Skip to content

Können Sie die CIA-Triade erklären und warum sie wichtig ist?

Kurzantwort

Die CIA-Triade umfasst die drei Kernziele der Informationssicherheit: Vertraulichkeit (nur autorisierte Parteien können Daten lesen), Integrität (Daten werden nicht unbefugt verändert) und Verfügbarkeit (autorisierte Nutzer können bei Bedarf auf Systeme zugreifen). Nahezu jede Maßnahme lässt sich einem oder mehreren dieser Ziele zuordnen.

Die CIA-Triade ist das gedankliche Modell, das Interviewer von jedem Kandidaten erwarten, wenn er beschreibt, warum eine Maßnahme existiert. Sie benennt drei Ziele, die zusammen definieren, was „sicher" für Daten und Systeme bedeutet.

Die drei Ziele

  • Vertraulichkeit — nur autorisierte Parteien können die Information lesen. Verschlüsselung, Zugriffskontrollen und das Least-Privilege-Prinzip dienen alle diesem Ziel.
  • Integrität — die Information ist korrekt und wurde nicht unbefugt verändert. Hashing, digitale Signaturen, Prüfsummen und Änderungsprotokolle dienen der Integrität.
  • Verfügbarkeit — das System und die Daten sind für autorisierte Nutzer zugänglich, wenn sie sie benötigen. Redundanz, Backups, DDoS-Schutz und Kapazitätsplanung dienen der Verfügbarkeit.

Warum sie nützlich ist

Die Triade verwandelt vage Sorgen in konkrete Fragen. Wenn Sie eine Maßnahme oder einen Vorfall bewerten, können Sie fragen: welchen Pfeiler betrifft das? Ein Ransomware-Angriff trifft die Verfügbarkeit (gesperrte Dateien) und oft die Vertraulichkeit (gestohlene Daten). Eine verunstaltete Website ist ein Integritätsverstoß. Geleakte Anmeldedaten sind ein Vertraulichkeitsverstoß.

Die Zielkonflikte

Die Pfeiler ziehen manchmal gegeneinander, und diesen Zielkonflikt zu benennen unterscheidet eine starke Antwort von einer auswendig gelernten. Aggressive Verschlüsselung und Zugriffskontrollen verbessern die Vertraulichkeit, können aber die Verfügbarkeit beeinträchtigen, wenn ein Schlüssel verloren geht. Strenge Integritätsprüfungen können ein System verlangsamen. Gute Sicherheit balanciert alle drei gegen den Wert des Assets und die Bedrohungen, denen es ausgesetzt ist, statt eines blind zu maximieren.

Warum das wichtig ist

Interviewer nutzen diese Frage, um zu prüfen, ob Sie über Ziele nachdenken können, statt nur Werkzeuge aufzuzählen. Ein Kandidat, der ein reales Szenario der Triade zuordnet — und die Zielkonflikte anerkennt — zeigt, dass er den Zweck der Sicherheitsarbeit versteht, nicht nur das Vokabular.

Wahrscheinliche Anschlussfragen

  • Nennen Sie ein Beispiel für eine Maßnahme, die die Integrität, aber nicht die Vertraulichkeit schützt.
  • Kann die Stärkung eines Pfeilers der Triade einen anderen schwächen?
  • Wo ordnen sich Nichtabstreitbarkeit und Authentifizierung ein?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.