Die zunehmende Digitalisierung aller Lebensbereiche erfordert ein fundiertes Verständnis der IT-Sicherheit sowohl aus technischer als auch juristischer Perspektive. Dieser Grundlagenartikel systematisiert die zentralen Konzepte, Prinzipien und rechtlichen Rahmenbedingungen der IT-Sicherheit. Dabei werden die Schutzziele der IT-Sicherheit, relevante Bedrohungsszenarien sowie die maßgeblichen rechtlichen Verpflichtungen analysiert und in einen systematischen Zusammenhang gebracht.
Einleitung und Begriffsbestimmung
1.1 Terminologische Grundlagen
IT-Sicherheit (auch Informationssicherheit) bezeichnet den Schutz von Informationen und Informationssystemen vor unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Modifikation oder Zerstörung. Der Begriff umfasst sowohl technische als auch organisatorische Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen.
Abzugrenzen ist die IT-Sicherheit von verwandten Begriffen wie Datenschutz (der primär den Schutz personenbezogener Daten zum Gegenstand hat) und Cybersecurity (die stärker den Schutz vor Angriffen aus dem Cyberraum betont). Trotz dieser begrifflichen Unterscheidungen bestehen erhebliche inhaltliche Überschneidungen, die erforderlich machen.
1.2 Relevanz und Forschungsgegenstand
Die wissenschaftliche und praktische Bedeutung der IT-Sicherheit ergibt sich aus mehreren Faktoren:
- der fortschreitenden Digitalisierung kritischer Infrastrukturen,
- der zunehmenden Vernetzung von Systemen, der steigenden Anzahl und Komplexität von Cyberangriffen
- sowie der wachsenden Abhängigkeit von IT-Systemen in nahezu allen gesellschaftlichen und wirtschaftlichen Bereichen.
Hinzu tritt die rechtliche Dimension:
- Verstöße gegen IT-Sicherheitsanforderungen können erhebliche zivil-, straf- und verwaltungsrechtliche Konsequenzen nach sich ziehen.
Schutzziele der IT-Sicherheit
2.1 Die klassische CIA-Triade
Die grundlegenden Schutzziele der IT-Sicherheit werden traditionell als CIA-Triade bezeichnet. Dabei steht CIA für:
Vertraulichkeit -C- (Confidentiality): Informationen dürfen nur autorisierten Personen oder Systemen zugänglich sein. Die Verletzung der Vertraulichkeit liegt vor, wenn Unbefugte Kenntnis von geschützten Informationen erlangen. Technische Implementierungen umfassen Verschlüsselung, Zugriffskontrollen und Authentifizierungsmechanismen.
Integrität – I – (Integrity): Daten und Systeme müssen vor unbefugter oder unbeabsichtigter Veränderung geschützt werden. Die Integrität gewährleistet, dass Informationen vollständig, korrekt und unverfälscht bleiben. Kryptographische Hash-Funktionen, digitale Signaturen und Versionskontrollsysteme dienen der Integritätssicherung.
Verfügbarkeit – A – (Availability): Systeme und Daten müssen für autorisierte Nutzer zum erforderlichen Zeitpunkt zugänglich sein. Beeinträchtigungen der Verfügbarkeit können durch technische Ausfälle, Überlastungsangriffe (DDoS) oder Sabotage entstehen. Redundanzen, Backup-Systeme und Lastverteilung sind nur ein paar typische Gegenmaßnahmen.
2.2 Erweiterte Schutzziele
Die moderne IT-Sicherheit ergänzt die CIA-Triade um zusätzliche Schutzziele. Unter anderem werden folgende Schutzziele verfolgt:
Authentizität: Die Echtheit und Glaubwürdigkeit von Daten, Identitäten und Nachrichtenquellen muss verifizierbar sein. Authentifizierungsprotokolle und Public-Key-Infrastrukturen (PKI) dienen diesem Zweck.
Nicht-Abstreitbarkeit (Non-Repudiation): Handlungen und Transaktionen müssen nachweisbar einer Entität zugeordnet werden können, sodass diese ihre Urheberschaft nicht glaubhaft bestreiten kann. Digitale Signaturen und Audit-Logs implementieren dieses Schutzziel.
Zurechenbarkeit (Accountability): Aktionen müssen eindeutig identifizierbaren Entitäten zugeordnet werden können, um Verantwortlichkeit herzustellen. Bspw. durch einen Versionsverlauf mit Bearbeiter- Aufzeichnung oder elektronischer Signatur.
