Schutzziele 2.0 – Was heute noch alles zählt

Schutzziele 2.0 – Was heute noch alles zählt

Wer sich mit Informationssicherheit beschäftigt, kennt sie: die drei klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Sie sind das Fundament der Sicherheitsarchitektur und bilden seit Jahrzehnten den Ausgangspunkt fast jeder Sicherheitsstrategie. Doch so zeitlos diese „magischen drei“ sind – die Welt, in der sie entstanden, war eine andere. Heute sind Unternehmen global vernetzt, Datenströme kennen keine Landesgrenzen mehr, Cloud-Dienste und mobile Geräte sind allgegenwärtig, und Bedrohungen entwickeln sich in rasantem Tempo. Diese neue Realität hat dazu geführt, dass die klassische Triade nicht mehr alle Facetten der Informationssicherheit abdeckt. Aus dieser Lücke entstand eine erweiterte Sichtweise: Schutzziele 2.0. Sie ersetzen die Triade nicht, sondern ergänzen sie – um Dimensionen, die Vertrauen, Nachvollziehbarkeit, Widerstandsfähigkeit und rechtliche Wirksamkeit in der digitalen Gegenwart absichern.

Vom Dreiklang zum Orchester: Das Denkmodell hinter Schutzzielen 2.0

Die CIA-Triade beantwortet drei Kernfragen: Wer darf sehen, ob das Gesehene stimmt, und ob das System funktioniert, wenn es gebraucht wird. In modernen Ökosystemen kommen jedoch weitere Fragen hinzu. Woher stammt die Information wirklich? Darf jemand später bestreiten, etwas getan zu haben? Wer trägt Verantwortung für eine Aktion, wenn Menschen, Bots und KI-Modelle gemeinsam handeln? Wie beweise ich in fünf Jahren, dass ein Datensatz unverändert geblieben ist? Wie schnell kann der Betrieb nach einem Ransomware-Angriff wieder anlaufen? Wie schütze ich Privatsphäre über den gesamten Datenlebenszyklus? Und wie stelle ich sicher, dass Sicherheitsentscheidungen erklärbar und überprüfbar sind? Schutzziele 2.0 geben strukturierte Antworten auf diese Fragen.

Authentizität: Herkunft, Echtheit, Unverfälschtheit

Authentizität stellt sicher, dass die Herkunft und Echtheit einer Information zweifelsfrei feststehen. In einer Zeit von Phishing, CEO-Fraud, Deepfakes und manipulierten Medien genügt „es sieht echt aus“ nicht mehr. Technische Anker sind digitale Signaturen, Zertifikatsketten, Code-Signing, Paket- und Container-Signaturen, DKIM/DMARC für E-Mail, Attestation-Mechanismen für Geräte sowie Signaturen in Build- und Lieferketten. Organisatorisch braucht es klare Vertrauensanker: wer signiert, mit welchen Schlüsseln, über welche Autorisierungswege, und wie Rotationen und Widerrufe ablaufen. Authentizität bedeutet auch Provenienz: Datenherkunft, Verarbeitungsschritte und verwendete Modelle werden nachvollziehbar dokumentiert. Ohne Authentizität werden Integrität und Vertraulichkeit wertlos, weil niemand sicher sagen kann, ob die „richtige“ Quelle gesprochen hat.

Verbindlichkeit (Non-Repudiation): Handlungen bestreitungsfest machen

Verbindlichkeit sorgt dafür, dass Beteiligte eine digital abgegebene Erklärung nicht glaubhaft abstreiten können. Das ist bei Vertragsabschlüssen, Finanztransaktionen, Genehmigungen oder Compliance-Bestätigungen entscheidend. Technisch stützen es qualifizierte elektronische Signaturen, Zeitstempel, manipulationssichere Protokolle, Hashverkettungen und revisionssichere Journale. Rechtlich braucht es definierte Verträge, Zustimmungsverfahren, Identitätsprüfungen und klare Zuständigkeiten. Verbindlichkeit ist kein Selbstzweck: Sie reduziert Streit, beschleunigt Prüfungen und wirkt präventiv gegen Betrug.

Zurechenbarkeit (Accountability): Wer hat was, wann, warum getan?

Zurechenbarkeit erweitert Verbindlichkeit um Verantwortungszuordnung. In verteilten Systemen mit Menschen, Maschinenkonten, Service-Principals und KI-Agenten ist die eindeutige Zuordnung ohne sauberes Identitäts- und Berechtigungsmanagement illusorisch. Notwendig sind eindeutige Identitäten, starke Authentisierung, Rollenkonzepte, Segregation of Duties, Freigabeprozesse und konsistente Protokollierung entlang der gesamten Kette. Zurechenbarkeit verlangt auch Kontext: Welche Policy erlaubte die Aktion, welche Ausnahmen galten, welcher Genehmiger war eingebunden? Gute Zurechenbarkeit verbessert Sicherheit und Betrieb zugleich, weil Ursachen rascher geklärt und Fehler nachhaltig behoben werden können.

Revisionssicherheit und Auditierbarkeit: Beweise, die Bestand haben

Revisionssicherheit bedeutet, Informationen so zu speichern und zu verwalten, dass sie über lange Zeiträume hinweg unverändert, nachvollziehbar und vollständig bleiben. Das ist in regulierten Branchen Pflicht und in allen anderen klug. Mittel hierfür sind Write-Once-Read-Many-Speicher, append-only-Logs, signierte Archive, Hashketten, Zeitstempel, Versionierung und kontrollierte Aufbewahrungsfristen. Auditierbarkeit ergänzt dies um die Fähigkeit, Verfahren, Entscheidungen und Datenflüsse jederzeit schlüssig zu prüfen. Wer Revisionssicherheit ernst nimmt, denkt „Evidenz zuerst“: Jede kritische Aktion hinterlässt überprüfbare Spuren.

Resilienz: Ausfälle überstehen, schneller zurückkommen

Resilienz ist die Fähigkeit, Störungen zu absorbieren, sich anzupassen und Leistung schnell wiederherzustellen. Sie umfasst Architektur (Entkopplung, Redundanz, Failover), Betrieb (Monitoring, Kapazität, Change-Disziplin), Notfallmanagement (BCM/DR mit geübten Wiederanläufen), Lieferkettensteuerung und eine Lernkultur. Annahme „Breach“ statt Illusion „Breach-frei“: Backups sind nur so gut wie der getestete Restore; Notbetrieb ist nur so gut wie die geübte Umschaltung; Krisenkommunikation ist nur so gut wie ihr Probelauf. Resilienz ist das Scharnier zwischen Verfügbarkeit und Realität.

Datenschutz/Privatsphäre: Mehr als Vertraulichkeit

Vertraulichkeit schützt Zugriffe, Datenschutz schützt Menschen. Privatsphäre bedeutet Datenminimierung, Zweckbindung, Transparenz, Betroffenenrechte, Einwilligungsmanagement, Lösch- und Aufbewahrungskonzepte sowie Privacy-Enhancing-Technologies wie Pseudonymisierung, Anonymisierung oder differenzielle Privatsphäre. Datenschutz hat eigene Schutzziele wie Nichtverkettbarkeit und Intervenierbarkeit. Wer Privatsphäre als Erweiterung der CIA-Triade begreift, verhindert, dass Sicherheit gegen Grundrechte ausgespielt wird.

Sicherheit in der physischen Welt: Safety und Security gemeinsam denken

In OT- und IoT-Umgebungen treffen Safety (Betriebssicherheit) und Security aufeinander. Manipulierte Steuerwerte gefährden Menschen, Umwelt und Anlagen. Schutzziele 2.0 binden deshalb sicherheitsgerichtete Architekturen, Zonen-/Leitlinienkonzepte, sichere Fernwartung, deterministische Netzwerke, Gerätelife-Cycle, sichere Updates und Notfallmodi ein. Ein System gilt nur als „sicher“, wenn es sicher ausfallen kann.

Transparenz und Erklärbarkeit: Entscheidungen nachvollziehbar machen

Komplexe, automatisierte Entscheidungen – insbesondere mit KI – erfordern Transparenz. Welche Daten flossen ein, welche Regeln oder Modelle wirkten, welche Unsicherheiten bestanden? Erklärbarkeit erhöht Vertrauen, vereinfacht Fehlersuche und ist in vielen Rechtsrahmen gefordert. Praktisch heißt das: Protokolle mit Kontext, Modell- und Datenkataloge, Data Lineage, Model Cards, dokumentierte Annahmen und Grenzen.

Daten- und Modellprovenienz: Herkunft als Sicherheitsmerkmal

Lieferketten reichen bis in Quellcode, Bibliotheken und Trainingsdaten. Schutzziele 2.0 heben Provenienz auf die Ebene eines Sicherheitsziels: Software-Stücklisten, signierte Artefakte, reproduzierbare Builds, Attestation, kontrollierte Abhängigkeiten, kuratierte Datensätze, dokumentierte Sammlungs- und Bereinigungsprozesse. So werden Manipulationen schwerer und im Zweifel nachweisbar.

Portabilität und Exit-Fähigkeit: Anti-Lock-in als Resilienzfaktor

Wer Systeme nicht portieren kann, hat im Ernstfall ein Verfügbarkeits- und Resilienzproblem. Portabilität und Interoperabilität sind damit indirekte Schutzziele. Dazu gehören standardisierte Schnittstellen, exportierbare Datenformate, dokumentierte Migrationspfade, vertragliche Exit-Klauseln und geübte Not-Exit-Szenarien. Sicherheit, die an einen Anbieter gefesselt ist, ist keine.

Gebrauchstauglichkeit: Sicherheit, die Menschen nutzen

Nutzbarkeit entscheidet über Wirksamkeit. Zu komplexe Verfahren werden umgangen. Schutzziele 2.0 berücksichtigen den Menschen: phishing-resistente, aber bequeme Anmeldung; verständliche Warnungen; klare Leitplanken statt bürokratischer Gates; Rollen- und Prozessdesign, das Fehler verzeiht; Schulungen, die Verhalten ändern, statt Folien abzuspulen. Gute Usability erhöht Vertraulichkeit, Integrität und Verfügbarkeit zugleich.

Trade-offs: Die neue Mehrdimensionalität managen

Wie bei der Triade gibt es Spannungen. Mehr Resilienz durch zusätzliche Kopien kann Vertraulichkeitsrisiken erhöhen. Strikte Revisionssicherheit kann Agilität begrenzen. Maximale Authentizitätsschritte können Latenz und Nutzererlebnis beeinflussen. Zurechenbarkeit erfordert weitreichende Protokolle, die wiederum Datenschutzfragen aufwerfen. Professionelles Sicherheitsmanagement macht diese Spannungen sichtbar, entscheidet bewusst, dokumentiert Ausnahmen befristet und kompensiert Risiken.

Regulatorische Treiber: Warum die Erweiterung unvermeidlich wurde

Recht und Aufsicht verlangen heute mehr als CIA. Datenschutzgesetze fordern neben Vertraulichkeit ausdrücklich Integrität, Verfügbarkeit, Belastbarkeit, Nachweisbarkeit und Betroffenenrechte. Sektorspezifische Anforderungen verlangen Revisionssicherheit, Verantwortlichkeit, Meldefähigkeit und Wiederanlauf. Cloud- und Outsourcing-Regeln verlagern Verantwortung in Lieferketten. Schutzziele 2.0 sind damit nicht akademisch, sondern betriebswirtschaftlich geboten: Sie schaffen die Evidenz, die Prüfungen, Zertifizierungen und Krisen übersteht.

Praxisleitfaden: So operationalisieren Sie Schutzziele 2.0

Erstens Sichtbarkeit schaffen. Bestimmen Sie kritische Geschäftsservices, Datenklassen und Abhängigkeiten. Legen Sie pro Service gewichtete Zielprofile fest: Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Verbindlichkeit, Zurechenbarkeit, Revisionssicherheit, Resilienz, Privatsphäre, Transparenz, Portabilität, Usability. Zweitens Mindeststandards definieren. Formulieren Sie schlanke, verbindliche Standards für Identitäten, Kryptografie, Logging, Backup/Restore, Lieferketten, sichere Entwicklung, Cloud-Betrieb, Datenlebenszyklus, Signaturen und Zeitstempel. Drittens Prozesse verankern. Etablieren Sie Maker-Checker, Change-Freigaben, Ausnahmeverfahren mit Ablaufdatum, Incident-Playbooks inkl. Meldeketten und Krisenkommunikation. Viertens Evidenz üben. Führen Sie interne Audits durch, testen Sie Wiederherstellungen, simulieren Sie Leaks, Manipulationen und Ausfälle, prüfen Sie Portabilität mit Probe-Exports, lassen Sie Signaturketten verifizieren. Fünftens Kultur pflegen. Belohnen Sie frühes Melden, schulen Sie rollenbasiert, machen Sie Sicherheitsziele zu Management-KPI und kommunizieren Sie Entscheidungen transparent.

Designmuster je erweitertem Ziel

Für Authentizität eignen sich attestierte Identitäten, signierte Artefakte, mTLS, DKIM/DMARC, Code-Signing und geprüfte Vertrauenskette. Für Verbindlichkeit sind Zeitstempel, qualifizierte Signaturen, Hashverkettungen, fälschungssichere Journale und klar zugeordnete Rollen essenziell. Zurechenbarkeit gewinnt durch eindeutige Identitäten, kurzlebige Berechtigungen, PAM, Sitzungsaufzeichnung, Anomalieerkennung und konsolidierte Protokolle. Revisionssicherheit nutzt WORM-Speicher, Versionierung, Chain-of-Custody, kontrollierte Löschkonzepte und lange Aufbewahrungsregeln. Resilienz profitiert von Entkopplung, aktiver Redundanz, Game-Days, Chaos-Tests, immutablen Backups, Netzwerk-Isolationsplänen und Lieferanten-Fallbacks. Privatsphäre setzt auf Datenminimierung, Pseudonymisierung, Privacy-by-Design, Zweckbindung, Zugriffstrennung und regelmäßige Löschläufe. Transparenz entsteht aus verständlichen Logs, Data Lineage, Modell- und Datenkatalogen sowie dokumentierten Annahmen.

Metriken, die wirklich steuern

Für Authentizität: Anteil signierter Artefakte, Quoten valider Zertifikatsketten, Zeit bis Zertifikatsrotation, Anteil DKIM/DMARC-konformer Mails. Für Verbindlichkeit: Quote elektronisch signierter Vorgänge, Anteil vollständig zeitgestempelter Transaktionen, Beanstandungsrate in Audits. Für Zurechenbarkeit: MFA-Abdeckung, Anteil „least privilege“ erteilter Rechte, Zeit bis Entzug kompromittierter Zugänge, Lücken in Sitzungsprotokollen. Für Revisionssicherheit: Anteil WORM-geschützter Archive, Erfolgsquote von Wiederherstellungen mit Prüfsummenabgleich, ungeklärte Log-Gaps. Für Resilienz: SLO-Erfüllung, MTTD/MTTR, Erfolgsquote von DR-Übungen, Zeit bis Notbetriebsaufnahme, Restore-Zeit und Datenintegrität. Für Privatsphäre: Anzahl rechtzeitig beantworteter Betroffenenanfragen, Datenminimierungsfortschritt, Löschlauf-Erfolgsquoten, Privacy-Incidents pro Quartal. Für Transparenz: Abdeckung von Data Lineage, Verfügbarkeit von Modell-Dokus, Mean Time to Explain in Vorfällen. Metriken brauchen Zielwerte, Trends und Konsequenzen im Management-Review.

Sektorielle Gewichtungen: Ein Musterkatalog

Im Finanzsektor stehen Vertraulichkeit, Integrität, Verbindlichkeit und Zurechenbarkeit traditionell sehr hoch, ergänzt um Resilienz wegen Zeitkritik und Systemverflechtung. Im Gesundheitswesen dominieren Integrität und Verfügbarkeit, weil Fehler Leben kosten können, flankiert von starker Privatsphäre. In kritischen Infrastrukturen ist Verfügbarkeit oft primär, Integrität direkt sicherheitsrelevant; Authentizität und Revisionssicherheit sichern Fernwartung und Compliance. In Forschung und IP-intensiven Branchen ist Authentizität der Datenquelle und Revisionssicherheit für Nachweise zentral; Portabilität sichert Exit-Fähigkeit. In der öffentlichen Verwaltung spielen Transparenz und Rechenschaft eine besondere Rolle.

Typische Fehlannahmen – und bessere Antworten

„Wir brauchen nur Verfügbarkeit.“ Kurzsichtig: Ohne Vertraulichkeit und Privatsphäre drohen rechtliche und reputative Rückschläge; ohne Integrität treffen Sie falsche Entscheidungen. „Signaturen verlangsamen uns.“ Selektiv einsetzen, kryptografisch effizient gestalten, asynchron prüfen, dort intensivieren, wo der Schaden groß wäre. „Logs sind genug für Revisionssicherheit.“ Nur, wenn sie unveränderlich, vollständig, zeitgestempelt, geprüft und wiederherstellbar sind. „Resilienz ist gleich Backup.“ Nein: Resilienz ist Architektur, Übung, Kommunikation, Lieferkette und Wiederanlauf – Backup ist lediglich Rohstoff.

Roadmap: In vier Phasen zur gelebten Erweiterung

Phase eins, Orientierung: Schutzbedarfe je Service entlang von CIA plus neuen Zielen bestimmen, Zielprofile definieren, Lücken grob markieren. Phase zwei, Fundament: Identitäten vereinheitlichen, MFA und PAM ausrollen, Standardkryptografie festlegen, Basis-Logging und zentrale Telemetrie etablieren, Backup-Restore testen, Datenklassifizierung starten, signierte Build-Artefakte einführen. Phase drei, Vertiefung: DLP und Privacy-Programme, Attestation für Geräte und Workloads, Data Lineage, WORM-Archive für Beweiszwecke, Chaos- und DR-Übungen, vertragliche Exit-Klauseln testen, Ausnahmeprozesse mit Kompensation festlegen. Phase vier, Verstetigung: Interne Audits, Management-Reviews, Purple-Team-Zyklen, regelmäßige Szenarioübungen zu Leak, Manipulation und Ausfall, Kennzahlensteuerung, kontinuierliche Verbesserungen in Backlogs, Lieferanten in Übungen einbinden.

KI-Sonderfall: Schutzziele 2.0 für datengetriebene Systeme

Bei KI kommen zusätzliche Facetten hinzu. Authentizität und Provenienz der Trainingsdaten, Integrität der Feature-Pipelines, Revisionssicherheit der Modellstände, Zurechenbarkeit von Entscheidungen mit menschlicher Aufsicht, Privatsphäre von Eingaben und Ausgaben, Transparenz hinsichtlich Datenquellen, Limitationen und Bias. Resilienz bedeutet hier außerdem Degradationsmodi, Rate-Limiting, Missbrauchserkennung und die Fähigkeit, betroffene Modellversionen schnell zu ersetzen. Wer KI ohne Schutzziele 2.0 betreibt, baut Black-Boxes – und das ist heute weder akzeptiert noch nachhaltig.

Kultur als Multiplikator: Menschen befähigen, Fehler verzeihen

Technik setzt Grenzen, Kultur setzt Verhalten. Eine Organisation, die Melden belohnt, Ausnahmen transparent regelt, Führungskräfte in die Pflicht nimmt und realitätsnah trainiert, erreicht die Schutzziele 2.0 mit weniger Reibung. Dazu gehören verständliche Richtlinien, wiederkehrende Übungen, klare Verantwortlichkeiten, sichtbare Entscheidungen und die Bereitschaft, aus Vorfällen zu lernen, statt Schuldige zu suchen.

Fazit: Evolution statt Ersatz

Schutzziele 2.0 sind keine Mode, sondern eine notwendige Evolution. Sie spiegeln wider, dass Informationssicherheit heute mehr leisten muss als früher: nicht nur schützen, sondern Vertrauen schaffen, Verantwortung klären, Nachvollziehbarkeit sichern, Privatsphäre respektieren und die Widerstandsfähigkeit einer Organisation stärken. Vertraulichkeit, Integrität und Verfügbarkeit bleiben unverzichtbar; ergänzt um Authentizität, Verbindlichkeit, Zurechenbarkeit, Revisionssicherheit, Resilienz, Privatsphäre, Transparenz, Provenienz, Portabilität und Gebrauchstauglichkeit werden sie zu einem ganzheitlichen Steuerungsrahmen. Wer diese Erweiterung ernst nimmt, plant nicht nur für den Normalbetrieb, sondern für das Unvorhergesehene – und baut Sicherheitskonzepte, die im Ernstfall halten, was sie versprechen.