CIA-Triade
Was ist CIA-Triade?
CIA-TriadeGrundlegendes Modell der Informationssicherheit, das Ziele in Vertraulichkeit, Integritat und Verfugbarkeit gliedert.
Die CIA-Triade benennt die drei Kernziele, die jedes Sicherheitsprogramm ausbalancieren muss. Vertraulichkeit beschrankt den Zugriff auf autorisierte Parteien per Verschlusselung, Zugriffskontrolle und Datenklassifizierung. Integritat sichert Daten und Systeme gegen unautorisierte Anderungen durch Hashing, digitale Signaturen, Versionierung und schreibgeschutzte Speicher. Verfugbarkeit garantiert, dass berechtigte Nutzer Dienste und Daten bei Bedarf nutzen konnen - via Redundanz, Kapazitatsplanung, DDoS-Schutz und Disaster Recovery.
Die Eigenschaften ziehen gegeneinander
Der Wert der Triade liegt darin, Zielkonflikte explizit zu machen. Eine Datenbank zu verschlusseln und zu isolieren maximiert die Vertraulichkeit, kann aber die Verfugbarkeit beeintrachtigen; eine aggressive Multi-Region-Replikation steigert die Verfugbarkeit, vergrossert aber die Flache, uber die Vertraulichkeit abfliessen konnte. Fast jede Sicherheitsentscheidung ist in Wahrheit eine Aushandlung zwischen den dreien, gewichtet nach dem Risiko des Assets.
Durch reale Vorfalle betrachtet
- Ransomware ist primar ein Angriff auf Verfugbarkeit und Integritat - sie verschlusselt Dateien an Ort und Stelle -, weshalb offline gehaltene, unveranderliche Backups die kanonische Massnahme sind.
- Ein Datenleck (z. B. die Equifax-Offenlegung 2017 von ~147 Millionen Datensatzen) ist ein reines Vertraulichkeits-Versagen.
- Eine Supply-Chain-Manipulation wie SolarWinds SUNBURST (2020) ist ein Integritats-Versagen: signierte, vertrauenswurdige Software trug Schadcode, weshalb Provenance-Attestation und reproduzierbare Builds heute die Integritat starken.
Erweiterungen
Das Modell ist bewusst unvollstandig. Donn Parkers Parkerian Hexad (1998) erganzt Besitz/Kontrolle, Authentizitat und Nutzbarkeit; Frameworks wie ISO/IEC 27001 und das NIST CSF legen Authentifizierung, Autorisierung, Nichtabstreitbarkeit und Privatsphare obendrauf.
flowchart TD A[Informations-Asset] --> C[Vertraulichkeit<br/>Verschlusselung, Zugriffskontrolle] A --> I[Integritat<br/>Hashing, Signaturen] A --> V[Verfugbarkeit<br/>Redundanz, Backups, Anti-DDoS] C --- I I --- V V --- C C -.->|Zielkonflikt| V
● Beispiele
- 01
PII-Verschlusselung (Vertraulichkeit), signierte Releases (Integritat) und Multi-Region-Failover (Verfugbarkeit).
- 02
CIS Controls in einer Gap-Analyse auf CIA-Kategorien abbilden.
● Häufige Fragen
Was ist CIA-Triade?
Grundlegendes Modell der Informationssicherheit, das Ziele in Vertraulichkeit, Integritat und Verfugbarkeit gliedert. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet CIA-Triade?
Grundlegendes Modell der Informationssicherheit, das Ziele in Vertraulichkeit, Integritat und Verfugbarkeit gliedert.
Wie schützt man sich gegen CIA-Triade?
Schutzmaßnahmen gegen CIA-Triade kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für CIA-Triade?
Übliche alternative Bezeichnungen: Vertraulichkeit, Integritat, Verfugbarkeit.