G 5.71 Vertraulichkeitsverlust schützenswerter Informationen
Vertraulichkeit ist die Anforderung, dass eine Information nur den zur Kenntnisnahme berechtigten Personen zugänglich gemacht werden darf. Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwerten der Informationssicherheit.
Für Informationen, die einen Schutzbedarf bezüglich ihrer Vertraulichkeit besitzen (wie Passwörter, personenbezogene Daten, firmen- oder amtsvertrauliche Informationen, Entwicklungsdaten), besteht die inhärente Gefahr, dass die Vertraulichkeit durch technisches Versagen, Unachtsamkeit oder auch durch vorsätzliche Handlungen beeinträchtigt wird.
Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise
- auf Speichermedien innerhalb von Rechnern (Festplatten),
- auf austauschbaren Speichermedien ( USB -Sticks, CD s oder DVD s),
- in gedruckter Form auf Papier (Ausdrucke, Akten) und
- auf Übertragungswegen während der Datenübertragung.
Auch die Art und Weise, wie die vertraulichen Informationen gewonnen werden, kann sehr unterschiedlich sein, zum Beispiel:
- Auslesen von Dateien,
- Kopieren von Dateien,
- Wiedereinspielen von Datensicherungsbeständen,
- Diebstahl des Datenträgers und anschließendes Auswerten,
- Abhören von Übertragungsleitungen,
- Infektion mit Schadprogrammen,
- Mitlesen am Bildschirm.
Werden Informationen unberechtigt gelesen oder preisgegeben, kann dies schwerwiegende Folgen für eine Institution haben. Unter anderem kann der Verlust der Vertraulichkeit zu folgenden negativen Auswirkungen für eine Institution führen:
- Verstoß gegen Gesetze, zum Beispiel Datenschutz, Bankgeheimnis
- Negative Innenwirkung, zum Beispiel Demoralisierung der Mitarbeiter
- Negative Außenwirkung, zum Beispiel Beeinträchtigung der Beziehungen zu Geschäftspartnern, verlorenes Vertrauen von Kunden
- Finanzielle Auswirkungen, zum Beispiel Schadensersatzansprüche, Bußgelder, Prozesskosten
- Beeinträchtigung des informationellen Selbstbestimmungsrechtes
Zu beachten ist außerdem, dass ein Verlust der Vertraulichkeit nicht immer sofort bemerkt wird. Oft stellt sich erst später heraus, dass Unbefugte sich Zugang zu vertraulichen Informationen verschafft haben und dadurch Schäden entstanden sind.