. Daneben kommen als weitere Schutzziele die Authentizität von Daten, die Nichtabstreitbarkeit oder die Zurechenbarkeit in Betracht.