Glossar
Informationssicherheit

Integrität und warum Sie Chefsache ist.

Was ist Integrität und wieso ist sie Chefsache? warum korrekte und vollständige Daten der Schlüssel zu Vertrauen, Compliance und erfolgreichen Geschäftsprozessen sind.

Dennis Becker
April 25, 2025
8
Min. Lesedauer
Inhaltsverzeichnis

Der Begriff: Integrität

Definition:

In der Informationssicherheit versteht man unter Integrität das Sicherstellen von Richtigkeit und Vollständigkeit von Informationen. Genauso handelt es sich um die Eigenschaft von Systemen, Informationen korrekt zu verarbeiten. Die ISO 27000, das Monument an das Vokabular der meisten Informationssicherheits-Managementsysteme (ISMS. Klingt cooler), definiert die Integrität als die Eigenschaft von Richtigkeit und Vollständigkeit.

Exkurs: Die ISO 27000 bildet die Grundlage für numerisch folgende Standards wie die ISO 27001.

In der Praxis, zumindest der deutschsprachigen, wird meist die Erweiterung der Definition des BSI (Bundesamt für Sicherheit in der Informationstechnik) dazugegeben. Das BSI sieht auch die “korrekte Funktionsweise von Systemen” als ein ausschlaggebendes Merkmal von Integrität. Die Kolleg*innen des Bundesamtes haben Recht, wenn sie sagen, dass die Zuverlässigkeit der Hard- und Software unerlässlich für das kontinuierliche Aufrechterhalten von Datenintegrität ist.

Zusammenfassung

Integrität sicherzustellen heißt, dass sowohl die Informationen sowie die damit einhergehenden Systeme unverändert, korrekt und vollständig sind. Die einzige Art, wie diese Daten angepasst werden dürfen, ist wenn die Änderung beabsichtigt und autorisiert passiert. Unbeabsichtigte oder unautorisierte Veränderungen müssen entweder vollkommen verhindert oder zumindest früh erkannt werden.

Wenn du mehr als nur einen kurzen Überblick brauchst:

Die Zwei Facetten von Integrität:

  • Datenintegrität: Fokussiert auf die Daten selbst. Es muss sichergestellt sein, dass Daten korrekt, vollständig und frei von unbefugten Änderungen sind. Beispiel: Deine Banking App zeigt deinen tatsächlichen Kontostand.
  • Systemintegrität: Bezieht sich auf die korrekte und zuverlässige Funktion der IT-Systeme (Hardware, Software, Netzwerke), die Daten verarbeiten. Beispiel: Bei Überweisungen innerhalb deiner Banking App, wird die Berechnung deines neuen Kontostandes richtig durchgeführt. Dabei findet kein Datenverlust oder -verfälschung statt.

Falls du beim nächsten Meeting glänzen willst, kannst du noch zwischen starker und schwacher Integrität unterscheiden.

  • Starke Integrität: Das Idealziel, bei dem unberechtigte Änderungen an Daten oder Systemen vollständig verhindert werden. Dies ist in der Praxis oft schwer oder nur mit sehr hohem Aufwand realisierbar.
  • Schwache Integrität: Hier liegt der Fokus auf der zuverlässigen Erkennung unberechtigter oder unbeabsichtigter Änderungen, auch wenn wir sie nicht verhindern können. So ermöglichen wir Reaktionen, Schadensbewertung und Korrekturmaßnahmen. Technische Hilfsmittel wie Hashwerte (digitale Fingerabdrücke von Daten) oder Audit-Logs (Protokolldateien über Änderungen) sind typisch zur Gewährleistung schwacher Integrität.

Darüber hinaus ist Integrität keine Momentaufnahme eines Zustands. Vielmehr muss sie über den gesamten Verlauf von Erstellung, Speicherung, Ver- und Bearbeitung bis zur endgültigen Löschung erzeugt und gewährleistet werden.

Okay, Butter bei die Fische. Warum soll dich das interessieren?

Wieso integre Daten und Systeme Chefsache sind und wieso die ISO 27001 Zertifizierung so darauf rumreitet:

  • Grundlage für verlässliche Entscheidungen: Geschäftliche Entscheidungen basieren auf Informationen (Finanzdaten, Produktionszahlen etc.). Nur korrekte und vollständige Daten (gewahrte Integrität) ermöglichen fundierte Entscheidungen. Manipulierte Daten können zu Fehlentscheidungen führen.
  • Funktionierende Geschäftsprozesse: Kernprozesse wie Rechnungsstellung, Lagerverwaltung oder Produktion hängen von korrekten Daten ab. Defizite der Integrität werden Prozesse stören oder zum Erliegen bringen und finanzielle Verluste verursachen. 
  • Einhaltung von Gesetzen und Standards (Compliance): Die Gewährleistung der Integrität ist für die meisten Betriebe eine rechtliche oder vertragliche Pflicht. Internationale Standards wie ISO/IEC 27001 fordern explizit den Schutz der Integrität als zentrales Schutzziel (Stichwort CIA-Triade). Die Norm verlangt Risikobewertungen bezüglich der Integrität und die Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOMs). Auch Datenschutzgesetze wie die DSGVO fordern in Artikel 5 Abs. 1f die Integrität personenbezogener Daten. Verstöße werden früher oder später zu Bußgeldern führen.
  • Vertrauen und Reputation: Kunden und Partner vertrauen darauf, dass ihre Daten korrekt behandelt werden. Eine nachgewiesene Verpflichtung zur Informationssicherheit (oft durch ISO 27001-Zertifizierung) stärkt das Vertrauen und den typischen Order-Qualifier. Bekannt gewordene Integritätsverletzungen schädigen den Ruf nachhaltig. Besonders peinlich werden fehlerhafte Rechnungs- und Angebotserstellung.
  • Risikomanagement: ISO 27001 steht voll auf systematisches Risikomanagement. Dazu gehören die Identifikation von Bedrohungen für die Integrität (z.B. Malware, Fehler, Ausfälle), die Bewertung der Auswirkungen und die Implementierung von Kontrollen (siehe ISO 27002). 
  • Wettbewerbsvorteil: Ein hohes, nachweisbares Sicherheitsniveau, einschließlich Integritätsschutz, ist wichtiger Bestandteil einer modernen USP. Das zertifizierte (oder zumindest nachweisbare) Schutzniveau qualifiziert dich und dein Angebot für größere Unternehmen, deren ISMS bereits Hand und Fuß hat. Kleinere oder unsichere Konkurrenten werden einfach zurückgelassen.

Gott Strafe, Geschäftsführer die Integrität und Informationssicherheit als reines IT-Thema betrachten. Das erzeugt eine Informationsgrundlage, die sich mit Integrität brüsten kann, aller Mitarbeiter, Abteilungen und Geschäftsführenden. Ganzheitliches Management etc. pp.

Integrität und seine zwei Kumpanen: Vertraulichkeit und Verfügbarkeit (CIA-Triade):

Integrität ist Teil der klassischen CIA-Triade, der drei grundlegenden Schutzziele der Informationssicherheit.

  1. Vertraulichkeit (Confidentiality): Sicherstellen, dass Informationen nur von Befugten eingesehen werden können (Schutz vor unbefugter Preisgabe).
  2. Integrität (Integrity): Sicherstellen der Richtigkeit und Vollständigkeit von Informationen und der korrekten Funktionsweise von Systemen.
  3. Verfügbarkeit (Availability): Sicherstellen, dass Informationen und Systeme für Berechtigte zugänglich und nutzbar sind, wenn sie benötigt werden.

Ein vernünftiges Konzept für Sicherheit (meist nach ISO 27001) muss zwingend alle drei Schutzziele des CIA-Triade berücksichtigen. Die drei Aspekte der Sicherheit beeinflussen sich dabei gegenseitig. Kompromisse und blanke Nerven bei Führungskräften inklusive. Daten, die sehr starke Vertraulichkeit/Integrität aufweisen, leiden meist in Belangen der Verfügbarkeit. Daten, die sehr gut verfügbar sind, sind anfällig für Vertraulichkeitsverletzungen etc.

Gleiches gilt (wie wir oben bereits gelernt haben) auch für die Systeme, welche mit diesen Daten arbeiten.

Kurz: Angemessenes Schutzniveau ist ein kontextgebundener Kompromiss der drei Schutzziele.

Schutzziele sind aber gott-sei-dank nicht immer gegenläufig:

  • Integrität und Vertraulichkeit: Werden oft durch ähnliche Maßnahmen unterstützt, z.B. strenge Zugriffskontrollen, die unbefugtes Lesen (Vertraulichkeit) und Ändern (Integrität) verhindern. Verschlüsselung dient primär der Vertraulichkeit, erschwert aber auch unbemerkte Manipulation (Integrität).
  • Integrität & Verfügbarkeit: Ein Systemausfall (Verletzung der Verfügbarkeit) kann zu inkonsistenten Daten führen (Verletzung der Integrität). Maßnahmen wie Redundanz und Backups dienen daher beiden Zielen (Aufrechterhaltung der Verfügbarkeit und Wiederherstellung eines integren Zustands).

Das Wichtige: Die CIA-Triade muss nicht 100% deiner Ziele darstellen. Sie können nach Belieben erweitert werden. z.B.:

  • Authentizität: Die Eigenschaft, dass die Echtheit einer Information, eines Nutzers oder Systems überprüfbar ist (Ist der Absender echt?).
  • Zurechenbarkeit / Nichtabstreitbarkeit: Die Eigenschaft, dass eine Handlung eindeutig einem Verursacher zugeordnet werden kann, der dies nicht leugnen kann.

Fairerweise sind diese beiden so gängig, dass sie immer anfallen.

Das Erweitern der Ziele trägt praktisch zur besseren Zielerreichung bei. Im Bezug auf Integrität ist es unerlässlich, dass die Informationen richtig sind (Ziel: Korrektheit), diese aus verlässlichen Quellen stammen (Ziel: Authentisch) und im fall von Integritätsverletzungen ist die Ursache oder der Verursacher nachvollziehbar (Ziel: Zurechenbarkeit).

Weil ich (Dennis Becker) bedeutend besser lerne, wenn mir Beispiele zugeschmissen werden - Integrität und Verletzungen:

Beispiele für gewahrte Integrität:

  • Korrekte Finanzdaten, die mit Kontoauszügen übereinstimmen.
  • Unveränderte, digital signierte Verträge.
  • Vollständige, korrekte Patientendaten.
  • Konsistente Lagerbestände, bestätigt durch Inventur.
  • Originale Software, verifiziert durch korrekten Hashwert.

Beispiele für Integritätsverletzungen:

  • Manipulation von Finanzdaten (z.B. geänderte Kontonummern auf Rechnungen).
  • Gefälschte Berichte oder Messwerte.
  • Datenbeschädigung durch Malware (z.B. Ransomware-Verschlüsselung).
  • Versehentliche Datenänderung oder -löschung durch Mitarbeiter.
  • Datenkorruption bei Übertragung oder durch defekte Speichermedien.
  • Manipulation von Protokolldateien (Logs) zur Spurenverwischung.

Wie Schützen wir nu’ die Integrität?

Mit TOMs!

Winziger Exkurs zu TOMs:

TOMs sind Kurz für technische und organisatorische Maßnahmen. Quasi ein Sack voller Sicherheitsmaßnahmen. TOMs sind im Datenschutz (Art. 32 DSGVO) sowie in der Informationssicherheit (meist ISO 27001) eine der gängigsten Abkürzungen. Sie werden eingesetzt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten/Systemen zu schützen.

  • Technische Maßnahmen sind echte eingesetzte Technologien und Systeme. Z.B. Zugriffskontrollen, Verschlüsselung, Firewalls und Backups.
  • Organisatorische Maßnahmen sind Prozesse, Regeln und das Verhalten aller Mitarbeiter*innen. Z.B. Sicherheitsrichtlinien, Schulungen, Funktionstrennung und Audits.

Exkurs Ende.

Schutz von Integrität in Form von TOMs:

Technische Maßnahmen:

  • Zugriffskontrollen: Strikte Steuerung, wer Daten ändern darf (Benutzerkonten, Passwörter, Berechtigungen nach Rollen (RBAC) und geringsten Rechten).
  • Hashing / Prüfsummen: Erzeugung von "Fingerabdrücken" zur Erkennung von Datenänderungen.
  • Digitale Signaturen / Zertifikate: Kryptografische Bestätigung von Unverändertheit (Integrität) und Herkunft (Authentizität).
  • Verschlüsselung: Erschwert unbemerkte Manipulation (indirekte Integritätssicherung) und schützt Vertraulichkeit (bei Übertragung und Speicherung).
  • Datensicherungen (Backups): Ermöglichen Wiederherstellung eines früheren, integren Zustands. Müssen regelmäßig erstellt, sicher verwahrt und getestet werden.
  • Audit Logs / Protokollierung: Nachvollziehbare Aufzeichnung von Änderungen (wer? wann? was?). Müssen selbst vor Manipulation geschützt werden.
  • Eingabevalidierung: Softwareseitige Prüfung von Eingaben auf Plausibilität zur Vermeidung fehlerhafter Daten.
  • Sicherheitssoftware: Firewalls, Antivirus, Intrusion Detection/Prevention Systems (IDS/IPS) als Basisverteidigung gegen externe Angriffe und Malware.
  • Änderungsmanagement (Change Management): Formalisierter Prozess für kontrollierte Änderungen an Systemen, um unbeabsichtigte negative Auswirkungen zu vermeiden.

Organisatorische Maßnahmen:

  • Richtlinien und Verfahren: Schriftliche Vorgaben zum sicheren Umgang mit Informationen (z.B. Passwortrichtlinien).
  • Schulung und Sensibilisierung (Awareness): Mitarbeiter*innen über Risiken aufklären und sicherheitsbewusstes Verhalten fördern, um menschliche Fehler zu reduzieren.
  • Funktionstrennung (Separation of Duties): Verteilung kritischer Aufgaben auf mehrere Personen zur Erschwerung von Betrug und Fehlern.
  • Regelmäßige Überprüfungen und Audits: Kontrolle der Einhaltung von Vorgaben und der Wirksamkeit von Maßnahmen.
  • Datenklassifizierung: Einteilung von Daten nach Schutzbedarf zur gezielten Anwendung von Maßnahmen.
  • Sichere Entwicklung und Wartung: Berücksichtigung von Sicherheitsaspekten ("Security by Design") bei Softwareentwicklung und Wartung.
  • Physische Sicherheit: Schutz von Serverräumen, Büros und Datenträgern vor unbefugtem Zugriff und Umweltschäden.

Sicherheit ist ein kontinuierlicher Prozess:

Implementierung dieser und ähnlicher Maßnahmen sind nur ein Anfang. Informationssicherheit und spezifisch der Schutz von Integrität sind kein zu erreichendes Ziel. Jedes Mal, wenn wir die Ziellinie erreichen, bewegt sie sich ein Stück weiter. Der Prozess, um Sicherheit zu erzeugen, ist kontinuierlich.

Bedrohungen und Technologien bleiben nicht stehen. Du wirst mit ihnen wachsen müssen. Deswegen muss Schutz regelmäßig neu evaluiert werden. Nach einer neuen Analyse sollten wir die Maßnahmen erneut anpassen.

PDCA lässt grüßen. Diese kontinuierliche Herangehensweise entspricht dem klassischen PDCA (Plan, Do, Check, Act) Zyklus. Dieser ist in eigentlich allen Managementsystemen sehr beliebt. 

  • Plan (Planen): Ziele setzen und Maßnahmen zur Erreichung dieser Ziele planen.
  • Do (Umsetzen): Die geplanten Maßnahmen durchführen.
  • Check (Überprüfen): Die Ergebnisse messen, mit den Zielen vergleichen und die Wirksamkeit der Maßnahmen bewerten.
  • Act (Handeln): Basierend auf den Ergebnissen der Überprüfung notwendige Anpassungen und Verbesserungen vornehmen, um den Prozess zu optimieren, bevor der Zyklus erneut beginnt.

Sicherheit ist eine kontinuierliche Aufgabe, die Top-Level, Aufmerksamkeit und Ressourcen erfordert.

Fazit

Integrität ist nicht nur ein technisches Detail aus halb-langweiligen Normen und Standards. Sie ist fundamental wichtig für verlässliche Daten, funktionierende Systeme und gute Managemententscheidungen. In der Informationssicherheit bedeutet Integrität, dass Informationen und System korrekt, vollständig und zuverlässig arbeiten/funktionieren. Vor allem sollten die Daten und Systeme auch so bleiben!

Jede Ebene einer Organisation ist betroffen und sie ist unerlässlich für Vertrauen, Compliance und das Bestehen im Wettbewerb.

Riskieren von Integrität riskiert primär Entscheidungsfähigkeit und deinen Ruf.

Dennis Becker
ArtikelGlossarÜber mich
© 2025 Dennis Becker
DatenschutzImpressum