Integrität (Unverfälschtheit) bezeichnet die Eigenschaft von Informationen, Prozessen, Systemen und Diensten, korrekt, vollständig und unbeabsichtigt unverändert zu sein – von der Erfassung bis zur Nutzung. Im Verständnis des IT-Grundschutzes zählt Integrität zu den drei Grundwerten der Informationssicherheit; Authentizität und Nicht-Abstreitbarkeit werden als Spezialfälle der Integrität mitbetrachtet.
Einordnung in den IT-Grundschutz / BSI-Standards
Die Schutzbedarfsfeststellung nach IT-Grundschutz bewertet für jedes Objekt den Bedarf in den Grundwerten Vertraulichkeit, Integrität und Verfügbarkeit. Sie nutzt qualitative Kategorien (typisch „normal“, „hoch“, „sehr hoch“) und leitet daraus den weiteren Analyse- und Maßnahmenbedarf ab. Bei hohem oder sehr hohem Schutzbedarf in mindestens einem Grundwert (z. B. Integrität) ist zusätzlich eine Risikoanalyse nach BSI-Standard 200-3 erforderlich.
In der Risikoanalyse werden elementare Gefährdungen betrachtet, die die Integrität beeinträchtigen können, etwa „Manipulation von Informationen“ (G 0.22) oder „Integritätsverlust schützenswerter Informationen“ (G 0.46). Das IT-Grundschutz-Kompendium liefert dazu die passenden Anforderungen und Maßnahmen als Basis-, Standard- und erhöhte Anforderungen.
Im BSI-Standard 200-4 (BCM) steht zwar die Verfügbarkeit im Fokus; es wird jedoch klargestellt, dass ein Verlust der Integrität (oder Vertraulichkeit) zu gravierenden Verfügbarkeitsausfällen führen kann und – insbesondere ohne etabliertes ISMS – in der BCM-Risikobetrachtung mitzuberücksichtigen ist.
Zweck und Nutzen
Integrität sorgt dafür, dass Entscheidungen, automatisierte Abläufe und Nachweise auf unverfälschten Daten beruhen. Damit werden Fehlentscheidungen, Betrug und Compliance-Verstöße reduziert und Prüf- sowie Revisionsanforderungen unterstützt. Die Standards empfehlen, Schäden über anschauliche Szenarien (z. B. Gesetzesverstöße, negative Außenwirkung, finanzielle Auswirkungen) zu bewerten – jeweils bezogen auf den möglichen Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit.
Praktische Relevanz
Typische Integritätsrisiken sind unautorisierte Änderungen (z. B. durch Missbrauch von Berechtigungen), fehlerhafte oder manipulierte Softwarestände, sowie unzureichend gesicherte Schnittstellen in IT, ICS und IoT. Die Risikoanalyse zeigt exemplarisch, dass etwa „Missbrauch von Berechtigungen“ oder „Software-Schwachstellen“ die Integrität von Datenbanken und Anwendungen direkt bedrohen können.
Bewährte Maßnahmen sind u. a.: striktes Berechtigungs- und Rollenmanagement mit Vier-Augen-Prinzip, nachvollziehbares Change- und Release-Management, kryptographische Sicherungen (digitale Signaturen, Hash-Werte, Code-Signierung), gesicherte Update-Prozesse, manipulationsgeschützte Protokollierung sowie qualitätsgesicherte Backups mit Versionierung und regelmäßigen Wiederherstellungstests. Die Auswahl und Konkretisierung erfolgt systematisch über die Kompendiums-Bausteine innerhalb des ISMS-Prozesses.
Wichtig in der Praxis: Integrität ist nicht nur ein „Daten-Thema“. Auch Prozess- und Systemintegrität sind zu schützen – etwa korrekte Parametrisierung in Leit- und Automatisierungssystemen oder die Unversehrtheit von Konfigurationsdateien. Der IT-Grundschutz umfasst ausdrücklich auch ICS- und IoT-Systeme.