- Bedeutung
- Vier Schutzwerte der Informationssicherheit
- Werte
- Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität
- Nutzen
- Maßstab zur Bewertung von Vorfällen
- Verwandt
- Cybersicherheit, Controls
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was bedeutet VIVA?
VIVA bündelt die vier zentralen Schutzziele der Informationssicherheit: Verfügbarkeit (Systeme und Daten sind nutzbar, wenn sie gebraucht werden), Integrität (Daten sind korrekt und unverfälscht), Vertraulichkeit (nur Berechtigte haben Zugriff) und Authentizität (Herkunft und Echtheit sind nachweisbar). Diese Werte bilden den Rahmen, an dem sich jede Sicherheitsentscheidung ausrichten lässt – von der Risikobewertung bis zur Auswahl konkreter Maßnahmen.
Die vier Werte im Detail
- Verfügbarkeit: Schutz vor Ausfällen, Überlastung und DDoS-Angriffen, damit Dienste erreichbar bleiben.
- Integrität: Schutz vor unbemerkter oder unbefugter Veränderung von Daten und Konfigurationen.
- Vertraulichkeit: Schutz vor unbefugtem Zugriff und ungewolltem Abfluss von Informationen.
- Authentizität: Gewissheit über Herkunft und Echtheit von Daten, Nachrichten und Identitäten.
VIVA und CIA
International spricht man meist von der CIA-Triade (Confidentiality, Integrity, Availability). VIVA ergänzt diese drei klassischen Werte ausdrücklich um die Authentizität, die im deutschen Sicherheitsverständnis und im NIS2-Kontext besonders betont wird – etwa wenn es darum geht, manipulierte E-Mails oder gefälschte Identitäten zu erkennen. Der Standard ISO/IEC 27001 für Informationssicherheits-Managementsysteme baut ebenfalls auf diesen Schutzzielen auf.
VIVA als Maßstab
Sicherheitsvorfälle betreffen fast immer einen oder mehrere dieser Werte. VIVA dient daher als praktischer Maßstab, um Auswirkungen einzuordnen und passende Controls gezielt auszuwählen. Auch für die Einstufung, ob ein Vorfall nach NIS2 erheblich und damit meldepflichtig ist, hilft die Frage: Welcher Schutzwert wurde in welchem Ausmaß verletzt?
Ein typischer Fall: Verschlüsselt Ransomware die Produktionsdaten eines Betriebs, sind gleich zwei VIVA-Werte betroffen: die Verfügbarkeit (die Daten sind nicht mehr nutzbar) und die Integrität (sie wurden verändert). Diese Einordnung hilft dem Team, die Schwere des Incidents zu bewerten und die richtigen Sofortmaßnahmen – etwa Wiederherstellung aus Backups – zu priorisieren.
Weiterführende Quelle: ISO/IEC 27001 – Informationssicherheits-Managementsysteme
Häufige Fragen
Wofür steht VIVA?
VIVA steht für Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität – die vier zentralen Schutzwerte der Informationssicherheit. Verfügbarkeit meint, dass Systeme und Daten nutzbar sind, wenn sie gebraucht werden; Integrität, dass Daten korrekt und unverfälscht bleiben; Vertraulichkeit, dass nur Berechtigte Zugriff haben; Authentizität, dass Herkunft und Echtheit nachweisbar sind. An diesen Werten wird gemessen, ob Informationen angemessen geschützt sind.
Wozu dient VIVA?
VIVA dient als praktischer Maßstab, um die Auswirkungen von Sicherheitsvorfällen einzuordnen und passende Schutzmaßnahmen gezielt auszuwählen. Jeder Vorfall lässt sich danach beurteilen, welchen der vier Werte Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität er in welchem Ausmaß verletzt – etwa die Verfügbarkeit bei einem DDoS-Angriff. Diese Frage hilft auch bei der Einstufung, ob ein Vorfall nach NIS2 erheblich und damit meldepflichtig ist.
Was ist der Unterschied zwischen VIVA und der CIA-Triade?
Die international gebräuchliche CIA-Triade umfasst Confidentiality, Integrity und Availability, also Vertraulichkeit, Integrität und Verfügbarkeit. VIVA ergänzt diese drei klassischen Schutzwerte ausdrücklich um die Authentizität, also die nachweisbare Echtheit von Herkunft und Identität. Diese vierte Dimension wird im deutschen Sicherheitsverständnis und im NIS2-Kontext besonders betont, etwa um manipulierte E-Mails oder gefälschte Identitäten zu erkennen.