Authentizität bezeichnet die Eigenschaft von Informationen, Personen, Geräten oder Diensten, echt zu sein – also tatsächlich von der behaupteten Quelle zu stammen und dieser korrekt zugeordnet werden zu können. Im IT-Grundschutz wird Authentizität als Spezialfall der Integrität verstanden: Es geht darum, die Echtheit von Identitäten und die Herkunft von Informationen verlässlich nachzuweisen und Fälschungen auszuschließen. Damit eng verwandt ist die Nicht-Abstreitbarkeit (engl. non-repudiation).
Einordnung in den IT-Grundschutz / BSI-Standards
Die Aufgabe der Informationssicherheit ist der angemessene Schutz der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Authentizität und Nicht-Abstreitbarkeit werden dabei explizit als besondere Ausprägungen der Integrität genannt. In den Betrachtungsumfang fallen nicht nur klassische IT, sondern auch ICS- und IoT-Systeme – die Sicherstellung der Echtheit von Geräten und Kommunikationspartnern ist also systemübergreifend relevant.
Für die praktische Umsetzung verweist der IT-Grundschutz auf das Kompendium mit prozess- und systemorientierten Bausteinen. Besonders einschlägig sind Konzepte und Maßnahmen zur Kryptographie (z. B. Signaturen, Zertifikate) im Baustein „Kryptokonzept“ der Schicht CON.
Im Sicherheitsprozess (z. B. bei der Schutzbedarfsfeststellung) werden Schäden bei Beeinträchtigung der Grundwerte systematisch ermittelt. Anforderungen an Authentizität lassen sich hier über Integritätsanforderungen und passende Schadensszenarien (u. a. Gesetzesverstöße, negative Außenwirkung, finanzielle Auswirkungen) ableiten.
Methodisch stützt sich der IT-Grundschutz auf ein ISMS nach BSI-Standard 200-1/ISO 27001; Authentizität ist damit Bestandteil des gesteuerten Sicherheitsmanagements.
Zweck und Nutzen
Authentizität schafft Vertrauen in Identitäten, Quellen und Datenflüsse. Sie ermöglicht sichere Anmeldung und Zugriffsteuerung, schützt vor Identitätsdiebstahl und Phishing, verhindert Manipulationen in Kommunikations- und Dokumentenprozessen und unterstützt Nachweis- und Revisionsanforderungen (z. B. wer hat was wann signiert oder freigegeben). So senkt sie Betrugs-, Compliance- und Reputationsrisiken und stärkt die Nachvollziehbarkeit (Accountability).
Praktische Relevanz
In der Praxis wird Authentizität u. a. erreicht durch:
- starke Authentisierung von Nutzenden und Geräten (z. B. MFA, Zertifikate),
- digitale Signaturen und Zeitstempel für Dokumente und Software (Code-Signing),
- Protokolle mit Herkunftsnachweis (z. B. signierte Protokolldateien),
- abgesicherte E-Mail (z. B. signierte Nachrichten),
- Gerätezertifikate und gesicherte Boot-Ketten in ICS/IoT-Umgebungen, damit nur „echte“ Komponenten teilnehmen.
Gerade in vernetzten Produktionsanlagen und beim IoT ist die Echtheit der kommunizierenden Einheiten kritisch, weil Fälschungen oder manipulierte Updates direkte Betriebs- und Sicherheitsfolgen haben können. Diese Systeme sind ausdrücklich im Geltungsbereich des IT-Grundschutzes enthalten.
Die Auswahl konkreter Maßnahmen erfolgt über die Kompendium-Bausteine (z. B. Kryptokonzept) und wird im Sicherheitskonzept verankert.