Compliance-Lexikon · Grundbegriff
CIA-Triad
[siː aɪ eɪ ˈtraɪæd] · Confidentiality, Integrity, Availability
Die CIA-Triad ist das zentrale Schutzzielemodell der Informationssicherheit: Confidentiality (Vertraulichkeit), Integrity (Integritaet) und Availability (Verfuegbarkeit) – drei unabhaengige, gleichrangige Schutzziele, die zusammen die Sicherheit von Informationen und Systemen definieren.
Warum die CIA-Triad der Ausgangspunkt jeder Sicherheitsstrategie ist
Die CIA-Triad ist kein abstraktes Modell – sie ist das operative Werkzeug, mit dem Schutzbedarf gemessen und Massnahmen priorisiert werden. Wer fuer ein System die CIA-Einstufung kennt (z.B. hohe Vertraulichkeit, mittlere Integritaet, hohe Verfuegbarkeit), weiss welche Massnahmen unverzichtbar sind und welche ueberdimensioniert waeren. Alle massgeblichen Frameworks – ISO 27001, BSI IT-Grundschutz, NIS-2, DORA – setzen das CIA-Modell implizit oder explizit voraus.
Wo die CIA-Triad gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | Kap. 3.28 | Informationssicherheit wird als Erhalt von Vertraulichkeit, Integritaet und Verfuegbarkeit definiert – CIA-Triad als Normdefinition. |
| BSI IT-Grundschutz | ORP.4 / BSI 200-2 | Schutzbedarfsfeststellung nach CIA: Alle Assets werden nach Vertraulichkeit, Integritaet und Verfuegbarkeit eingestuft. |
| NIS-2 / BSIG | § 30 Abs. 2 | Technische Massnahmen muessen alle drei Schutzziele adressieren – CIA-Triad als impliziter Rahmen der NIS-2-Anforderungen. |
| DSGVO | Art. 5 Abs. 1f | Integritaet und Vertraulichkeit als explizite Datenschutzgrundsaetze – Availability implizit durch Art. 32. |
| NIST SP 800-53 | SI / AC / CP | NIST-Kontrollkatalog strukturiert Kontrollen entlang der drei CIA-Dimensionen. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- CIA-Einstufung fehlt oder ist fuer alle Systeme identisch (kein Differenzierungswert)
- Nur Vertraulichkeit betrachtet – Integritaet und Verfuegbarkeit vernachlaessigt
- CIA-Einstufung nicht mit Schutzmßnahmen verknuepft
- Keine Aktualisierung bei neuen Systemen oder Aenderungen
Die drei Schutzziele im Detail
Confidentiality (Vertraulichkeit) stellt sicher, dass Informationen nur von autorisierten Personen eingesehen werden koennen. Integrity (Integritaet) stellt sicher, dass Informationen korrekt und unveraendert sind – unbefugte oder unbeabsichtigte Aenderungen werden erkannt. Availability (Verfuegbarkeit) stellt sicher, dass Systeme und Informationen fuer autorisierte Nutzer zugaenglich sind, wenn sie benoetigt werden. Die drei Ziele koennen in Spannung zueinander stehen: Maximale Vertraulichkeit (starke Verschluesselung, enge Zugriffskontrolle) kann Verfuegbarkeit reduzieren. Ein risikobasierter Ansatz priorisiert das fuer ein spezifisches System wichtigste Schutzziel.
CIA-Erweiterungen: Authenticity und Non-Repudiation
Manche Rahmenwerke erweitern die CIA-Triad um weitere Schutzziele: Authenticity (Echtheit) stellt sicher, dass Identitaeten verifiziert sind – Grundlage fuer starke Authentifizierung. Non-Repudiation (Nichtabstreitbarkeit) stellt sicher, dass Aktionen nicht abgestritten werden koennen – Grundlage fuer rechtssichere Protokollierung. ISO 27000 nennt diese als ergaenzende Schutzziele. Das BSI IT-Grundschutz-Kompendium kennt zusaetzlich Verbindlichkeit als fuenftes Schutzziel.
Naechste Ebene
CIA-Triad in der Praxis: Schutzbedarfsfeststellung und Evidence
Wie CIA-Einstufungen durchgefuehrt werden und was Auditoren konkret pruefen.