Vertrauliche Daten und Informationen dürfen nur den zur Kenntnisnahme berechtigten Personen zugänglich sein. Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwerten der Informationssicherheit. Für vertrauliche Informationen (wie Passwörter, personenbezogene Daten, Firmen- oder Amtsgeheimnisse, Entwicklungsdaten) besteht die inhärente Gefahr, dass diese durch technisches Versagen, Unachtsamkeit oder auch durch vorsätzliche Handlungen offengelegt werden.
Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise
Auch die Art und Weise, wie Informationen offengelegt werden, kann sehr unterschiedlich sein, zum Beispiel:
Werden schützenswerte Informationen offengelegt, kann dies schwerwiegende Folgen für eine Institution haben. Unter anderem kann der Verlust der Vertraulichkeit zu folgenden negativen Auswirkungen für eine Institution führen:
Ein Verlust der Vertraulichkeit wird nicht immer sofort bemerkt. Oft stellt sich erst später heraus, z. B. durch Presseanfragen, dass Unbefugte sich Zugang zu vertraulichen Informationen verschafft haben.
Beispiel:
auf Speichermedien innerhalb von Rechnern (Festplatten),
auf austauschbaren Speichermedien (USB-Sticks, CDs oder DVDs),
in gedruckter Form auf Papier (Ausdrucke, Akten) und
auf Übertragungswegen während der Datenübertragung.
unbefugtes Auslesen von Dateien,
unbedachte Weitergabe, z. B. im Zuge von Reparaturaufträgen,
unzureichende Löschung oder Vernichtung von Datenträgern,
Diebstahl des Datenträgers und anschließendes Auswerten,
Abhören von Übertragungsleitungen,
Infektion von IT-Systemen mit Schadprogrammen,
Mitlesen am Bildschirm oder Abhören von Gesprächen.
Verstoß gegen Gesetze, zum Beispiel Datenschutz, Bankgeheimnis,
Negative Innenwirkung, zum Beispiel Demoralisierung der Mitarbeitenden,
Negative Außenwirkung, zum Beispiel Beeinträchtigung der Beziehungen zu Geschäftspartnern und -partnerinnen, verlorenes Vertrauen der Kundschaft,
Finanzielle Auswirkungen, zum Beispiel Schadensersatzansprüche, Bußgelder, Prozesskosten,
Beeinträchtigung des informationellen Selbstbestimmungsrechtes.
Käufer und Käuferinnen von gebrauchten Rechnern, Festplatten, Mobiltelefonen oder ähnlichen Geräten finden darauf immer wieder höchst vertrauliche Informationen wie Daten von erkrankten Personen oder Kontonummern.