Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.46 — Integritätsverlust schützenswerter Informationen

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.5A.5.11A.5.14A.5.15A.5.24A.5.25A.5.26A.5.27A.5.28A.5.29A.5.34A.5.35A.5.36A.6.2A.6.6A.6.7A.6.8A.7.7A.7.9A.7.10A.8.1A.8.3A.8.4A.8.5A.8.7A.8.13A.8.15A.8.16A.8.17A.8.19A.8.20A.8.21A.8.22A.8.23A.8.24A.8.25A.8.26A.8.27A.8.28A.8.29A.8.31A.8.32A.8.34 BSI IT-GrundschutzISO 27001ISO 27002

In einer Finanzbuchhaltung ändert ein Mitarbeiter versehentlich die Kontonummer in einer Sammelüberweisung — ein Tippfehler, zwei Ziffern vertauscht. Die Software akzeptiert die Eingabe ohne Warnung. Über drei Monate fließen monatliche Zahlungen in Höhe von je 28.000 Euro an den falschen Empfänger. Der Fehler fällt erst bei der Quartalsabstimmung auf.

Integritätsverlust gehört zu den tückischsten Gefährdungen, weil die Daten weiterhin vorhanden und auf den ersten Blick unauffällig sind. Das BSI führt die Bedrohung als elementare Gefährdung G 0.46. Im Gegensatz zum Datenverlust (G 0.45), bei dem die Daten fehlen, liefert der Integritätsverlust falsche Daten — und falsche Daten können größeren Schaden anrichten als fehlende.

Was steckt dahinter?

Die Integrität von Informationen kann auf vielfältige Weise beeinträchtigt werden. Die Ursachen reichen von unbeabsichtigten Fehleingaben über technische Defekte bis hin zu gezielten Manipulationen durch Angreifer.

Ursachen

Angreifer verändern Daten, um sich Vorteile zu verschaffen oder der Organisation zu schaden. Gezielte Datenmanipulation ist oft schwerer zu erkennen als Datendiebstahl, weil keine Daten abfließen und die Veränderung subtil sein kann: eine modifizierte IBAN in einer Zahlungsanweisung, ein veränderter Wert in einer Lagerbestandsdatenbank, eine manipulierte Index-Datenbank in einem elektronischen Archiv.

Tippfehler, Verwechslungen und Bedienungsfehler in Anwendungen sind alltäglich. Ohne Plausibilitätsprüfungen, Eingabevalidierung und Vier-Augen-Kontrollen können solche Fehler monatelang unbemerkt bleiben und kaskadieren: Falsche Basisdaten führen zu falschen Berechnungen, die wiederum falsche Entscheidungen nach sich ziehen.

  • Übertragungsfehler — Bei der Datenübertragung über Netzwerke können Bits kippen. TCP korrigiert die meisten Fehler, doch bei UDP-basierter Kommunikation oder fehlerhafter Hardware können Daten unbemerkt verändert ankommen.
  • Alterung von Datenträgern — Magnetische und optische Datenträger verlieren über Jahre an Lesbarkeit. Einzelne Sektoren werden fehlerhaft (Bit-Rot), ohne dass das Dateisystem sofort warnt.
  • Softwarefehler — Bugs in Datenbanken, Dateisystemen oder Anwendungen können Daten bei Schreibvorgängen verfälschen, insbesondere bei konkurrierenden Zugriffen oder Systemabstürzen.

Schadensausmass

Ein einzelnes verändertes Bit kann ganze Datenbestände unbrauchbar machen. Bei verschlüsselten Datensätzen führt eine minimale Veränderung dazu, dass die Entschlüsselung fehlschlägt. Kryptographische Schlüssel werden durch ein Bit-Flip unbrauchbar — und damit alle Daten, die mit diesem Schlüssel gesichert wurden. Elektronische Archive verlieren ihre Beweiskraft, wenn die Integrität der gespeicherten Dokumente nicht nachgewiesen werden kann.

Praxisbeispiele

Manipulierte Archivdatenbank. Ein elektronisches Archiv speichert revisionssichere Dokumente für die Buchhaltung. Ein Angreifer mit Datenbankzugang manipuliert die Index-Tabelle und ordnet gefälschte Rechnungen echten Vorgangsnummern zu. Bei einer Betriebsprüfung werden die gefälschten Dokumente als authentisch akzeptiert — bis ein aufmerksamer Prüfer die Prüfsummen manuell verifiziert.

Fehleingabe in der Lagerverwaltung. Bei einer manuellen Inventurkorrektur vertippt sich ein Mitarbeiter um eine Zehnerpotenz: Statt 50 Einheiten wird der Bestand auf 500 korrigiert. Das ERP-System storniert daraufhin automatisch eine ausstehende Nachbestellung. Erst zwei Wochen später, als der physische Bestand aufgebraucht ist, fällt der Fehler auf — die Produktionslinie steht.

Bit-Flip in einer verschlüsselten Backup-Datei. Durch einen Sektorfehler auf der Backup-Festplatte ändert sich ein Byte in einem verschlüsselten Backup-Archiv. Der Fehler bleibt unerkannt, weil keine regelmäßigen Integritätsprüfungen stattfinden. Als das Archiv Monate später zur Wiederherstellung benötigt wird, schlägt die Entschlüsselung fehl. Das Backup ist wertlos.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 43 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.46 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • CON.1 (Kryptokonzept) — kryptographische Verfahren zur Integritätssicherung (Hashwerte, digitale Signaturen).
  • OPS.1.2.6 (NTP-Zeitsynchronisation) — präzise Zeitstempel für Integritätsprüfungen und Audit-Trails.
  • DER.3.1 (Audits und Revisionen) — regelmäßige Prüfung der Datenintegrität im Rahmen interner Audits.
  • APP.4.2 (SAP-ERP-System) — spezifische Integritätsanforderungen für betriebswirtschaftliche Standardsoftware.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.5 Kontakt mit Behörden A.5.11 Rückgabe von Werten A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.34 Datenschutz und PII A.5.35 Unabhängige Überprüfung der Informationssicherheit A.5.36 Einhaltung von Richtlinien und Standards A.6.2 Beschäftigungsbedingungen A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.6.8 Meldung von Sicherheitsereignissen A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.8.1 Benutzerendgeräte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.13 Informationssicherung (Backup) A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.24 Einsatz von Kryptographie A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen A.8.32 Änderungsmanagement A.8.34 Schutz bei Audit-Tests

Häufig gestellte Fragen

Was genau bedeutet Integritätsverlust?

Integritätsverlust liegt vor, wenn Informationen unbemerkt verändert, verfälscht oder beschädigt werden — ob vorsätzlich durch einen Angreifer oder versehentlich durch Fehleingaben, Softwarefehler oder Übertragungsstörungen. Die Daten existieren noch, sind aber inhaltlich falsch oder unvollständig.

Wie erkenne ich, dass Daten ihre Integrität verloren haben?

Kryptographische Hashwerte (Prüfsummen), digitale Signaturen und Versionskontrollsysteme machen Veränderungen sichtbar. Regelmäßige Plausibilitätsprüfungen, Vier-Augen-Kontrollen bei Dateneingaben und automatisierte Integritätschecks (z. B. Tripwire auf Servern) ergänzen die Erkennung.

Kann ein einzelnes Bit den Integritätsverlust kritisch machen?

Ja. Bei verschlüsselten oder komprimierten Daten reicht die Änderung eines einzigen Bits, um den gesamten Datensatz unbrauchbar zu machen — weil die Entschlüsselung oder Dekompression fehlschlägt. Dasselbe gilt für kryptographische Schlüssel: Ein verändertes Bit macht den Schlüssel unbrauchbar.