Im Allgemeinen versteht man unter den Sicherheitszielen der Computersicherheit die drei Ziele der Vertraulichkeit, der Integrität und der Verfügbarkeit. Die Vertraulichkeit setzt dabei Authentizität voraus. Vor allem wenn man Kommunikationssicherheit hinzunimmt, sind weitere Sicherheitsziele definierbar, die sich dann durchaus widersprechen können. Mittels Kryptographie sind diese Ziele zumeist erreichbar.

=

Allgemeine Sicherheitsziele

Vertraulichkeit (Confidentiality):

Vertraulichkeit bedeutet den Schutz gegen die unberechtigte Kenntnisnahme von gespeicherten, verarbeiteten oder übertragenen Informationen. Dies schließt auch den Schutz von Informationen ein, die für sich gesehen als "harmlos" erscheinen, aber dazu benutzt werden können, um Zugriff auf vertrauliche Informationen zu erhalten (z. B. Systemkonfigurationsdaten).In Rahmen der Kommunikationssicherheit kann das sogar bedeuten, dass selbst Wissen über das Stattfinden einer Kommunikation vertraulich bleiben soll.

=

Integrität (Integrity):

Integrität bedeutet die Sicherstellung der Korrektheit (Unversehrtheit, Richtigkeit und Vollständigkeit) von Informationen (Datenintegrität) bzw. der korrekten Funktionsweise von Systemen (Systemintegrität). An verarbeiteten, übertragenen oder gespeicherten Daten dürfen Modifikationen nur mit entsprechender Berechtigung und in beabsichtigter Weise vorgenommen werden, und sie müssen in betriebswirtschaftlicher Hinsicht, mit Geschäftswerten und -erwartungen übereinstimmen. Diese Forderungen schließen auch Dateiattribute, Sicherungskopien (Backups) und Dokumentationen ein. Ein System muss sich zu jedem Zeitpunkt logisch korrekt verhalten, was die logische Vollständigkeit jeglicher Teile der Hardware und Software, die Sicherheitsfunktionen implementieren, voraussetzt.

=

Verfügbarkeit (Availability):

Alle verarbeiteten Daten sowie die zur Verarbeitung notwendigen Systeme und Betriebsmittel müssen jederzeit verfügbar, funktionsbereit bzw. in erwarteter oder geforderter Qualität bereit stehen, wenn ein autorisierter Benutzer darauf zugreifen will. Dies umfasst somit auch jegliche Hardware, Programme und Funktionen - und für Daten auch Archive und Sicherungskopien (Backups) mit ein.

=

weitere Sicherheitsziele

Im Bereich des E-Commerce und Kommunikationssicherheit findet man oft folgende Sicherheitsziele explizit genannt.

Authentizität (Authenticity):

Authentizität bedeutet die Sicherstellung der Echtheit von Informationen bzw. der Echtheit der behaupteten Identität. Es muss einerseits sichergestellt sein, dass Informationen wirklich aus der angegebenen Quelle stammen (Nachrichtenauthentizität) bzw. dass die vorgegebene Identität, etwa eines Benutzers oder eines an der Kommunikation beteiligten Systems (Teilnehmerauthentizität), korrekt ist. Dieser notwendige Beweis kann durch unterschiedliche Mittel erbracht werden.

=

andere Sachziele

Verlässlichkeit (Reliability):

Verlässlichkeit bedeutet den Schutz vor beabsichtigten oder unbeabsichtigten Störungen, beispielsweise durch Angriffe oder auch durch höhere Gewalt. Man kann auch von der Verletzbarkeit eines Systems sprechen und wäre dem Punkt Verfügbarkeit zuzuordnen.

=

Nicht-Vermehrbarkeit (Non-Propagation):

Hier dürfen Informationen von Unberechtigten nicht kopiert werden können, bzw. im Rahmen von "Replay-Angriffen" unerkannt wiederholt werden können. Dieses Ziel wäre am ehesten dem Punkt Integrität zuzuordnen.

=

Anonymität (Anonymity):

Eine sichergestellte Anonymität bedeutet den Schutz gegen Identifizierung. Dieses Ziel steht klar im Widerspruch zur Authentizität, kann aber durch bestimmte Verfahren (etwa blinde Signaturen) gelöst werden, wie sie z.B. bei elektronischen Wahlen oder digitalen Münzen eingesetzt werden.

=

Pseudonymität (Pseudonymity):

Pseudonymität hat den Schutz gegen namentliche Identifizierung zum Ziel.

=

Unbeobachtbarkeit (Non-Observability):

Die Unbeobachtbarkeit ist eigentlich ein Unterziel von Vertraulichkeit. Nicht nur der Inhalt ist Gegenstand sondern das Stattfinden überhaupt. So ist zum Beispiel vorstellbar, dass eine Kommunikation mit bestimmten Stellen (Notare, Anwälte, Behörden,...) überhaupt nicht bekannt werden soll.

=

Secrecy und Privacy

Vertraulichkeit - Privacy/Secrecy
Vertraulichkeit - Privacy/Secrecy
Authentizität
Authentizität

Die Vertraulichkeit, im Englischen Secrecy oder Privacy, wird gewahrt, wenn eine Information nicht durch unberechtigte Dritte kompromittiert wird. Das heißt, dass der Inhalt oder sogar die Existenz der Information nicht unberechtigten Dritten zur Kenntnis gelangt. Traditionelle Methoden dafür sind Briefkuverts, Safes, etc. - in der modernen Informationsverarbeitung ist wird dieser Schutzbedarf durch Verschlüsselung abgedeckt.

=

Authentizität

Vertraulichkeit alleine bringt noch nicht viel, wenn die Authentizität nicht sichergestellt ist. Für gewöhnlich prüft ein Mensch die Authentizitiät anderer Menschen und Nachrichten "per Augenschein", so geschah früher die Übermittlung von wichtigen Nachrichten mit einem Siegel. Vollkommen unbekannte Menschen werden anhand von Ausweisen (Reisepass, Führerschein,...) authentisiert - also mithilfe einer dritten Partei, dem Aussteller des Ausweises, der man vertraut, auch wenn man sich dieses Umstands kaum mehr bewusst ist.Das elektronische Äquivalent sind digitale Zertifikate, die ebenfalls von vertrauenswürdigen Dritten ausgestellt werden. Mit diesen Zertifikaten kann eine digitale Signatur erstellt werden, die dann auch die Integrität von elektronischen Nachrichten, Formularen und Dokumenten sicherstellen kann.

=

Identität vs. Authentizität

Von der Identität einer Person zu sprechen ist eigentlich erst nach einer Authentifizierung möglich. Ohne diese Maßnahme ist die Identität primär eine Behauptung über die Identität. Die Nennung eines Namens oder die Angabe eines Benutzernamens ist selbst noch nichts, erst ein Beweis über die Behauptung (Ausweis, Passwort, Signatur,...) und dessen erfolgreiche Prüfung stellt die Identität fest - man kann nun auch von Authentizität sprechen.

=

authentisieren und authentifizieren

Das griechische Wort "authentikos" bedeutet so viel wie Urheber oder Anführer. Während im Englischen nur ein Begriff "Authentication" verwendet wird, existieren im Deutschen zwei Worte: Authentisierung und Authentifizierung; mit jeweils abgeleitetem Zeitwort und gleicher Bedeutung.

authentisieren: rechtgültig machen, glaubwürdig machen 
authentifizieren: Echtheit bezeugen, beglaubigen 

Bei Authentifizierung wurde noch das lateinische "facere" (machen) an den griechischen Wortstamm angefügt, abgesehen davon, dass man authentisieren als richtiger empfinden kann, sind also beide Wörter im Grunde gleichbedeutend.

=