.png?width=2995&height=748&name=epco-logo%20(1).png)
Diese Frage bewegt mich nicht nur als Projektmanager, sondern sie wird mir auch immer wieder mal...
Das CIA Modell dient zur groben Analyse der IT-Sicherheit in einem Unternehmen. Außerdem gibt es eine Idee wie die IT Sicherheit in einem Unternehmen aufgebaut werden sollte.
Ziel ist die Feststellung der IT-Sicherheit der Daten innerhalb eines Unternehmens.
Das Modell besteht aus den drei wesentlichen Grundbedrohungen der IT-Informationssicherheit:
Confidentiality = Vertraulichkeit
Integrity = Integrität
Availability = Verfügbarkeit
Um eine informationstechnische Sicherheit zu erlangen, müssen Grundbedrohungen abgewehrt werden, um den Verlust der Verfügbarkeit, der Integrität und der Vertraulichkeit von Daten zu sichern.
Wir verdeutlichen dies mit folgendem Beispiel:
Unternehmen verfügen über eine Datei mit persönlichen Daten der Mitarbeiter.
Diese Daten sollen und müssen natürlich geheim bleiben.
Hier besagt die Vertraulichkeit (Confidentiality), dass die Daten nur von Benutzern eingesehen werden können, die auch das Recht dazu haben.
Die Datei kann und darf nicht von jedem Mitarbeiter innerhalb des Unternehmens eingesehen werden. Nur Personen, welche das Recht auf diese Datei haben, dürfen diese aufrufen. Darunter würde z.B. in diesem Falle die Geschäftsleitung und das Personalmanagement fallen.
Außerdem kann Vertraulichkeit auch bedeuten, dass Programme und Systemkonfigurationen vor unbefugten Personen geheim gehalten werden müssen.
Die Integrität (Integrity) beschreibt, dass die Änderung von Daten für jeden, der Zugriff auf diese hat, nachvollziehbar ist. Das heißt, dass sämtliche Änderungen mit einem Zeitstempel und einer Benutzerkennung versehen sind. So kann eingesehen werden, welche Person zu welchem Zeitpunkt welche Änderung vorgenommen hat. Somit können alte Versionen des Dokuments oder der Datei wiederhergestellt oder eingesehen werden.
Angewendet auf unser Beispiel würde das folgendes bedeuten:
Wenn aus Versehen die Datei eines Mitarbeiters verändert wird, sind die richtigen Daten in einer älteren Dateiversion wiederzufinden. Daraus folgt, dass die Änderung an Dateien nicht endgültig, sondern nachvollziehbar ist.
Zudem kann man feststellen, wer die Datei bearbeitet hat und zu welchem Zeitpunkt.
Die Daten, Dokumente und Programme müssen im größtmöglichen Zeitraum für die Berechtigen zur Verfügung (Availability) gestellt werden. So wird vermieden, dass auf diese Daten nicht zugegriffen werden kann und so der betriebliche Arbeitsprozess gestört wird. Das würde für die Beispieldatei bedeuten, dass diese zu gewissen Zeitpunkten nicht verfügbar ist. Somit kann in dieser Zeit daran nicht gearbeitet werden.
Für eine detaillierte Analyse der IT-Sicherheit kann man alternativ Modelle wie das Defence in depth Modell anwenden. Dieses bezieht zusätzlich die einzelnen Teile sowie die Umgebungsbedingungen eines IT-Systems ein. Dabei geht es beispielsweise darum, ob Mitarbeiter entsprechend geschult sind und welche Hard- und Softwarekomponenten verwendet werden, um eventuelle Angriffe aufzuspüren und diese abzuwehren.
Trotz allem wird das CIA Modell dazu genutzt in Unternehmen das Verständnis für die IT-Sicherheit darzustellen.
Nutzen Sie in Ihrem Unternehmen selbst das CIA Modell?
Wir freuen uns wie immer, wenn Sie uns Feedback zu unserem Blog geben oder direkt mit uns in Kontakt treten.
André Weyer
