CIA-Triade erklärt: Warum ISO 27001 ohne sie scheitert
Eugen
CTO - CISSP
"Warum haben Sie dieses Control implementiert?" Der Auditor blickt von seinem Laptop auf. Stille. Die Compliance-Managerin eines Berliner FinTechs scrollt durch ihre Dokumentation. Access Control Policy – Check. Encryption Policy – Check. Aber die Frage nach dem "Warum" steht nirgendwo.
Drei Monate später: Breach. Die Angreifer nutzten genau die Schwachstelle, die sie mit minimaler Priorität behandelt hatte.
Das Problem war nicht mangelnde Compliance – sie hatte ihr ISO 27001-Zertifikat. Das Problem war, dass sie die 93 Controls als Liste behandelte, nicht als System. Ihr fehlte das Denkmodell dahinter: die CIA-Triade.
Das Paradox der zertifizierten Opfer
Die Zahlen sind unbequem: 82% aller kompromittierten Unternehmen hatten innerhalb von sechs Monaten ein Compliance-Audit bestanden. Okta – ISO 27001 zertifiziert durch Schellman – wurde gehackt. Fidelity Investments – zertifiziert durch NQA mit ISO 27001, ISO 20000-1 und ISO 27701 – verlor Daten von über 77.000 Kunden. Equifax war zertifiziert, als 147 Millionen Kundendatensätze gestohlen wurden.
Das Muster ist eindeutig: Ein Zertifikat an der Wand schützt nicht vor Angriffen.
Der Grund liegt nicht in mangelhaften Audits oder schlechten Standards. Er liegt in einem fundamentalen Missverständnis: Diese Unternehmen behandelten ISO 27001 als Checkliste. 93 Controls, einer nach dem anderen, von A.5.1 bis A.8.34. Sie implementierten, was gefordert war – ohne zu verstehen, warum es gefordert war.
Die CIA-Triade ist das fehlende Puzzlestück.
Was ist die CIA-Triade?
Confidentiality. Integrity. Availability. Vertraulichkeit, Integrität, Verfügbarkeit – die drei Schutzziele der Informationssicherheit.
Klingt nach Lehrbuch-Definition. Ist es auch – oberflächlich betrachtet. Aber hinter diesen drei Wörtern steckt ein Denkmodell, das jede Sicherheitsentscheidung strukturiert.
Vertraulichkeit beantwortet die Frage: Wer darf diese Information sehen? Es geht um Zugriffskontrolle, Verschlüsselung, Need-to-know-Prinzipien. Wenn ein Mitarbeiter Kundendaten einsehen kann, die er für seine Arbeit nicht braucht, ist die Vertraulichkeit verletzt – auch wenn kein externer Angreifer involviert ist.
Integrität beantwortet die Frage: Ist diese Information unverändert und korrekt? Es geht um Manipulationsschutz, Audit-Trails, Versionierung. Wenn jemand eine Überweisung von 100€ auf 100.000€ ändern kann, ohne dass es auffällt, ist die Integrität kompromittiert.
Verfügbarkeit beantwortet die Frage: Ist diese Information erreichbar, wenn ich sie brauche? Es geht um Uptime, Redundanz, Disaster Recovery. Wenn Ihr System ausfällt und Kunden nicht mehr bestellen können, ist die Verfügbarkeit weg – egal wie gut Ihre Verschlüsselung ist.
Das Entscheidende: Diese drei Dimensionen konkurrieren miteinander.
Warum Sie nicht alles gleichzeitig maximieren können
Mehr Verschlüsselung bedeutet mehr Rechenaufwand – also potenziell weniger Performance und Verfügbarkeit. Mehr Backups bedeuten mehr Kopien sensibler Daten an mehr Orten – also eine größere Angriffsfläche für Vertraulichkeitsverletzungen. Strengere Zugriffskontrollen bedeuten mehr Hürden für legitime Nutzer – also Reibung bei der Verfügbarkeit.
Jede Sicherheitsentscheidung ist ein Trade-off zwischen diesen drei Dimensionen.
Ein Beispiel: Sie betreiben einen E-Commerce-Shop. Black Friday steht bevor. Ihre Security-Abteilung schlägt vor, Zwei-Faktor-Authentifizierung für alle Kunden-Logins zu aktivieren. Aus Vertraulichkeitssicht eine gute Idee – weniger Account-Übernahmen. Aus Verfügbarkeitssicht ein Risiko – mehr Reibung im Checkout, potenziell weniger Conversions am wichtigsten Verkaufstag des Jahres.
Was ist die richtige Entscheidung? Das hängt davon ab, was für Ihr Geschäft kritischer ist.
Und genau hier wird die CIA-Triade zum Entscheidungswerkzeug.
Ihr Geschäftsmodell diktiert die Prioritäten
Die Bedrohungslandschaft 2024 zeigt ein klares Bild: 59% aller Security Incidents sind Verfügbarkeits-Angriffe – primär DDoS-Attacken. Sie dominieren die Statistik. Aber für manche Unternehmen ist ein anderer Angriffsvektor existenzbedrohend.
E-Commerce und SaaS mit Uptime-SLAs priorisieren Verfügbarkeit. Jede Stunde Downtime ist verlorener Umsatz. Amazon verliert geschätzt 13 Millionen Dollar pro Ausfallstunde. Für ein mittelständisches E-Commerce-Unternehmen sind es vielleicht "nur" 50.000 Euro – aber das reicht, um das Quartalsergebnis zu ruinieren.
FinTechs und Banken priorisieren Integrität. Der Unterschied zwischen 1€ und 1.000.000€ in einer Datenbank kann Existenzen zerstören. Wenn Transaktionsdaten manipuliert werden können, ist das Geschäftsmodell wertlos. Regulatoren wie die BaFin verstehen das – DORA fordert explizit Integritätskontrollen.
B2B-SaaS mit sensiblen Kundendaten priorisiert Vertraulichkeit. Wenn Sie Personaldaten, Gesundheitsdaten oder Geschäftsgeheimnisse Ihrer Kunden verarbeiten, ist ein Datenleck nicht nur teuer – es zerstört das Vertrauen, auf dem Ihr gesamtes Geschäft basiert. Breaches durch gestohlene Credentials bleiben im Durchschnitt 292 Tage unentdeckt. Fast ein Jahr, in dem Angreifer Zugriff auf alles haben.
Die Frage ist nicht: Welche Controls implementiere ich? Die Frage ist: Welche Dimension ist für mein Geschäft existenzkritisch – und welche Controls schützen genau diese Dimension?
Die CIA-Triade als Kompass durch Annex A
ISO 27001 listet 93 Controls in Annex A. Die meisten Unternehmen arbeiten sich alphabetisch durch – A.5.1 bis A.8.34. Das ist der falsche Ansatz.
Stattdessen: Ordnen Sie jeden Control einer CIA-Dimension zu.
Access Control (A.5.15-A.5.18)? Primär Vertraulichkeit. Cryptographic Controls (A.8.24)? Vertraulichkeit und Integrität. Backup (A.8.13)? Verfügbarkeit. Logging und Monitoring (A.8.15-A.8.16)? Integrität – Sie wollen wissen, wenn jemand Daten manipuliert.
Jetzt wird die Priorisierung trivial. Wenn Sie ein FinTech sind, investieren Sie überproportional in Integritäts-Controls. Logging, Audit-Trails, Veränderungsnachweise. Die Verfügbarkeits-Controls bekommen eine solide Basis, aber nicht das gleiche Detailniveau.
Wenn Sie ein E-Commerce-Unternehmen sind, drehen Sie die Prioritäten um. Disaster Recovery, Redundanz, DDoS-Schutz. Die Vertraulichkeits-Controls für Kundendaten sind wichtig – aber Ihre Existenz hängt davon ab, dass der Shop am Black Friday läuft.
In 30 Minuten können Sie mit dieser Brille alle 93 Controls durchgehen und markieren: Kritisch für unser Geschäft. Wichtig, aber nicht existenziell. Basis-Niveau ausreichend.
Das ist kein Compliance-Trick. Das ist risiko-basiertes Denken – genau das, was ISO 27001 eigentlich fordert.
Von Checkbox zu echtem Schutz
Unternehmen mit risiko-basiertem Ansatz erleben 54% weniger Breaches als solche mit reinem Checkbox-Denken. Der Unterschied: Sie verstehen das "Warum" hinter jedem Control.
Die Berliner Compliance-Managerin vom Anfang? Sie hatte alle Controls implementiert. Dokumentation war tadellos. Aber sie hatte nicht verstanden, dass für ein FinTech die Integritäts-Controls überlebenswichtig sind – während einige Verfügbarkeits-Controls mit minimalem Aufwand hätten umgesetzt werden können.
Der Breach blieb monatelang unentdeckt. Die Angreifer hatten nicht nur Transaktionsdaten manipuliert, sondern auch die Audit-Logs angepasst – möglich, weil beides auf demselben System lag. Auf den ersten Blick sah alles sauber aus. Ein klassisches Integritäts-Problem. Wenn sie die CIA-Brille aufgehabt hätte, wäre genau dieser Bereich ihr Fokus gewesen – inklusive der Frage: Ist unser Logging selbst manipulationssicher?
65% der deutschen Unternehmen fühlen sich heute durch Cyberattacken existenziell bedroht. 2021 waren es nur 9%. Die Bedrohung ist real angekommen. Aber Panik hilft nicht. Was hilft: Ein Denkmodell, das Prioritäten klärt.
Die CIA-Triade ist dieses Modell.
Nächster Schritt
Sie implementieren gerade ISO 27001 – oder fragen sich, ob Ihre bestehende Umsetzung wirklich schützt? Die CIA-Triade ist der Schlüssel, um von Checkbox-Compliance zu echter Sicherheit zu kommen.
In unserer kostenlosen Sprechstunde analysieren wir gemeinsam, welche CIA-Dimension für Ihr Geschäftsmodell kritisch ist – und wie Sie Ihre Controls entsprechend priorisieren.