Private und öffentliche Unternehmen sind heute in allen Bereichen ihrer Geschäftstätigkeit, Privatpersonen in den meisten Belangen des täglichen Lebens auf IT-Systeme angewiesen. Diese müssen den folgenden Schutzzielen entsprechen:
Allgemeine Schutzziele sind:
Vertraulichkeit (englisch: confidentiality): Nur autorisierte Benutzer dürfen zugreifen, Daten lesen oder modifizieren.
Integrität (englisch: integrity): Es darf kein unbemerktes verändertn geben. Alle Änderungen müssen nachvollziehbar sein.
Verfügbarkeit (englisch: availability): der Zugriff auf Daten muss innerhalb eines vereinbarten Zeitrahmens gewährleistet sein (Verhinderung von Systemausfällen).
Weitere Schutzziele der Informationssicherheit:
Authentizität (englisch: authenticity) bezeichnet die Eigenschaften der Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit.
Verbindlichkeit/Nichtabstreitbarkeit (englisch: non repudiation): Sie erfordert, dass „kein unzulässiges Abstreiten durchgeführter Handlungen“ möglich ist.(zB bei elektronischen Vertragsabschlüssen). Erreichbar ist sie beispielsweise durch elektronische Signaturen.
Zurechenbarkeit (englisch: accountability): „Eine durchgeführte Handlung kann einem Kommunikationspartner eindeutig zugeordnet werden, zum Beispiel im anonymen Internet.
Gefahr für Leib und Leben
Jedes noch so gut geplante und umgesetzte IT-System kann Schwachstellen besitzen. Sind bestimmte Angriffe zum Umgehen der vorhandenen Sicherheitsvorkehrungen möglich, ist das System verwundbar. Nutzt ein Angreifer eine Schwachstelle oder eine Verwundbarkeit zum Eindringen in ein IT-System, sind die Vertraulichkeit, Datenintegrität und Verfügbarkeit bedroht (englisch: threat). Angriffe auf die Schutzziele bedeuten für Unternehmen Angriffe auf reale Unternehmenswerte, im Regelfall das Abgreifen oder Verändern von unternehmensinternen Informationen. Jede mögliche Bedrohung ist ein Risiko (englisch: risk) für das Unternehmen. Unternehmungen versuchen durch die Verwendung eines Risikomanagements (englisch: risk management) die Wahrscheinlichkeit des Eintretens eines Schadens und die daraus resultierende Schadenshöhe zu bestimmen.