CIA-Triade erklärt: Vertraulichkeit, Integrität und Verfügbarkeit im Alltag

Drei Buchstaben, die alles zusammenhalten

Wenn du dich mit Informationssicherheit beschäftigst, begegnet dir die CIA-Triade früher oder später auf jeder zweiten Seite. Das liegt daran, dass diese drei Schutzziele tatsächlich das Fundament bilden, auf dem sämtliche Sicherheitsmaßnahmen, Risikoanalysen und Normanforderungen aufbauen. Ob du eine Firewall konfigurierst, ein Berechtigungskonzept schreibst oder einen Sicherheitsvorfall bewertest: Am Ende geht es immer darum, ob die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Informationen gefährdet ist.

Das Konzept stammt ursprünglich aus den 1970er-Jahren und wurde im Umfeld des US-Verteidigungsministeriums entwickelt. Seitdem hat es sich zum universellen Referenzrahmen für Informationssicherheit etabliert, der sich in ISO 27001 ebenso wiederfindet wie im BSI IT-Grundschutz, im NIST Cybersecurity Framework und in der NIS2-Richtlinie. Die Stärke der CIA-Triade liegt in ihrer Einfachheit: Drei klare Kategorien, die komplex genug sind, um reale Sicherheitsprobleme abzubilden, und einfach genug, um sie auch Nicht-Technikern zu vermitteln.

Vertraulichkeit (Confidentiality)

Was Vertraulichkeit bedeutet

Vertraulichkeit stellt sicher, dass Informationen nur den Personen und Systemen zugänglich sind, die dazu berechtigt sind. Es geht darum, unbefugten Zugriff zu verhindern, egal ob durch externe Angreifer, neugierige Kollegen oder fehlerhafte Systemkonfigurationen. Vertraulichkeit betrifft dabei nicht nur hochsensible Daten wie Geschäftsgeheimnisse oder Gesundheitsdaten, sondern grundsätzlich alle Informationen, deren Offenlegung Schaden verursachen könnte.

Alltagsbeispiele

Vertraulichkeit begegnet dir im Alltag häufiger, als du vielleicht denkst. Der PIN deiner Bankkarte ist vertraulich, weil sein Bekanntwerden direkten finanziellen Schaden ermöglicht. Der verschlossene Briefumschlag schützt den Inhalt vor den Augen Dritter. Das Arztgeheimnis sichert die Vertraulichkeit medizinischer Informationen. Und wenn du in der Bahn an einem vertraulichen Dokument arbeitest, schützt eine Sichtschutzfolie auf dem Laptop die Vertraulichkeit vor dem Sitznachbarn.

Im Unternehmenskontext sind die Szenarien vielfältiger: Kundendaten dürfen nur von berechtigten Mitarbeitenden eingesehen werden. Gehaltsabrechnungen sind ausschließlich für die betroffene Person und die Personalabteilung bestimmt. Strategische Planungen der Geschäftsführung dürfen nicht an Wettbewerber gelangen. Quellcode einer Eigenentwicklung ist gegenüber externen Dienstleistern vertraulich, sofern kein NDA besteht.

Typische Maßnahmen für Vertraulichkeit

Die Bandbreite der Maßnahmen reicht von einfach bis hochkomplex. Verschlüsselung schützt Daten sowohl bei der Übertragung (TLS, VPN) als auch im Ruhezustand (Festplattenverschlüsselung, verschlüsselte Datenbanken). Zugriffskontrollen stellen über Berechtigungskonzepte und das Least-Privilege-Prinzip sicher, dass jeder nur auf die Informationen zugreifen kann, die er tatsächlich braucht. Multi-Faktor-Authentifizierung erschwert es Angreifern, mit gestohlenen Zugangsdaten in Systeme einzudringen. Physische Maßnahmen wie Zutrittskontrolle und abschließbare Schränke ergänzen die technischen Controls. Und nicht zuletzt sorgen Vertraulichkeitsvereinbarungen (NDAs) und Schulungen dafür, dass auch der menschliche Faktor abgedeckt ist.

Integrität (Integrity)

Was Integrität bedeutet

Integrität gewährleistet, dass Informationen korrekt, vollständig und unverändert sind. Es geht nicht nur darum, dass niemand Daten böswillig manipuliert, sondern auch darum, dass keine versehentlichen Änderungen, Übertragungsfehler oder Softwarebugs die Daten verfälschen. Integrität hat zwei Dimensionen: die Datenintegrität (die Daten selbst sind korrekt) und die Systemintegrität (das System funktioniert wie vorgesehen und wurde nicht kompromittiert).

Alltagsbeispiele

Du verlässt dich täglich auf Integrität, ohne darüber nachzudenken. Wenn du eine Überweisung tätigst, erwartest du, dass die Bank den richtigen Betrag an den richtigen Empfänger überweist und nicht irgendwo auf dem Weg die Kontonummer vertauscht wird. Wenn du einen Vertrag unterschreibst, vertraust du darauf, dass der Text nach der Unterschrift nicht mehr geändert wird. Wenn du ein Medikament einnimmst, verlässt du dich darauf, dass die Dosierungsangabe auf der Packung korrekt ist.

Im Unternehmenskontext wird Integrität besonders kritisch bei Finanzdaten (eine manipulierte Rechnung kann erheblichen Schaden verursachen), bei Konfigurationsdaten (eine veränderte Firewall-Regel öffnet Angriffsflächen), bei Protokolldaten (manipulierte Logs verschleiern Angriffe) und bei Verträgen und regulatorischen Dokumenten (veränderte Inhalte können rechtliche Konsequenzen haben).

Typische Maßnahmen für Integrität

Hashwerte und digitale Signaturen ermöglichen es, Veränderungen an Dateien zuverlässig zu erkennen. Versionskontrollsysteme wie Git dokumentieren jede Änderung mit Zeitstempel und Autor. Datenbankconstraints und Validierungsregeln verhindern fehlerhafte Eingaben auf Anwendungsebene. Zugriffskontrollen mit dem Prinzip der minimalen Rechte begrenzen, wer Daten überhaupt ändern darf. Audit-Trails protokollieren alle Änderungen nachvollziehbar. Und regelmäßige Backups mit Integritätsprüfung stellen sicher, dass du im Ernstfall auf eine korrekte Version zurückgreifen kannst.

Verfügbarkeit (Availability)

Was Verfügbarkeit bedeutet

Verfügbarkeit stellt sicher, dass Informationen und IT-Systeme dann zugänglich sind, wenn sie gebraucht werden. Ein System, das zwar perfekt vertraulich und integer ist, aber nicht erreichbar, wenn du es brauchst, verfehlt seinen Zweck. Verfügbarkeit wird oft in Prozent gemessen: 99,9% Verfügbarkeit klingt beeindruckend, erlaubt aber immerhin knapp 9 Stunden Ausfall pro Jahr. Für kritische Systeme reicht das unter Umständen nicht aus.

Alltagsbeispiele

Die Relevanz von Verfügbarkeit wird meistens erst dann bewusst, wenn sie fehlt. Der Geldautomat, der gerade nicht funktioniert, wenn du dringend Bargeld brauchst. Die Notrufnummer 112, die bei einem Netzwerkausfall nicht erreichbar ist. Der Online-Shop, der am Black Friday unter der Last zusammenbricht und Umsatz in sechsstelliger Höhe verliert. Oder der E-Mail-Server, der am Montagmorgen nicht startet und die halbe Firma lahmlegt.

Im Unternehmenskontext definiert die Business Impact Analyse, welche Systeme und Prozesse welche Verfügbarkeitsanforderungen haben. Ein ERP-System, über das alle Aufträge laufen, hat andere Anforderungen als ein internes Wiki. Die Recovery Time Objective (RTO) legt fest, wie schnell ein System nach einem Ausfall wieder verfügbar sein muss, die Recovery Point Objective (RPO) bestimmt, wie viel Datenverlust tolerierbar ist.

Typische Maßnahmen für Verfügbarkeit

Redundanz ist das zentrale Prinzip: redundante Server, redundante Netzwerkanbindungen, redundante Stromversorgung. Regelmäßige und getestete Backups stellen die Wiederherstellung nach Datenverlust sicher. Load Balancing verteilt die Last auf mehrere Systeme und verhindert Überlastung. Monitoring-Systeme erkennen Ausfälle und Performance-Probleme frühzeitig. Disaster-Recovery-Pläne definieren die Vorgehensweise bei größeren Störungen. Und Patch-Management sorgt dafür, dass Systeme stabil und sicher bleiben, ohne ungeplante Ausfälle durch ausgenutzte Schwachstellen.

Warum alle drei Schutzziele gleichzeitig wichtig sind

Ein häufiger Fehler in der Praxis ist die einseitige Fokussierung auf ein einzelnes Schutzziel. Unternehmen, die nur an Vertraulichkeit denken, verschlüsseln alles und schränken Zugriffe so stark ein, dass die Mitarbeitenden ihre Arbeit nicht mehr effizient erledigen können. Organisationen, die nur auf Verfügbarkeit setzen, öffnen Systeme so weit, dass die Vertraulichkeit auf der Strecke bleibt. Und wer Integrität vernachlässigt, merkt möglicherweise erst Wochen später, dass Daten manipuliert wurden.

Die Schutzbedarfsfeststellung nach BSI IT-Grundschutz bewertet deshalb für jedes Asset den Schutzbedarf in allen drei Dimensionen separat. Ein Webshop hat typischerweise hohen Verfügbarkeitsbedarf, aber die Produktbeschreibungen haben keinen hohen Vertraulichkeitsbedarf. Die Kundendatenbank hingegen hat hohen Vertraulichkeitsbedarf und gleichzeitig hohen Integritätsbedarf, weil fehlerhafte Kundendaten zu Falschlieferungen und Vertrauensverlust führen.

Erst die Kombination aller drei Bewertungen ergibt ein vollständiges Bild des Schutzbedarfs und leitet die passenden Maßnahmen ab. Ein System mit hohem Vertraulichkeitsbedarf, aber niedrigem Verfügbarkeitsbedarf braucht andere Maßnahmen als ein System mit niedrigem Vertraulichkeitsbedarf, aber kritischer Verfügbarkeit.

Konflikte zwischen den Schutzzielen

In der Praxis stehen die drei Schutzziele nicht immer harmonisch nebeneinander. Es gibt reale Spannungsfelder, die du bei der Maßnahmenplanung berücksichtigen musst.

Vertraulichkeit vs. Verfügbarkeit

Das ist der klassische Konflikt. Je mehr Verschlüsselung, Authentifizierungsschritte und Zugriffskontrollen du implementierst, desto aufwändiger wird der Zugang zu Informationen. Ein Chirurg, der im Notfall drei Minuten für die Authentifizierung am Patientensystem braucht, hat ein Verfügbarkeitsproblem, das Menschenleben kosten kann. Ein Vertriebsmitarbeiter, der für jede Kundenanfrage erst einen Freigabeprozess durchlaufen muss, verliert wertvolle Reaktionszeit.

Die Lösung liegt nicht darin, eines der Ziele zu opfern, sondern in einer kontextbezogenen Abwägung. Break-Glass-Verfahren erlauben in Notfällen einen schnellen Zugang unter Protokollierung. Rollenbasierte Zugriffsmodelle gewähren den richtigen Personen automatisch die richtigen Rechte. Single-Sign-On reduziert die Authentifizierungslast, ohne die Sicherheit zu senken.

Integrität vs. Verfügbarkeit

Strenge Integritätsprüfungen können die Verfügbarkeit beeinträchtigen. Wenn ein System bei jeder Transaktion aufwändige Konsistenzprüfungen durchführt, kann das die Performance spürbar reduzieren. Wenn ein Backup-System bei der Wiederherstellung eine vollständige Integritätsprüfung aller Daten verlangt, verlängert sich die Recovery-Zeit. Und wenn ein System jede verdächtige Änderung automatisch blockiert, kann das zu False Positives führen, die den Betrieb stören.

Vertraulichkeit vs. Integrität

Dieser Konflikt ist seltener, aber er existiert. Verschlüsselte Daten lassen sich schwerer auf Integrität prüfen, weil du sie erst entschlüsseln musst, bevor du den Inhalt verifizieren kannst. Ende-zu-Ende-Verschlüsselung in Messaging-Systemen schützt die Vertraulichkeit, erschwert aber die Überprüfung auf Malware oder unerlaubte Inhalte.

Wie die CIA-Triade die Risikobewertung steuert

Die CIA-Triade ist nicht nur ein theoretisches Konzept, sondern ein praktisches Werkzeug für die Risikobewertung. Jedes identifizierte Risiko wird danach bewertet, welche Schutzziele es bedroht und wie schwerwiegend die Auswirkungen in jeder Dimension sind.

Ein Ransomware-Angriff zum Beispiel betrifft alle drei Schutzziele: Die Verfügbarkeit ist unmittelbar bedroht, weil verschlüsselte Systeme nicht mehr nutzbar sind. Die Vertraulichkeit ist gefährdet, weil moderne Ransomware-Gruppen Daten vor der Verschlüsselung exfiltrieren. Und die Integrität ist fraglich, weil du nach der Wiederherstellung nicht sicher sein kannst, ob die Angreifer Daten manipuliert haben.

Ein Phishing-Angriff auf Zugangsdaten bedroht primär die Vertraulichkeit (der Angreifer erhält unbefugten Zugang), kann aber über den kompromittierten Account auch die Integrität (Datenmanipulation) und Verfügbarkeit (Account-Sperrung, Sabotage) beeinträchtigen.

Diese differenzierte Betrachtung hilft dir, Risiken präziser zu bewerten und die passenden Gegenmaßnahmen zu wählen. Eine Maßnahme, die nur die Vertraulichkeit adressiert, reicht bei einem Risiko, das alle drei Dimensionen betrifft, nicht aus.

Erweiterungen der CIA-Triade

Im Laufe der Zeit hat sich gezeigt, dass die drei klassischen Schutzziele in manchen Kontexten nicht alle relevanten Aspekte abdecken. Deshalb wurden verschiedene Erweiterungen vorgeschlagen, die in bestimmten Szenarien wichtig werden.

Authentizität

Authentizität stellt sicher, dass eine Information tatsächlich von der angegebenen Quelle stammt und nicht gefälscht wurde. Das geht über Integrität hinaus: Integrität bestätigt, dass Daten nicht verändert wurden, Authentizität bestätigt zusätzlich, wer der Urheber ist. Digitale Signaturen und Zertifikate sind die technischen Werkzeuge für Authentizität. Im BSI IT-Grundschutz wird Authentizität als eigenständiges Schutzziel geführt.

Verbindlichkeit (Non-Repudiation)

Verbindlichkeit verhindert, dass ein Akteur eine durchgeführte Aktion nachträglich abstreiten kann. Ein typisches Beispiel ist die qualifizierte elektronische Signatur bei Verträgen: Der Unterzeichner kann nicht behaupten, er habe den Vertrag nie unterschrieben. Audit-Trails und Protokollierung dienen dem gleichen Zweck im Systemkontext. Für regulatorische Anforderungen, insbesondere im Finanzbereich und bei Vertragsabschlüssen, ist Verbindlichkeit oft unverzichtbar.

Zurechenbarkeit (Accountability)

Zurechenbarkeit stellt sicher, dass jede Aktion in einem System eindeutig einem Benutzer oder Prozess zugeordnet werden kann. Das setzt eine eindeutige Identifizierung und Authentifizierung voraus sowie lückenlose Protokollierung. Zurechenbarkeit ist die Voraussetzung dafür, dass Sicherheitsvorfälle aufgeklärt, Verantwortlichkeiten durchgesetzt und regulatorische Nachweispflichten erfüllt werden können.

Relevanz für ISO 27001 und NIS2

ISO 27001 baut strukturell auf den Schutzzielen der CIA-Triade auf, ohne sie immer explizit zu benennen. Die Definition von Informationssicherheit in der Norm lautet: "Erhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen." Die Risikobewertung nach ISO 27001 Abschnitt 6.1.2 verlangt die Bewertung der Auswirkungen auf diese drei Schutzziele. Und die 93 Controls im Annex A lassen sich alle einem oder mehreren Schutzzielen zuordnen.

NIS2 formuliert die Anforderungen weniger abstrakt, aber die Schutzziele sind implizit enthalten. Die geforderten Risikomanagementmaßnahmen in Artikel 21 umfassen unter anderem Zugriffskontrollen (Vertraulichkeit), Kryptografie (Vertraulichkeit und Integrität), Geschäftskontinuitätsmanagement (Verfügbarkeit) und Sicherheit der Lieferkette (alle drei Dimensionen). Wer die CIA-Triade verstanden hat, findet sich auch in den NIS2-Anforderungen schnell zurecht.

Die Schutzbedarfsfeststellung, wie sie der BSI IT-Grundschutz vorsieht, operationalisiert die CIA-Triade besonders konkret: Für jedes Asset wird der Schutzbedarf in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit einzeln bewertet (normal, hoch, sehr hoch). Das Ergebnis bestimmt, welche Maßnahmen aus den Grundschutz-Bausteinen umgesetzt werden müssen.

Von der Theorie in die Praxis

Die CIA-Triade ist kein akademisches Konstrukt, sondern ein Werkzeug, das du im Arbeitsalltag konkret einsetzen kannst. Wenn du eine neue Anwendung einführst, frage dich: Welche Auswirkungen hätte es, wenn die Daten in falsche Hände geraten (Vertraulichkeit)? Was passiert, wenn die Daten fehlerhaft oder manipuliert sind (Integrität)? Und was kostet es, wenn das System ausfällt (Verfügbarkeit)?

Diese drei Fragen geben dir eine schnelle Ersteinschätzung des Schutzbedarfs und helfen dir, die richtigen Prioritäten zu setzen. In ISMS Lite lässt sich der Schutzbedarf jedes Assets in allen drei Dimensionen dokumentieren und direkt mit der Risikobewertung verknüpfen, 500 Euro pro Jahr für alle Module ohne Benutzerlimits. Sie funktionieren im Gespräch mit der Geschäftsführung genauso wie in der technischen Risikobewertung, weil sie keine Fachsprache voraussetzen und trotzdem alle wesentlichen Aspekte abdecken.

Die Erfahrung zeigt, dass die meisten Sicherheitsvorfälle nicht an mangelndem Wissen über die Schutzziele scheitern, sondern an der konsequenten Umsetzung. Du weißt, dass Vertraulichkeit wichtig ist, aber hast du wirklich alle Zugriffsrechte nach dem Least-Privilege-Prinzip vergeben? Du weißt, dass Verfügbarkeit zählt, aber hast du den letzten Restore-Test tatsächlich durchgeführt? Die CIA-Triade hilft dir, systematisch zu prüfen, ob du in allen drei Dimensionen angemessen aufgestellt bist.

Weiterführende Artikel

• Schutzbedarfsfeststellung: Vertraulichkeit, Integrität und Verfügbarkeit bewerten
• Risikobewertung im ISMS: Methodik, Matrix und Praxisbeispiel
• ISMS aufbauen: Der komplette Leitfaden für Unternehmen
• Risikobehandlung: Mitigieren, Akzeptieren, Transferieren oder Vermeiden
• NIS2 vs. ISO 27001: Unterschiede, Gemeinsamkeiten und wie beides zusammenpasst