Die CIA-Triade beschreibt die drei klassischen Schutzziele der Informationssicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Sie ist Grundlage von ISO 27001, NIST und allen modernen Sicherheits-Frameworks.
Die CIA-Triade ist die international etablierte Kurzformel für die drei Kern-Schutzziele jeder Informationssicherheits-Strategie. Das Akronym steht NICHT für die US-Geheimdienstbehörde, sondern für die englischen Begriffe Confidentiality, Integrity und Availability. Im deutschen Sprachraum auch als "[Schutzziele der Informationssicherheit]" bezeichnet.
Confidentiality (Vertraulichkeit). Information darf nur berechtigten Personen, Systemen oder Prozessen zugänglich sein. Klassische Maßnahmen: Zugriffskontrolle (RBAC, ABAC), Verschlüsselung at rest und in transit, Berechtigungs-Management. Verletzungs-Beispiel: Ein Mitarbeiter sieht Gehaltsdaten, die er nicht sehen sollte.
Integrity (Integrität). Information bleibt unverändert und vollständig, oder Veränderungen sind nachvollziehbar dokumentiert. Klassische Maßnahmen: Hash-Werte, digitale Signaturen, [Audit-Trails], Versionierung, Vier-Augen-Prinzip. Verletzungs-Beispiel: Eine manipulierte Datenbank-Zeile, ohne dass jemand es bemerkt.
Availability (Verfügbarkeit). Information und Systeme sind dann verfügbar, wenn sie gebraucht werden. Klassische Maßnahmen: Redundanz, Backups, [Business Continuity Management], Notfall-Pläne, DDoS-Schutz. Verletzungs-Beispiel: Ransomware verschlüsselt Produktionsdaten, der Shop ist 48 Stunden offline.
| Standard / Norm | Bezug zur CIA-Triade |
|---|---|
| ISO/IEC 27001:2022 | Annex A organisiert die 93 Controls implizit nach CIA |
| NIST Cybersecurity Framework | "Protect" und "Detect" Functions adressieren CIA direkt |
| BSI IT-Grundschutz | Erweitert CIA um Authentizität, Verbindlichkeit, Belastbarkeit |
| DSGVO Art. 32 | Verlangt Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit |
| NIS2 Art. 21 | Risikomanagement-Maßnahmen müssen alle drei Schutzziele adressieren |
In der Praxis wird pro Asset oder Geschäftsprozess der Schutzbedarf für jedes der drei Ziele einzeln bewertet (typisch dreistufig: normal, hoch, sehr hoch). Daraus entsteht eine Matrix, die zeigt: Welche Maßnahmen brauchen wir wirklich, und wo überinvestieren wir? Eine kundenseitig ausgerichtete Webseite hat hohe Verfügbarkeit (Availability) als Top-Priorität, während interne HR-Daten in der Regel hohe Vertraulichkeit (Confidentiality) brauchen.
In Kopexa hinterlegst du diese Schutzbedarfs-Bewertung pro Asset und das System schlägt automatisch passende Controls aus den aktiven Frameworks vor.