ISMS-Ratgeber WiKi - Benutzerbeiträge [de]

Geheimschutz

2023-09-12T05:59:37Z

Mario W.: /* Einleitung */

{{#seo:
|title=Geheimschutz Klassifizierung von Informationen
|keywords=ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}
== Einleitung ==
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

* Verschlusssachenanweisungen (des Landes oder des Bundes) oder
* dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

== Rechtsgrundlagen ==
In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

* Grundgesetz (GG)
* Bundesverfassungsschutzgesetz (BVerfSchG)
* Gesetz über den Verfassungsschutz (VerfSchG)
* Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)

== Verschlusssachen ==
Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

* Informationen über geheime Waffensysteme oder Ausrüstung
* Informationen über geheime diplomatische Initiativen
* Informationen über geheime politische Entscheidungen
* Informationen über geheime Ermittlungen oder Strafverfahren
* Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

=== Verschlusssache – Nur für den Dienstgebrauch ===
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Verschlusssache - Vertraulich ===
(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Geheim ===
(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

=== Streng Geheim ===
(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

== Vergleich der Geheimschutz-Klassifizierung in anderen Ländern ==
{| class="wikitable"
!Deutschland
|'''<pre style="color: blue">VS–Nur für den Dienstgebrauch</pre>'''||'''<pre style="color: blue">VS–Vertraulich</pre>'''||'''<pre style="color: red">Geheim</pre>'''||'''<pre style="color: red">Streng Geheim</pre>'''
|-
!Großbritannien
|Restricted||Confidential||Secret||Top Secret
|-
!Frankreich
|Diffusion restreinte||Confidentiel défense||Secret défense||Très secret défense
|-
!Spanien
|Difusión Limitada||Confidencial||Secreto||Máximo Secreto
|-
!Österreich
|Eingeschränkt||Vertraulich||Geheim||Streng Geheim
|-
!USA
|Restricted||Confidential||Secret||Top Secret
|}

== Geheimschutz in der Privatwirtschaft ==
Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

== Außerhalb von Geheimschutz ==
Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden.
Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "[[Klassifizierung]] von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
[[Kategorie:Artikel]]

Geheimschutz

2023-09-12T05:56:54Z

Mario W.: /* Einleitung */

{{#seo:
|title=Geheimschutz Klassifizierung von Informationen
|keywords=ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}
== Einleitung ==
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

* Verschlusssachenanweisungen (des Land oder des Bund) oder
* dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

== Rechtsgrundlagen ==
In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

* Grundgesetz (GG)
* Bundesverfassungsschutzgesetz (BVerfSchG)
* Gesetz über den Verfassungsschutz (VerfSchG)
* Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)

== Verschlusssachen ==
Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

* Informationen über geheime Waffensysteme oder Ausrüstung
* Informationen über geheime diplomatische Initiativen
* Informationen über geheime politische Entscheidungen
* Informationen über geheime Ermittlungen oder Strafverfahren
* Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

=== Verschlusssache – Nur für den Dienstgebrauch ===
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Verschlusssache - Vertraulich ===
(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Geheim ===
(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

=== Streng Geheim ===
(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

== Vergleich der Geheimschutz-Klassifizierung in anderen Ländern ==
{| class="wikitable"
!Deutschland
|'''<pre style="color: blue">VS–Nur für den Dienstgebrauch</pre>'''||'''<pre style="color: blue">VS–Vertraulich</pre>'''||'''<pre style="color: red">Geheim</pre>'''||'''<pre style="color: red">Streng Geheim</pre>'''
|-
!Großbritannien
|Restricted||Confidential||Secret||Top Secret
|-
!Frankreich
|Diffusion restreinte||Confidentiel défense||Secret défense||Très secret défense
|-
!Spanien
|Difusión Limitada||Confidencial||Secreto||Máximo Secreto
|-
!Österreich
|Eingeschränkt||Vertraulich||Geheim||Streng Geheim
|-
!USA
|Restricted||Confidential||Secret||Top Secret
|}

== Geheimschutz in der Privatwirtschaft ==
Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

== Außerhalb von Geheimschutz ==
Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden.
Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "[[Klassifizierung]] von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
[[Kategorie:Artikel]]

Geheimschutz

2023-09-11T14:51:35Z

Mario W.: /* Einleitung */

{{#seo:
|title=Geheimschutz Klassifizierung von Informationen
|keywords=ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}
== Einleitung ==
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung einer schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

* Verschlusssachenanweisungen (des Land oder des Bund) oder
* dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

== Rechtsgrundlagen ==
In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

* Grundgesetz (GG)
* Bundesverfassungsschutzgesetz (BVerfSchG)
* Gesetz über den Verfassungsschutz (VerfSchG)
* Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)

== Verschlusssachen ==
Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

* Informationen über geheime Waffensysteme oder Ausrüstung
* Informationen über geheime diplomatische Initiativen
* Informationen über geheime politische Entscheidungen
* Informationen über geheime Ermittlungen oder Strafverfahren
* Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

=== Verschlusssache – Nur für den Dienstgebrauch ===
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Verschlusssache - Vertraulich ===
(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Geheim ===
(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

=== Streng Geheim ===
(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

== Vergleich der Geheimschutz-Klassifizierung in anderen Ländern ==
{| class="wikitable"
!Deutschland
|'''<pre style="color: blue">VS–Nur für den Dienstgebrauch</pre>'''||'''<pre style="color: blue">VS–Vertraulich</pre>'''||'''<pre style="color: red">Geheim</pre>'''||'''<pre style="color: red">Streng Geheim</pre>'''
|-
!Großbritannien
|Restricted||Confidential||Secret||Top Secret
|-
!Frankreich
|Diffusion restreinte||Confidentiel défense||Secret défense||Très secret défense
|-
!Spanien
|Difusión Limitada||Confidencial||Secreto||Máximo Secreto
|-
!Österreich
|Eingeschränkt||Vertraulich||Geheim||Streng Geheim
|-
!USA
|Restricted||Confidential||Secret||Top Secret
|}

== Geheimschutz in der Privatwirtschaft ==
Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

== Außerhalb von Geheimschutz ==
Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden.
Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "[[Klassifizierung]] von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
[[Kategorie:Artikel]]

Geheimschutz

2023-09-11T14:47:28Z

Mario W.: /* Einleitung */

{{#seo:
|title=Geheimschutz Klassifizierung von Informationen
|keywords=ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}
== Einleitung ==
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung einer schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Danach richten sich ebenfalls die anzuwendenden Schutzmaßnahmen, die dann in:

* Verschlusssachenanweisungen (des Land oder des Bund) oder
* dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

== Rechtsgrundlagen ==
In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

* Grundgesetz (GG)
* Bundesverfassungsschutzgesetz (BVerfSchG)
* Gesetz über den Verfassungsschutz (VerfSchG)
* Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Verschlusssachenanweisung (VSA)

== Verschlusssachen ==
Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

* Informationen über geheime Waffensysteme oder Ausrüstung
* Informationen über geheime diplomatische Initiativen
* Informationen über geheime politische Entscheidungen
* Informationen über geheime Ermittlungen oder Strafverfahren
* Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

=== Verschlusssache – Nur für den Dienstgebrauch ===
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Verschlusssache - Vertraulich ===
(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

=== Geheim ===
(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

=== Streng Geheim ===
(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

''Kennzeichnung:'' Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

== Vergleich der Geheimschutz-Klassifizierung in anderen Ländern ==
{| class="wikitable"
!Deutschland
|'''<pre style="color: blue">VS–Nur für den Dienstgebrauch</pre>'''||'''<pre style="color: blue">VS–Vertraulich</pre>'''||'''<pre style="color: red">Geheim</pre>'''||'''<pre style="color: red">Streng Geheim</pre>'''
|-
!Großbritannien
|Restricted||Confidential||Secret||Top Secret
|-
!Frankreich
|Diffusion restreinte||Confidentiel défense||Secret défense||Très secret défense
|-
!Spanien
|Difusión Limitada||Confidencial||Secreto||Máximo Secreto
|-
!Österreich
|Eingeschränkt||Vertraulich||Geheim||Streng Geheim
|-
!USA
|Restricted||Confidential||Secret||Top Secret
|}

== Geheimschutz in der Privatwirtschaft ==
Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

== Außerhalb von Geheimschutz ==
Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden.
Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "[[Klassifizierung]] von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
[[Kategorie:Artikel]]

Dokumentenerstellung

2023-09-11T12:47:34Z

Mario W.: /* (Geschäfts)Prozess */

{{#seo:
|title=Hilfe bei der Erstellung von sicherheitsrelevanten Dokumenten
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Muster,Beispiele,WiKi,Hilfe,Vorlagen,Richtlinien,Leitlinien,Leitfaden,Konzepte,IT-Sicherheit,Dokumente,Dokumentation
|description=Dieser Artikel gibt allgemeine Unterstützung bei der Erstellung sicherheitsrelevanter Dokumente (was schreibe ich wie, warum, für wen?).
}}
Dieser Artikel gibt allgemeine Hinweise und Tipps zur Erstellung sicherheitsrelevanter Dokumente, von der Richtlinie über das Konzept bis zur Checkliste (was schreibe ich wie, warum, für wen?) und zeigt häufige Fehler auf.

== Einleitung ==
Die Erstellung von klarer, verständlicher, aussagekräftiger und qualitativ hochwertiger Dokumentation ist von entscheidender Bedeutung, ob es sich nun um Betriebsdokumentation, Anleitungen und Konzepte oder um organisatorische Richtlinien und Anweisungen handelt. Eine gut erstellte Dokumentation trägt nicht nur zur Effizienz bei, sondern hilft auch, Missverständnisse zu vermeiden und das Wissen innerhalb einer Organisation zu bewahren. Dieser Artikel beschreibt Schritte und bewährte Methoden sowie häufige Fehler bei der Erstellung qualitativ hochwertiger Dokumente, die sowohl den Anforderungen der Zielgruppe als auch den Zielen des Dokuments gerecht werden.

== Begriffsklärung ==
Zum besseren Verständnis hier einige allgemeine Definitionen der häufig verwendeten Begriffe und Dokumentarten.

=== IT-Sicherheit vs. Informationssicherheit ===
In der einschlägigen Literatur werden die beiden Begriffe oft synonym verwendet, aber gibt es einen Unterschied?

Ja, grundsätzlich gilt: Informationssicherheit ist mehr als "nur" IT-Sicherheit.

Der Begriff IT-Sicherheit ist älter und stammt aus den Anfängen der IT. Er ist stärker auf die reine Technik fokussiert und beschreibt häufig die technischen und funktionalen Sicherheitsaspekte der IT. Informationssicherheit hingegen hat einen ganzheitlicheren Ansatz und betrachtet den gesamten Prozess der Informationsverarbeitung, von dem die reine IT nur eine - wenn auch meist große - Teilmenge darstellt.

Moderne Bedrohungen beschränken sich aber längst nicht mehr auf die reine Technik.

=== Dokument vs. Aufzeichnung ===
Ein Dokument und eine Aufzeichnung sind beide schriftliche oder digitale Aufzeichnungen, die im allgemeinen Sprachgebrauch auch beide als Dokumente bezeichnet werden, aber sie haben unterschiedliche Bedeutungen und Verwendungszwecke:

Ein '''Dokument''' ist eine schriftliche oder elektronische Darstellung von Informationen, die bestimmte Inhalte, Daten oder Konzepte aufzeichnet. Dokumente können Texte, Grafiken, Tabellen, Diagramme oder Multimedia-Inhalte enthalten. Sie werden häufig erstellt, um Informationen zu erfassen, zu kommunizieren, zu speichern oder zu teilen. Dokumente können strukturiert oder unstrukturiert sein und verschiedene Formate haben, je nach ihrem Zweck und ihrer Zielgruppe. Beispiele für Dokumente sind Handbücher, Konzepte, Verträge, Richtlinien und andere schriftliche Inhalte.

Eine '''Aufzeichnung''' bezieht sich auf eine dokumentierte oder protokollierte Aufnahme von Informationen, Ereignissen oder Aktivitäten. Aufzeichnungen werden in der Regel erstellt, um Beweise zu liefern, Vorgänge nachzuvollziehen, Abläufe zu überwachen oder rechtliche Anforderungen zu erfüllen. Sie sind oft datums- und zeitgestempelt und können in verschiedenen Formen wie Text, Audio, Video oder elektronischen Datensätzen vorliegen. Beispiele für Aufzeichnungen sind Protokolle, Transaktionsaufzeichnungen oder Checklisten.

Der Hauptunterschied zwischen einem Dokument und einer Aufzeichnung liegt in ihrer Funktion: Ein Dokument dient dazu, Informationen zu präsentieren oder zu vermitteln, während eine Aufzeichnung dazu dient, Ereignisse oder Aktivitäten festzuhalten und später als Nachweis oder Referenz verwendet zu werden.

=== (Geschäfts)Prozess ===
Ein Prozess bezieht sich auf eine geordnete Abfolge von Aktivitäten oder Schritten, die ausgeführt werden, um ein bestimmtes Ziel zu erreichen. Ein '''Geschäftsprozess''' ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.

'''Kernprozesse''' (oder Hauptprozesse) sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.

'''Hilfsprozesse''', oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.

=== Anwendung ===
Eine Anwendung (auch als Softwareanwendung oder App abgekürzt) ist eine Software, die entwickelt wurde, um bestimmte Aufgaben oder Funktionen auf einem Computer, Mobilgerät oder anderen elektronischen Geräten auszuführen. Anwendungen reichen von einfachen Textverarbeitungsprogrammen bis hin zu komplexen Anwendungen wie Grafikdesign-Tools, Kommunikations-Apps oder Spiele. Eine Anwendung kann auch aus einem Zusammenspiel mehrerer einzelner Programme bestehen.

=== Verfahren ===
Ein Verfahren bezieht sich auf eine festgelegte Abfolge von Schritten oder Regeln, die befolgt werden, um eine bestimmte Aufgabe, Aktivität oder einen Vorgang durchzuführen. Verfahren sind oft spezifisch und detailliert und dienen dazu, konsistente Ergebnisse zu erzielen und eine effiziente Durchführung von Aufgaben sicherzustellen.

In der Informationssicherheit wird der Begriff "Verfahren" oft als Synonym für "Anwendung" verwendet, wobei das Verfahren mehr auf die Aufgabe (was) und die Anwendung mehr auf die Software (wie) ausgerichtet ist.

=== Programm ===
Ein Programm bezieht sich auf eine Sammlung von Anweisungen oder Befehlen, die in einer bestimmten Programmiersprache geschrieben wurden, um einem Computer oder einer Maschine zu sagen, welche Aufgaben ausgeführt werden sollen. Programme können vielfältig sein, von einfachen Skripten bis hin zu komplexen Softwareanwendungen, die komplexe Aufgaben oder Berechnungen durchführen können.

=== Arten von Dokumenten ===
Je nach Größe der Organisation finden sich typischerweise folgende Arten von Dokumenten

==== Leitlinien ====
Eine Leitlinie ist ein allgemeines, übergeordnetes Dokument, das die grundlegenden Prinzipien, Ziele und Vorgehensweisen für die gesamte Organisation und für ein bestimmtes Thema festlegt und als Leitfaden für Entscheidungen und Maßnahmen dient (z. B. Leitlinie zur Informationssicherheit oder Leitlinie zum Datenschutz). Eine Leitlinie sollte allgemein und unabhängig von konkreten Produkten und technischen Lösungen formuliert werden.

==== Richtlinien ====
Eine Richtlinie ist ein Dokument, das produkt- und verfahrensunabhängig für einen bestimmten Geltungsbereich klare Regeln, Verfahren oder Standards für das Verhalten, die Entscheidungsfindung oder die Aufgabenerfüllung in einer Organisation festlegt. Sie dient als Richtschnur, um einheitliche Vorgehensweisen zu gewährleisten und sicherzustellen, dass die Mitarbeitenden in Übereinstimmung mit den definierten Vorgaben handeln.

==== Konzepte ====
Ein Konzept ist eine strukturierte Darstellung einer Idee oder eines Vorhabens, in der die Ziele, die Vorgehensweise und die möglichen Wege der Umsetzung unter Einhaltung der relevanten Richtlinien beschrieben werden.

Konzepte sind der Ausgangspunkt für eine detailliertere Planung und Umsetzung. Sie ermöglichen es, eine gemeinsame Vision zu entwickeln und sicherzustellen, dass alle Beteiligten das gleiche Verständnis von den Zielen und der Vorgehensweise haben, bevor mit der Umsetzung begonnen wird.

==== Leitfäden ====
Ein Leitfaden ist ein praxisorientiertes Dokument, das Schritt-für-Schritt-Anleitungen, Tipps und Empfehlungen für die Durchführung bestimmter Aufgaben oder Prozesse enthält.

==== Betriebshandbücher ====
Ein Betriebshandbuch ist ein Dokument, das detaillierte Anweisungen, Verfahren und technische Informationen für den Betrieb, die Wartung und die Fehlerbehebung von Systemen oder Geräten enthält. Es konzentriert sich auf die technischen Aspekte eines Systems, einer Anlage oder eines Prozesses. Ein Betriebshandbuch kann Informationen wie technische Spezifikationen, Wartungspläne, Prozessbeschreibungen und Verfahren zur Fehlerbehebung enthalten. Es richtet sich an technisches Personal, das mit der praktischen Durchführung betrieblicher Aufgaben betraut ist.

==== Betriebsführungshandbücher ====
Ein Betriebsführungshandbuch (ggf auch Betriebskonzept) geht über rein technische Aspekte hinaus und umfasst auch (oder nur) organisatorische und verwaltungstechnische Elemente. Es enthält Anweisungen, Verfahren und Vorgaben zur Steuerung und Verwaltung der Betriebsaktivitäten, einschließlich organisatorischer Strukturen, Zuständigkeiten, Kommunikationswege und Koordinationsprozesse. Ein Betriebsführungshandbuch kann Aspekte wie Personalmanagement, Budgetierung, Planung, Koordination zwischen verschiedenen Abteilungen und die Einhaltung von Unternehmensrichtlinien behandeln. Es richtet sich an Führungskräfte und Manager, die die Betriebsführung und -verwaltung verantworten.

==== Anweisungen ====
Eine Anweisung oder Arbeitsanweisung ist ein präzises Dokument, das klare Anweisungen oder Vorgaben für bestimmte Tätigkeiten oder Aufgaben in einer Organisationseinheit enthält.

==== Checklisten ====
Eine Checkliste ist eine strukturierte Liste von Kriterien, die abgehakt werden, um sicherzustellen, dass bestimmte Schritte, Standards oder Anforderungen ggf. auch in einer bestimmten Reihenfolge erfüllt werden.

==== Reports ====
Ein Report ist ein Bericht oder Auszug, der Daten, Informationen, Analysen oder Ergebnisse zu einem bestimmten Thema oder einer spezifischen Untersuchung zusammenfasst und präsentiert.

[[Datei:Pyramide.png|alternativtext=Dokumentenpyramide|rechts|rahmenlos|200x200px]] 

Es kann andere Arten von Dokumenten in der Organisation geben oder bestimmte Arten können nicht vorhanden sein.

Typischerweise sind die einzelnen Dokumentenarten pyramidenförmig gestaffelt, beginnend mit einer oder wenigen organisationsweiten Richtlinien bis hin zu einer Vielzahl von operativen Dokumenten und Aufzeichnungen für jeden einzelnen Prozess.

Auch die technische Komplexität und die Änderungshäufigkeit der Dokumente nehmen nach unten hin zu. 

== Häufige Fehler bei der Erstellung von Dokumenten ==

=== Der Elfenbeinturm ===
Dokumente werden erstellt, ohne sich mit anderen Bereichen abzustimmen. Z.B. wird eine Richtlinie oder ein Konzept von einem externen Berater für die Organisation erstellt und von der Leitung in Kraft gesetzt, ohne diese noch einmal intern in den betroffenen Bereichen abzustimmen oder das Feedback der Fachbereiche wird ignoriert, weil es nicht für relevant gehalten wird. Das ist eine sichere Methode wie es häufig schief geht.

=== Unklare Zielgruppe ===
Wenn nicht klar ist, für wen das Dokument geschrieben ist, können die einen vom Inhalt überfordert sein, die anderen fühlen sich nicht ernst genommen oder zweifeln an der Kompetenz des Verfassers.

=== Zuviel Prosa ===
Dokumente sollten so lang wie nötig und so kurz wie möglich sein. Wer sich durch fünf Seiten einführende Prosa kämpfen muss, um dann erst festzustellen, dass das Dokument für ihn eigentlich nicht relevant ist oder nicht die Information enthält, die er braucht, wird das nächste Dokument dieser Art gleich ungelesen beiseite gelegt.

=== Falsche Ansprache ===
"Der Ton macht die Musik". Oberlehrerhafte oder übergriffige Formulierungen können beim Leser eine natürliche Abwehrhaltung auslösen.

Formulierungen wie z.B:

„Es ist nicht erlaubt...“

„Unterlassen Sie ....“

„Es ist strengstens verboten...“

sollten sparsam eingesetzt und, wo nötig, gut begründet werden.

=== Fehlende Praxisrelevanz ===
Was in der Theorie in einer Richtlinie oder einem Konzept logisch klingt, ist in der Praxis nicht immer umsetzbar.

Ein Satz wie „Es dürfen nur freigegebene USB-Sticks verwendet werden“ liest sich in einer IT-Sicherheitsrichtlinie plausibel. In der Praxis wirft er jedoch viele Fragen auf:
* Was ist ein „freigegebener USB-Stick“ und woran erkenne ich, dass er freigegeben ist?
* Was mache ich, wenn ein Kunde oder Dienstleister einen USB-Stick mit Daten mitbringt? Gibt es ein praktikables Verfahren, wie die Daten darauf sicher in die Organisation gelangen?
* Darf ein „freigegebener USB-Stick“ der Organisation auch von Kunden oder Dienstleistern genutzt werden?
Eine vermeintlich logische und sinnvolle Regelung kann in der Praxis mehr Fragen aufwerfen als Klarheit schaffen.

=== Redundanzen ===
Wenn ein Sachverhalt mehrfach in verschiedenen Dokumenten geregelt ist, führt dies oft zu widersprüchlichen Regelungen.

=== Maximalanforderungen ===
Ein weiterer häufiger Fehler sind unrealistische Ziele und Anforderungen in Richtlinien, die zwangsläufig zu Regelverstößen oder einer Vielzahl von Ausnahmeregelungen führen. Manchmal ist weniger mehr.

Alle in einem Dokument formulierten Ziele und Anforderungen müssen auch in der Praxis realistisch und mit vertretbarem Aufwand umsetzbar sein.

=== Tote Verweise ===
Verweise auf andere Dokumente sollten sehr sparsam genutzt werden und möglichst in einem Kapitel oder Anhang leicht pflegbar zusammen gefasst sein.

Der Verweis auf ein anderes Dokument sollte nur erfolgen, wenn der Betreff des Verweises ein elementares Kernthema des Dokuments ist, auf das verwiesen wird.

Tiefergehende Verweise auf Kapitel oder Unterkapitel sollten vermieden werden, diese werden auf Dauer nicht pflegbar sein.

=== Unklare Entscheidungen und Beweggründe ===
Insbesondere bei einschränkenden oder aufwendigen Vorgaben und Anweisungen ist es für eine breite Akzeptanz wichtig, dem Leser die Beweggründe zu vermitteln, die zu dieser Vorgabe geführt haben. Nur wenn die Mitarbeitenden verstehen, warum sie dies nicht dürfen oder jenes tun müssen, werden sie solche Vorgaben auch befolgen. Scheinbar unsinnige oder nicht nachvollziehbare Vorgaben - insbesondere wenn sie mit erhöhtem Aufwand verbunden sind - werden gerne mit dem Hinweis auf fehlende Zeit oder Ressourcen ignoriert.

=== Vermischte Dokumenttypen ===
Je nach Herkunft des Verfassers finden sich in Richtlinien oft konkrete technische oder produktspezifische Umsetzungen und in Konzepten oder Betriebshandbüchern allgemeine "könnte", "sollte" und "müsste" Formulierungen.

Dies entspricht nicht dem Charakter der jeweiligen Dokumentart. Eine Richtlinie sollte grundsätzliche Anforderungen und Vorgaben enthalten, ein Konzept oder Betriebshandbuch konkrete Umsetzungen.

== Weitere Tipps für gute Dokumente ==

=== Bedarf prüfen ===
Wird das Dokument wirklich benötigt? Je größer die Anzahl der Dokumente in einer Organisation ist, desto größer ist die Wahrscheinlichkeit, dass sie nicht mehr (alle) gelesen werden. Prüfe daher, ob das Dokument wirklich benötigt wird und wenn ja, ob es wirklich ein eigenes Dokument sein muss, oder ob es nicht ein Dokument zu einem ähnlichen Thema gibt, wo dieses Thema ergänzt werden kann.

=== Klar abgegrenztes Thema ===
Das Thema des Dokuments sollte klar abgegrenzt und beschrieben werden, und das gesamte Dokument sollte sich ausschließlich auf dieses Thema konzentrieren. Dies vermeidet ausufernde Dokumente, die "von Höcksken zu Stöksken" kommen.

Definiere auch den Zweck des Dokuments. Soll es informieren, anleiten, regeln, schulen, Anweisungen geben oder etwas anderes erreichen? Ein klarer Zweck führt zu zielgerichteterem Schreiben.

=== Eindeutigen Titel wählen ===
Der Titel des Dokuments sollte den Inhalt kurz und prägnant wiedergeben, so dass das Thema und die Relevanz des Inhalts aus dem Titel hervorgehen. Dies erleichtert die Suche nach relevanten Dokumenten erheblich.

=== Zielgruppe definieren ===
Die Zielgruppe muss klar definiert sein. Eine Richtlinie, die sich an Anwender richtet, muss anders formuliert werden als eine Richtlinie für Administratoren oder eine Richtlinie für Entscheider und Führungskräfte.

=== Regelungen für Dokumentation beachten ===
Wenn es in der Organisation eine [[RiLi-Dokumentenlenkung|Richtlinie für die Lenkung von Dokumenten]] gibt, muss diese befolgt werden. Diese Richtlinie regelt, wie Dokumente in der Organisation erstellt, geprüft und freigegeben werden.

Gleiches gilt für die Verwendung von eventuell vorhandenen Dokumentvorlagen (Templates) und das Corporate Design der Organisation.

=== Dokument klassifizieren ===
Nicht jedes Dokument ist für die Öffentlichkeit bestimmt. Bereits bei der Erstellung muss berücksichtigt werden, für welche Zielgruppe das Dokument bestimmt ist und ob es sich um öffentliche, interne oder gar sicherheitskritische bzw. vertrauliche Informationen handelt.

=== Logische Struktur und Gliederung ===
Zuerst sollte eine Gliederung mit Überschriften erstellt werden, die die Hauptabschnitte und Unterkategorien der Dokumentation logisch und übersichtlich auflistet, erst dann sollten die einzelnen Abschnitte mit Inhalt gefüllt werden. Eine klare und logische Struktur hilft dem Leser, sich im Dokument zurechtzufinden.

=== Kurz, klar und sachlich schreiben ===
Die Dokumente sollten eine einfache, klare und präzise Sprache verwenden. Fachjargon und ausschmückende Prosa sind zu vermeiden. Generell müssen Sprache, Ausdrucksweise und fachliche Tiefe der Zielgruppe angemessen sein.

=== Rechliche Regelungen, Normen und Standards beachten ===
Die Dokumentation muss alle für das jeweilige Thema oder die Organisation geltenden Gesetze, Regelungen, Normen und Standards berücksichtigen und darf diesen inhaltlich nicht widersprechen.

=== Sinnvolle Visualisierung ===
Ein Bild sagt mehr als tausend Worte. Gerade Prozesse und Abläufe lassen sich mit einem Ablaufdiagramm besser und verständlicher darstellen als mit viel Text.

=== Ablage und Verteilung ===
Die Dokumentation sollte nur in der jeweils gültigen Version in einem geeigneten Format (z.B. PDF) an einem zentralen Ort abgelegt werden, der für die Zielgruppe jederzeit zugänglich und bekannt ist.

Je nach Einstufung der Dokumentation ist der Zugriff auf die jeweils Berechtigten zu beschränken.

Über neue oder überarbeitete Dokumente muss die betroffene Zielgruppe in geeigneter Weise zeitnah informiert werden (Email, Intranet, Gruppenrunden).

Eine Notfalldokumentation muss auch offline verfügbar sein (z.B. als Kopie auf lokalen Geräten oder in Papierform).

=== Behauptungen ===
Dokumente geben in der Regel einen Sachstand wieder. Sachstände sollten, sofern es sich nicht um allgemeingültige Aussagen handelt, für den Leser nachvollziehbar sein. Anderenfalls kann der Adressat eines Dokumentes die Inhalte als Willkür oder als nicht relevant interpretieren.

[[Kategorie:Artikel]]

Dokumentenerstellung

2023-09-11T12:30:56Z

Mario W.: /* Häufige Fehler bei der Erstellung von Dokumenten */

{{#seo:
|title=Hilfe bei der Erstellung von sicherheitsrelevanten Dokumenten
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,Muster,Beispiele,WiKi,Hilfe,Vorlagen,Richtlinien,Leitlinien,Leitfaden,Konzepte,IT-Sicherheit,Dokumente,Dokumentation
|description=Dieser Artikel gibt allgemeine Unterstützung bei der Erstellung sicherheitsrelevanter Dokumente (was schreibe ich wie, warum, für wen?).
}}
Dieser Artikel gibt allgemeine Hinweise und Tipps zur Erstellung sicherheitsrelevanter Dokumente, von der Richtlinie über das Konzept bis zur Checkliste (was schreibe ich wie, warum, für wen?) und zeigt häufige Fehler auf.

== Einleitung ==
Die Erstellung von klarer, verständlicher, aussagekräftiger und qualitativ hochwertiger Dokumentation ist von entscheidender Bedeutung, ob es sich nun um Betriebsdokumentation, Anleitungen und Konzepte oder um organisatorische Richtlinien und Anweisungen handelt. Eine gut erstellte Dokumentation trägt nicht nur zur Effizienz bei, sondern hilft auch, Missverständnisse zu vermeiden und das Wissen innerhalb einer Organisation zu bewahren. Dieser Artikel beschreibt Schritte und bewährte Methoden sowie häufige Fehler bei der Erstellung qualitativ hochwertiger Dokumente, die sowohl den Anforderungen der Zielgruppe als auch den Zielen des Dokuments gerecht werden.

== Begriffsklärung ==
Zum besseren Verständnis hier einige allgemeine Definitionen der häufig verwendeten Begriffe und Dokumentarten.

=== IT-Sicherheit vs. Informationssicherheit ===
In der einschlägigen Literatur werden die beiden Begriffe oft synonym verwendet, aber gibt es einen Unterschied?

Ja, grundsätzlich gilt: Informationssicherheit ist mehr als "nur" IT-Sicherheit.

Der Begriff IT-Sicherheit ist älter und stammt aus den Anfängen der IT. Er ist stärker auf die reine Technik fokussiert und beschreibt häufig die technischen und funktionalen Sicherheitsaspekte der IT. Informationssicherheit hingegen hat einen ganzheitlicheren Ansatz und betrachtet den gesamten Prozess der Informationsverarbeitung, von dem die reine IT nur eine - wenn auch meist große - Teilmenge darstellt.

Moderne Bedrohungen beschränken sich aber längst nicht mehr auf die reine Technik.

=== Dokument vs. Aufzeichnung ===
Ein Dokument und eine Aufzeichnung sind beide schriftliche oder digitale Aufzeichnungen, die im allgemeinen Sprachgebrauch auch beide als Dokumente bezeichnet werden, aber sie haben unterschiedliche Bedeutungen und Verwendungszwecke:

Ein '''Dokument''' ist eine schriftliche oder elektronische Darstellung von Informationen, die bestimmte Inhalte, Daten oder Konzepte aufzeichnet. Dokumente können Texte, Grafiken, Tabellen, Diagramme oder Multimedia-Inhalte enthalten. Sie werden häufig erstellt, um Informationen zu erfassen, zu kommunizieren, zu speichern oder zu teilen. Dokumente können strukturiert oder unstrukturiert sein und verschiedene Formate haben, je nach ihrem Zweck und ihrer Zielgruppe. Beispiele für Dokumente sind Handbücher, Konzepte, Verträge, Richtlinien und andere schriftliche Inhalte.

Eine '''Aufzeichnung''' bezieht sich auf eine dokumentierte oder protokollierte Aufnahme von Informationen, Ereignissen oder Aktivitäten. Aufzeichnungen werden in der Regel erstellt, um Beweise zu liefern, Vorgänge nachzuvollziehen, Abläufe zu überwachen oder rechtliche Anforderungen zu erfüllen. Sie sind oft datums- und zeitgestempelt und können in verschiedenen Formen wie Text, Audio, Video oder elektronischen Datensätzen vorliegen. Beispiele für Aufzeichnungen sind Protokolle, Transaktionsaufzeichnungen oder Checklisten.

Der Hauptunterschied zwischen einem Dokument und einer Aufzeichnung liegt in ihrer Funktion: Ein Dokument dient dazu, Informationen zu präsentieren oder zu vermitteln, während eine Aufzeichnung dazu dient, Ereignisse oder Aktivitäten festzuhalten und später als Nachweis oder Referenz verwendet zu werden.

=== (Geschäfts)Prozess ===
Ein Prozess bezieht sich auf eine geordnete Abfolge von Aktivitäten oder Schritten, die ausgeführt werden, um ein bestimmtes Ziel zu erreichen. Ein '''Geschäftsprozess''' ist eine systematische Abfolge von Aktivitäten, um ein bestimmtes Geschäftsziel zu erreichen.

'''Kernprozesse''' sind die zentralen Prozesse der Organisation, die direkt zur Wertschöpfung beitragen und damit essentiell für das Kerngeschäft sind. Sie stellen die Haupttätigkeiten dar, die die Organisation ausführen muss, um seine Produkte oder Dienstleistungen zu erstellen oder bereitzustellen.

'''Hilfsprozesse''', oder auch Supportprozesse genannt, sind Prozesse, die nicht direkt zur Wertschöpfung beitragen, sondern die Organisation in seiner Tätigkeit unterstützen und optimieren sollen. Sie stellen damit eine indirekte Unterstützung des Kerngeschäfts dar.

=== Anwendung ===
Eine Anwendung (auch als Softwareanwendung oder App abgekürzt) ist eine Software, die entwickelt wurde, um bestimmte Aufgaben oder Funktionen auf einem Computer, Mobilgerät oder anderen elektronischen Geräten auszuführen. Anwendungen reichen von einfachen Textverarbeitungsprogrammen bis hin zu komplexen Anwendungen wie Grafikdesign-Tools, Kommunikations-Apps oder Spiele. Eine Anwendung kann auch aus einem Zusammenspiel mehrerer einzelner Programme bestehen.

=== Verfahren ===
Ein Verfahren bezieht sich auf eine festgelegte Abfolge von Schritten oder Regeln, die befolgt werden, um eine bestimmte Aufgabe, Aktivität oder einen Vorgang durchzuführen. Verfahren sind oft spezifisch und detailliert und dienen dazu, konsistente Ergebnisse zu erzielen und eine effiziente Durchführung von Aufgaben sicherzustellen.

In der Informationssicherheit wird der Begriff "Verfahren" oft als Synonym für "Anwendung" verwendet, wobei das Verfahren mehr auf die Aufgabe (was) und die Anwendung mehr auf die Software (wie) ausgerichtet ist.

=== Programm ===
Ein Programm bezieht sich auf eine Sammlung von Anweisungen oder Befehlen, die in einer bestimmten Programmiersprache geschrieben wurden, um einem Computer oder einer Maschine zu sagen, welche Aufgaben ausgeführt werden sollen. Programme können vielfältig sein, von einfachen Skripten bis hin zu komplexen Softwareanwendungen, die komplexe Aufgaben oder Berechnungen durchführen können.

=== Arten von Dokumenten ===
Je nach Größe der Organisation finden sich typischerweise folgende Arten von Dokumenten

==== Leitlinien ====
Eine Leitlinie ist ein allgemeines, übergeordnetes Dokument, das die grundlegenden Prinzipien, Ziele und Vorgehensweisen für die gesamte Organisation und für ein bestimmtes Thema festlegt und als Leitfaden für Entscheidungen und Maßnahmen dient (z. B. Leitlinie zur Informationssicherheit oder Leitlinie zum Datenschutz). Eine Leitlinie sollte allgemein und unabhängig von konkreten Produkten und technischen Lösungen formuliert werden.

==== Richtlinien ====
Eine Richtlinie ist ein Dokument, das produkt- und verfahrensunabhängig für einen bestimmten Geltungsbereich klare Regeln, Verfahren oder Standards für das Verhalten, die Entscheidungsfindung oder die Aufgabenerfüllung in einer Organisation festlegt. Sie dient als Richtschnur, um einheitliche Vorgehensweisen zu gewährleisten und sicherzustellen, dass die Mitarbeitenden in Übereinstimmung mit den definierten Vorgaben handeln.

==== Konzepte ====
Ein Konzept ist eine strukturierte Darstellung einer Idee oder eines Vorhabens, in der die Ziele, die Vorgehensweise und die möglichen Wege der Umsetzung unter Einhaltung der relevanten Richtlinien beschrieben werden.

Konzepte sind der Ausgangspunkt für eine detailliertere Planung und Umsetzung. Sie ermöglichen es, eine gemeinsame Vision zu entwickeln und sicherzustellen, dass alle Beteiligten das gleiche Verständnis von den Zielen und der Vorgehensweise haben, bevor mit der Umsetzung begonnen wird.

==== Leitfäden ====
Ein Leitfaden ist ein praxisorientiertes Dokument, das Schritt-für-Schritt-Anleitungen, Tipps und Empfehlungen für die Durchführung bestimmter Aufgaben oder Prozesse enthält.

==== Betriebshandbücher ====
Ein Betriebshandbuch ist ein Dokument, das detaillierte Anweisungen, Verfahren und technische Informationen für den Betrieb, die Wartung und die Fehlerbehebung von Systemen oder Geräten enthält. Es konzentriert sich auf die technischen Aspekte eines Systems, einer Anlage oder eines Prozesses. Ein Betriebshandbuch kann Informationen wie technische Spezifikationen, Wartungspläne, Prozessbeschreibungen und Verfahren zur Fehlerbehebung enthalten. Es richtet sich an technisches Personal, das mit der praktischen Durchführung betrieblicher Aufgaben betraut ist.

==== Betriebsführungshandbücher ====
Ein Betriebsführungshandbuch (ggf auch Betriebskonzept) geht über rein technische Aspekte hinaus und umfasst auch (oder nur) organisatorische und verwaltungstechnische Elemente. Es enthält Anweisungen, Verfahren und Vorgaben zur Steuerung und Verwaltung der Betriebsaktivitäten, einschließlich organisatorischer Strukturen, Zuständigkeiten, Kommunikationswege und Koordinationsprozesse. Ein Betriebsführungshandbuch kann Aspekte wie Personalmanagement, Budgetierung, Planung, Koordination zwischen verschiedenen Abteilungen und die Einhaltung von Unternehmensrichtlinien behandeln. Es richtet sich an Führungskräfte und Manager, die die Betriebsführung und -verwaltung verantworten.

==== Anweisungen ====
Eine Anweisung oder Arbeitsanweisung ist ein präzises Dokument, das klare Anweisungen oder Vorgaben für bestimmte Tätigkeiten oder Aufgaben in einer Organisationseinheit enthält.

==== Checklisten ====
Eine Checkliste ist eine strukturierte Liste von Kriterien, die abgehakt werden, um sicherzustellen, dass bestimmte Schritte, Standards oder Anforderungen ggf. auch in einer bestimmten Reihenfolge erfüllt werden.

==== Reports ====
Ein Report ist ein Bericht oder Auszug, der Daten, Informationen, Analysen oder Ergebnisse zu einem bestimmten Thema oder einer spezifischen Untersuchung zusammenfasst und präsentiert.

[[Datei:Pyramide.png|alternativtext=Dokumentenpyramide|rechts|rahmenlos|200x200px]] 

Es kann andere Arten von Dokumenten in der Organisation geben oder bestimmte Arten können nicht vorhanden sein.

Typischerweise sind die einzelnen Dokumentenarten pyramidenförmig gestaffelt, beginnend mit einer oder wenigen organisationsweiten Richtlinien bis hin zu einer Vielzahl von operativen Dokumenten und Aufzeichnungen für jeden einzelnen Prozess.

Auch die technische Komplexität und die Änderungshäufigkeit der Dokumente nehmen nach unten hin zu. 

== Häufige Fehler bei der Erstellung von Dokumenten ==

=== Der Elfenbeinturm ===
Dokumente werden erstellt, ohne sich mit anderen Bereichen abzustimmen. Z.B. wird eine Richtlinie oder ein Konzept von einem externen Berater für die Organisation erstellt und von der Leitung in Kraft gesetzt, ohne diese noch einmal intern in den betroffenen Bereichen abzustimmen oder das Feedback der Fachbereiche wird ignoriert, weil es nicht für relevant gehalten wird. Das ist eine sichere Methode wie es häufig schief geht.

=== Unklare Zielgruppe ===
Wenn nicht klar ist, für wen das Dokument geschrieben ist, können die einen vom Inhalt überfordert sein, die anderen fühlen sich nicht ernst genommen oder zweifeln an der Kompetenz des Verfassers.

=== Zuviel Prosa ===
Dokumente sollten so lang wie nötig und so kurz wie möglich sein. Wer sich durch fünf Seiten einführende Prosa kämpfen muss, um dann erst festzustellen, dass das Dokument für ihn eigentlich nicht relevant ist oder nicht die Information enthält, die er braucht, wird das nächste Dokument dieser Art gleich ungelesen beiseite gelegt.

=== Falsche Ansprache ===
"Der Ton macht die Musik". Oberlehrerhafte oder übergriffige Formulierungen können beim Leser eine natürliche Abwehrhaltung auslösen.

Formulierungen wie z.B:

„Es ist nicht erlaubt...“

„Unterlassen Sie ....“

„Es ist strengstens verboten...“

sollten sparsam eingesetzt und, wo nötig, gut begründet werden.

=== Fehlende Praxisrelevanz ===
Was in der Theorie in einer Richtlinie oder einem Konzept logisch klingt, ist in der Praxis nicht immer umsetzbar.

Ein Satz wie „Es dürfen nur freigegebene USB-Sticks verwendet werden“ liest sich in einer IT-Sicherheitsrichtlinie plausibel. In der Praxis wirft er jedoch viele Fragen auf:
* Was ist ein „freigegebener USB-Stick“ und woran erkenne ich, dass er freigegeben ist?
* Was mache ich, wenn ein Kunde oder Dienstleister einen USB-Stick mit Daten mitbringt? Gibt es ein praktikables Verfahren, wie die Daten darauf sicher in die Organisation gelangen?
* Darf ein „freigegebener USB-Stick“ der Organisation auch von Kunden oder Dienstleistern genutzt werden?
Eine vermeintlich logische und sinnvolle Regelung kann in der Praxis mehr Fragen aufwerfen als Klarheit schaffen.

=== Redundanzen ===
Wenn ein Sachverhalt mehrfach in verschiedenen Dokumenten geregelt ist, führt dies oft zu widersprüchlichen Regelungen.

=== Maximalanforderungen ===
Ein weiterer häufiger Fehler sind unrealistische Ziele und Anforderungen in Richtlinien, die zwangsläufig zu Regelverstößen oder einer Vielzahl von Ausnahmeregelungen führen. Manchmal ist weniger mehr.

Alle in einem Dokument formulierten Ziele und Anforderungen müssen auch in der Praxis realistisch und mit vertretbarem Aufwand umsetzbar sein.

=== Tote Verweise ===
Verweise auf andere Dokumente sollten sehr sparsam genutzt werden und möglichst in einem Kapitel oder Anhang leicht pflegbar zusammen gefasst sein.

Der Verweis auf ein anderes Dokument sollte nur erfolgen, wenn der Betreff des Verweises ein elementares Kernthema des Dokuments ist, auf das verwiesen wird.

Tiefergehende Verweise auf Kapitel oder Unterkapitel sollten vermieden werden, diese werden auf Dauer nicht pflegbar sein.

=== Unklare Entscheidungen und Beweggründe ===
Insbesondere bei einschränkenden oder aufwendigen Vorgaben und Anweisungen ist es für eine breite Akzeptanz wichtig, dem Leser die Beweggründe zu vermitteln, die zu dieser Vorgabe geführt haben. Nur wenn die Mitarbeitenden verstehen, warum sie dies nicht dürfen oder jenes tun müssen, werden sie solche Vorgaben auch befolgen. Scheinbar unsinnige oder nicht nachvollziehbare Vorgaben - insbesondere wenn sie mit erhöhtem Aufwand verbunden sind - werden gerne mit dem Hinweis auf fehlende Zeit oder Ressourcen ignoriert.

=== Vermischte Dokumenttypen ===
Je nach Herkunft des Verfassers finden sich in Richtlinien oft konkrete technische oder produktspezifische Umsetzungen und in Konzepten oder Betriebshandbüchern allgemeine "könnte", "sollte" und "müsste" Formulierungen.

Dies entspricht nicht dem Charakter der jeweiligen Dokumentart. Eine Richtlinie sollte grundsätzliche Anforderungen und Vorgaben enthalten, ein Konzept oder Betriebshandbuch konkrete Umsetzungen.

== Weitere Tipps für gute Dokumente ==

=== Bedarf prüfen ===
Wird das Dokument wirklich benötigt? Je größer die Anzahl der Dokumente in einer Organisation ist, desto größer ist die Wahrscheinlichkeit, dass sie nicht mehr (alle) gelesen werden. Prüfe daher, ob das Dokument wirklich benötigt wird und wenn ja, ob es wirklich ein eigenes Dokument sein muss, oder ob es nicht ein Dokument zu einem ähnlichen Thema gibt, wo dieses Thema ergänzt werden kann.

=== Klar abgegrenztes Thema ===
Das Thema des Dokuments sollte klar abgegrenzt und beschrieben werden, und das gesamte Dokument sollte sich ausschließlich auf dieses Thema konzentrieren. Dies vermeidet ausufernde Dokumente, die "von Höcksken zu Stöksken" kommen.

Definiere auch den Zweck des Dokuments. Soll es informieren, anleiten, regeln, schulen, Anweisungen geben oder etwas anderes erreichen? Ein klarer Zweck führt zu zielgerichteterem Schreiben.

=== Eindeutigen Titel wählen ===
Der Titel des Dokuments sollte den Inhalt kurz und prägnant wiedergeben, so dass das Thema und die Relevanz des Inhalts aus dem Titel hervorgehen. Dies erleichtert die Suche nach relevanten Dokumenten erheblich.

=== Zielgruppe definieren ===
Die Zielgruppe muss klar definiert sein. Eine Richtlinie, die sich an Anwender richtet, muss anders formuliert werden als eine Richtlinie für Administratoren oder eine Richtlinie für Entscheider und Führungskräfte.

=== Regelungen für Dokumentation beachten ===
Wenn es in der Organisation eine [[RiLi-Dokumentenlenkung|Richtlinie für die Lenkung von Dokumenten]] gibt, muss diese befolgt werden. Diese Richtlinie regelt, wie Dokumente in der Organisation erstellt, geprüft und freigegeben werden.

Gleiches gilt für die Verwendung von eventuell vorhandenen Dokumentvorlagen (Templates) und das Corporate Design der Organisation.

=== Dokument klassifizieren ===
Nicht jedes Dokument ist für die Öffentlichkeit bestimmt. Bereits bei der Erstellung muss berücksichtigt werden, für welche Zielgruppe das Dokument bestimmt ist und ob es sich um öffentliche, interne oder gar sicherheitskritische bzw. vertrauliche Informationen handelt.

=== Logische Struktur und Gliederung ===
Zuerst sollte eine Gliederung mit Überschriften erstellt werden, die die Hauptabschnitte und Unterkategorien der Dokumentation logisch und übersichtlich auflistet, erst dann sollten die einzelnen Abschnitte mit Inhalt gefüllt werden. Eine klare und logische Struktur hilft dem Leser, sich im Dokument zurechtzufinden.

=== Kurz, klar und sachlich schreiben ===
Die Dokumente sollten eine einfache, klare und präzise Sprache verwenden. Fachjargon und ausschmückende Prosa sind zu vermeiden. Generell müssen Sprache, Ausdrucksweise und fachliche Tiefe der Zielgruppe angemessen sein.

=== Rechliche Regelungen, Normen und Standards beachten ===
Die Dokumentation muss alle für das jeweilige Thema oder die Organisation geltenden Gesetze, Regelungen, Normen und Standards berücksichtigen und darf diesen inhaltlich nicht widersprechen.

=== Sinnvolle Visualisierung ===
Ein Bild sagt mehr als tausend Worte. Gerade Prozesse und Abläufe lassen sich mit einem Ablaufdiagramm besser und verständlicher darstellen als mit viel Text.

=== Ablage und Verteilung ===
Die Dokumentation sollte nur in der jeweils gültigen Version in einem geeigneten Format (z.B. PDF) an einem zentralen Ort abgelegt werden, der für die Zielgruppe jederzeit zugänglich und bekannt ist.

Je nach Einstufung der Dokumentation ist der Zugriff auf die jeweils Berechtigten zu beschränken.

Über neue oder überarbeitete Dokumente muss die betroffene Zielgruppe in geeigneter Weise zeitnah informiert werden (Email, Intranet, Gruppenrunden).

Eine Notfalldokumentation muss auch offline verfügbar sein (z.B. als Kopie auf lokalen Geräten oder in Papierform).

=== Behauptungen ===
Dokumente geben in der Regel einen Sachstand wieder. Sachstände sollten, sofern es sich nicht um allgemeingültige Aussagen handelt, für den Leser nachvollziehbar sein. Anderenfalls kann der Adressat eines Dokumentes die Inhalte als Willkür oder als nicht relevant interpretieren.

[[Kategorie:Artikel]]

Schutzbedarf

2023-09-01T18:09:01Z

Mario W.: /* Einleitung */

{{#seo:
|title=Durchführung einer Schutzbedarfsfeststellung
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,WiKi,Hilfe,Schutzbedarf,Schutzbedarfsfeststellung,IT-Sicherheit
|description=Verfahren zur Durchführung einer Schutzbedarfsfeststellung für die zu verarbeitenden Informationen.

}}
== Einleitung ==
Ein zentraler Bestandteil bei der Erstellung einer Sicherheitskonzeption nach der Methodik des BSI Standards 200-2 und dem damit verbunden Aufbau eines ISMS ist u.a. die Durchführung einer Schutzbedarfsfeststellung für die zu verarbeitenden Informationen.

Die Schutzbedarfsfeststellung muss für jede(n) Geschäftsprozess und/oder Anwendung getrennt durchgeführt werden und der festgestellte Schutzbedarf vererbt sich auf die folgenden Zielobjekte (Anwendungen, Netze, IT-Systeme) die von dem jeweiligen Geschäftsprozess oder der Anwendung genutzt werden.

Bei Informationsverbünden für die die Basis-Absicherung gewählt wurde, entfällt die Schutzbedarfsfeststellung, da die Basis-Absicherung grundsäztlich von einem Schutzbedarf "normal" in allen Grundwerten ausgeht.

== Grundwerte ==
Die Schutzbedarfsfeststellung erfolgt getrennt für die drei Grundwerte '''Vertraulichkeit''', '''Integrität''' und '''Verfügbarkeit'''.

Vertraulichkeit: Keine unbefugte Kentnisnahme oder Weitergabe von Informationen.

Integrität: Die Korrektheit von Informationen und der Funktionsweise von Systemen.

Verfügbarkeit: Uneingeschränkter Zugriff auf Informationen und Systemen.

Die drei Grundwerte müssen durchgängig getrennt betrachtet werden, da sich diese auch in den Maßnahmen grundlegend unterscheiden.

== Schutzbedarfskategorien ==
Zunächst sind Schutzbedarfskategorien (Schutzstufen) zu definieren. Durch das BSI werden folgende drei Schutzbedarfskategorien vorgeschlagen:

* '''normal''' (Die Schadensauswirkungen sind begrenzt und beherrschbar)
* '''hoch''' (Die Schadensauswirkungen können beträchtlich sein)
* '''sehr hoch''' (Die Schadensauswirkungen können existenzbedrohend sein)

Es können auch hiervon abweichende oder zusätzliche Schutzbedarfskategorien definiert werden. Mehr als 3-4 Schutzstufen erscheint jedoch nicht sinnvoll, da die Einstufung selten an klar definierten Kennzahlen erfolgen kann und daher oft subjektiv geprägt ist.

Die Grenze zwischen "normal" und "hoch" ist zu beachten! Die Kategorie "normal" darf nicht wesentlich von der Beispieldefinition des BSI im Standard 200-2 abweichen, da sich die Anforderungen der Standardabsicherung an dieser Definition orientieren.
Bei unterschiedlicher Benennung der Kategorien muss erkennbar sein, welche Kategorie dem "normal" des BSI-Standards entspricht.

== Schadensszenarien ==
Zur besseren Bewertbarkeit werden die Schutzbedarfe in verschiedenen Schadensszenarien betrachtet. Für jedes Schadensszenario werden die Schutzbedarfskategorien einzeln definiert:
{| class="wikitable"
|+
!
!Schadnsszenario
!normal
!hoch
!sehr hoch
|-
|'''1.'''
|Verstoß gegen Gesetze, Vorschriften, Verträge
|Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen. Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen.
|Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen. Vertragsverletzungen mit hohen Konventionalstrafen.
|Fundamentaler Verstoß gegen Vorschriften und Gesetze. Vertragsverletzungen, deren Haftungsschäden ruinös sind.
|-
|'''2.'''
|Beeinträchtigung des informationellen Selbstbestimmungsrechts (personenbezogene Daten)
|Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.
|Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann.
|Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist.
|-
|'''3.'''
|Beeinträchtigung der persönlichen Unversehrtheit
|Eine Beeinträchtigung erscheint nicht möglich.
|Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.
|Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben.
|-
|'''4.'''
|Beeinträchtigung der Aufgabenerfüllung
|Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden und verstößt gegen keine Verträge, Fristen oder Gesetze.
|Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Es werden lediglich interne Verträge oder Fristen verletzt.
|Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Verträge oder Fristen können nicht mehr erfüllt werden.
|-
|'''5.'''
|Negative Innen- oder Außenwirkung
|Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
|Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
|Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar.
|-
|'''6.'''
|Finanzielle Auswirkungen
|Der finanzielle Schaden bleibt für die Institution tolerabel.
|Der Schaden bewirkt beachtliche finanzielle Verluste, die aber noch innerhalb der Institution aufgefangen werden können.
|Der finanzielle Schaden ist für die Institution existenzbedrohend.
|}

== Vererbungsprinzipen ==
Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden:

====== Maximalprinzip ======
Im Maximumprizip (Standard) wird der jeweils höchste Einzelwert betrachtet, d.h. wenn mehrere unterschiedliche Schutzstufen gemeinsam betrachtet werden, zählt nur die höchste Einzel-Stufe für das Gesamtsystem. Z.B. Nutzen drei Systeme unterschiedlichen Schutzbedarfs im Grundwert Verfügbarkeit eine Netzkomponente, erhält diese gemeinsame Netzkomponente die höchste Schutzbedarfsstufe der drei einzelnen Systeme.

====== Verteilungseffekt ======
Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des Gesamtsystems sinkt.

Z.B.: Wenn der Schutzbedarf eines einzelnen Systems im Grundwert Verfügbarkeit "hoch" ist, davon aber mehrere Systeme vorhanden sind, die sich gegenseitig ersetzen können, kann der Schutzbedarf im Gesamtsystem auf "normal" sinken, da der Ausfall eines einzelnen System im Gesamtsystem kompensiert werden kann.

====== Kumulationseffekt ======
Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem Schutzbedarf "normal", Der Ausfall einer einzelnen Anwendung ist unkritisch. Fällt dagegen der Server aus, fallen auch alle Anwendungen auf dem Server aus, was für das Gesamtsystem kritisch ist, daher bekommt der Server aufgrund des Kumulationseffekts den Schutzbedarf "hoch" auch wenn jede einzelne Anwendung nur einen normalen Schutzbedarf vererbt.

==== Vererbungsprinzipien in der Praxis ====
[[Datei:Vererbung.png|alternativtext=Vererbungsprinzipien|mini|Vererbungsprinzipien]]
Im Beispiel rechts sind die Vererbungsprinzipien grafisch dargestellt.

Der Prozess (P1) benötigt die Anwendungen (A1) und (A2) und vererbt seinen Schutzbedarf 1:1 an beide Anwendungen.

Die Anwendung (A2) läuft auf dem Server (S4) und vererbt ihren Schutzbedarf 1:1 an den Server (S4).

Die Anwendung (A1) läuft lastverteilt auf den Servern (S1, S2, S3). Alle drei Server können sich gegenseitig zu ersetzen. Der Schutzbedarf für den Grundwert Verfügbarkeit verteilt sich auf alle drei Server, da der Ausfall eines Servers nicht zum Ausfall der Anwendung führt, die Anforderungen an die Verfügbarkeit jedes einzelnen Servers also geringer sind als die der Anwendung ('''Verteilungseffekt'''). Die Grundwerte Vertraulichkeit und Integrität bleiben unverändert und vererben sich 1:1 auf jeden der drei Server.

Alle vier Server (S1 bis S4) verwenden den Storage (ST1). Das Storage erbt den Schutzbedarf aller vier Server nach dem '''Maximalprizip'''. D.h. der jeweils höchste einzelne Schutzbedarf der vier Server (S1 bis S4) gilt für das gesamte Storage.

Da der Ausfall des Storage (ST1) zum Ausfall aller vier Server (S1 bis S4) führt (und damit zum Ausfall beider Anwendungen (A1) und (A2)), kommt hier ggf. auch der '''Kumulationseffekt''' zum Tragen. D.h. die einzelnen Schutzbedarfe kumulieren sich im Storage (ST1) und können hier in Summe zu einem höheren Schutzbedarf für den Grundwert Verfügbarkeit führen.

''(In diesem kleinen Beispiel wäre dies in der Praxis nicht relevant, da es nur eine Quelle für den Schutzbedarf gibt, den Prozess (P1) und es keinen Sinn machen würde, dass eine einzelne Komponente einen höheren Schutzbedarf erhält als die zugrunde liegende Information).''

== Schutzbedarfsfeststellung ==

== Auswirkungen auf weitere Schritte ==
Bei einem Schutzbedarf über "normal" muss im Rahmen einer [[RiLi-Risikoanalyse|Riskoanalyse]] festgestellt werden ob die Standard-Anforderungen des Grundschutz ausreichend sind oder ob (und wo) zusätzliche Maßnahmen erforderlich sind.

[[Kategorie:Artikel]]
[[Kategorie:Entwurf]]

Schutzbedarf

2023-09-01T18:08:11Z

Mario W.: /* Einleitung */ Kleinigkeit editiert zum Test.

{{#seo:
|title=Durchführung einer Schutzbedarfsfeststellung
|keywords=ISMS,BSI,IT-Grundschutz,Informationssicherheit,WiKi,Hilfe,Schutzbedarf,Schutzbedarfsfeststellung,IT-Sicherheit
|description=Verfahren zur Durchführung einer Schutzbedarfsfeststellung für die zu verarbeitenden Informationen.

}}
== Einleitung ==
Ein zentraler Bestandteil bei Erstellung einer Sicherheitskonzeption und dem damit verbunden ISMS ist u.a. die Durchführung einer Schutzbedarfsfeststellung für die zu verarbeitenden Informationen.

Die Schutzbedarfsfeststellung muss für jede(n) Geschäftsprozess und/oder Anwendung getrennt durchgeführt werden und der festgestellte Schutzbedarf vererbt sich auf die folgenden Zielobjekte (Anwendungen, Netze, IT-Systeme) die von dem jeweiligen Geschäftsprozess oder der Anwendung genutzt werden.

Bei Informationsverbünden für die die Basis-Absicherung gewählt wurde, entfällt die Schutzbedarfsfeststellung, da die Basis-Absicherung grundsäztlich von einem Schutzbedarf "normal" in allen Grundwerten ausgeht.

== Grundwerte ==
Die Schutzbedarfsfeststellung erfolgt getrennt für die drei Grundwerte '''Vertraulichkeit''', '''Integrität''' und '''Verfügbarkeit'''.

Vertraulichkeit: Keine unbefugte Kentnisnahme oder Weitergabe von Informationen.

Integrität: Die Korrektheit von Informationen und der Funktionsweise von Systemen.

Verfügbarkeit: Uneingeschränkter Zugriff auf Informationen und Systemen.

Die drei Grundwerte müssen durchgängig getrennt betrachtet werden, da sich diese auch in den Maßnahmen grundlegend unterscheiden.

== Schutzbedarfskategorien ==
Zunächst sind Schutzbedarfskategorien (Schutzstufen) zu definieren. Durch das BSI werden folgende drei Schutzbedarfskategorien vorgeschlagen:

* '''normal''' (Die Schadensauswirkungen sind begrenzt und beherrschbar)
* '''hoch''' (Die Schadensauswirkungen können beträchtlich sein)
* '''sehr hoch''' (Die Schadensauswirkungen können existenzbedrohend sein)

Es können auch hiervon abweichende oder zusätzliche Schutzbedarfskategorien definiert werden. Mehr als 3-4 Schutzstufen erscheint jedoch nicht sinnvoll, da die Einstufung selten an klar definierten Kennzahlen erfolgen kann und daher oft subjektiv geprägt ist.

Die Grenze zwischen "normal" und "hoch" ist zu beachten! Die Kategorie "normal" darf nicht wesentlich von der Beispieldefinition des BSI im Standard 200-2 abweichen, da sich die Anforderungen der Standardabsicherung an dieser Definition orientieren.
Bei unterschiedlicher Benennung der Kategorien muss erkennbar sein, welche Kategorie dem "normal" des BSI-Standards entspricht.

== Schadensszenarien ==
Zur besseren Bewertbarkeit werden die Schutzbedarfe in verschiedenen Schadensszenarien betrachtet. Für jedes Schadensszenario werden die Schutzbedarfskategorien einzeln definiert:
{| class="wikitable"
|+
!
!Schadnsszenario
!normal
!hoch
!sehr hoch
|-
|'''1.'''
|Verstoß gegen Gesetze, Vorschriften, Verträge
|Verstöße gegen Vorschriften und Gesetze mit geringfügigen Konsequenzen. Geringfügige Vertragsverletzungen mit maximal geringen Konventionalstrafen.
|Verstöße gegen Vorschriften und Gesetze mit erheblichen Konsequenzen. Vertragsverletzungen mit hohen Konventionalstrafen.
|Fundamentaler Verstoß gegen Vorschriften und Gesetze. Vertragsverletzungen, deren Haftungsschäden ruinös sind.
|-
|'''2.'''
|Beeinträchtigung des informationellen Selbstbestimmungsrechts (personenbezogene Daten)
|Es handelt sich um personenbezogene Daten, durch deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt werden kann.
|Es handelt sich um personenbezogene Daten, bei deren Verarbeitung der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt werden kann.
|Es handelt sich um personenbezogene Daten, bei deren Verarbeitung eine Gefahr für Leib und Leben oder die persönliche Freiheit des Betroffenen gegeben ist.
|-
|'''3.'''
|Beeinträchtigung der persönlichen Unversehrtheit
|Eine Beeinträchtigung erscheint nicht möglich.
|Eine Beeinträchtigung der persönlichen Unversehrtheit kann nicht absolut ausgeschlossen werden.
|Gravierende Beeinträchtigungen der persönlichen Unversehrtheit sind möglich. Gefahr für Leib und Leben.
|-
|'''4.'''
|Beeinträchtigung der Aufgabenerfüllung
|Die Beeinträchtigung würde von den Betroffenen als tolerabel eingeschätzt werden und verstößt gegen keine Verträge, Fristen oder Gesetze.
|Die Beeinträchtigung würde von einzelnen Betroffenen als nicht tolerabel eingeschätzt. Es werden lediglich interne Verträge oder Fristen verletzt.
|Die Beeinträchtigung würde von allen Betroffenen als nicht tolerabel eingeschätzt werden. Verträge oder Fristen können nicht mehr erfüllt werden.
|-
|'''5.'''
|Negative Innen- oder Außenwirkung
|Eine geringe bzw. nur interne Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
|Eine breite Ansehens- oder Vertrauensbeeinträchtigung ist zu erwarten.
|Eine landesweite Ansehens- oder Vertrauensbeeinträchtigung, eventuell sogar existenzgefährdender Art, ist denkbar.
|-
|'''6.'''
|Finanzielle Auswirkungen
|Der finanzielle Schaden bleibt für die Institution tolerabel.
|Der Schaden bewirkt beachtliche finanzielle Verluste, die aber noch innerhalb der Institution aufgefangen werden können.
|Der finanzielle Schaden ist für die Institution existenzbedrohend.
|}

== Vererbungsprinzipen ==
Die folgenden Vererbungsprinzipen des Schutzbedarfs können je nach Bedarf angewendet werden:

====== Maximalprinzip ======
Im Maximumprizip (Standard) wird der jeweils höchste Einzelwert betrachtet, d.h. wenn mehrere unterschiedliche Schutzstufen gemeinsam betrachtet werden, zählt nur die höchste Einzel-Stufe für das Gesamtsystem. Z.B. Nutzen drei Systeme unterschiedlichen Schutzbedarfs im Grundwert Verfügbarkeit eine Netzkomponente, erhält diese gemeinsame Netzkomponente die höchste Schutzbedarfsstufe der drei einzelnen Systeme.

====== Verteilungseffekt ======
Der Verteilungseffekt bedeutet das sich das Risiko über mehrere Systeme verteilen kann und daher die Schutzstufe des Gesamtsystems sinkt.

Z.B.: Wenn der Schutzbedarf eines einzelnen Systems im Grundwert Verfügbarkeit "hoch" ist, davon aber mehrere Systeme vorhanden sind, die sich gegenseitig ersetzen können, kann der Schutzbedarf im Gesamtsystem auf "normal" sinken, da der Ausfall eines einzelnen System im Gesamtsystem kompensiert werden kann.

====== Kumulationseffekt ======
Der Kumulationseffekt ist das Gegenteil vom Verteilungseffekt, hier kann die Kumulation mehrerer Systeme zu einer Erhöhung des Schutzbedarfs des Gesamtsystems führen. Z.B.: Auf einem Server laufen viele Anwendungen mit dem Schutzbedarf "normal", Der Ausfall einer einzelnen Anwendung ist unkritisch. Fällt dagegen der Server aus, fallen auch alle Anwendungen auf dem Server aus, was für das Gesamtsystem kritisch ist, daher bekommt der Server aufgrund des Kumulationseffekts den Schutzbedarf "hoch" auch wenn jede einzelne Anwendung nur einen normalen Schutzbedarf vererbt.

==== Vererbungsprinzipien in der Praxis ====
[[Datei:Vererbung.png|alternativtext=Vererbungsprinzipien|mini|Vererbungsprinzipien]]
Im Beispiel rechts sind die Vererbungsprinzipien grafisch dargestellt.

Der Prozess (P1) benötigt die Anwendungen (A1) und (A2) und vererbt seinen Schutzbedarf 1:1 an beide Anwendungen.

Die Anwendung (A2) läuft auf dem Server (S4) und vererbt ihren Schutzbedarf 1:1 an den Server (S4).

Die Anwendung (A1) läuft lastverteilt auf den Servern (S1, S2, S3). Alle drei Server können sich gegenseitig zu ersetzen. Der Schutzbedarf für den Grundwert Verfügbarkeit verteilt sich auf alle drei Server, da der Ausfall eines Servers nicht zum Ausfall der Anwendung führt, die Anforderungen an die Verfügbarkeit jedes einzelnen Servers also geringer sind als die der Anwendung ('''Verteilungseffekt'''). Die Grundwerte Vertraulichkeit und Integrität bleiben unverändert und vererben sich 1:1 auf jeden der drei Server.

Alle vier Server (S1 bis S4) verwenden den Storage (ST1). Das Storage erbt den Schutzbedarf aller vier Server nach dem '''Maximalprizip'''. D.h. der jeweils höchste einzelne Schutzbedarf der vier Server (S1 bis S4) gilt für das gesamte Storage.

Da der Ausfall des Storage (ST1) zum Ausfall aller vier Server (S1 bis S4) führt (und damit zum Ausfall beider Anwendungen (A1) und (A2)), kommt hier ggf. auch der '''Kumulationseffekt''' zum Tragen. D.h. die einzelnen Schutzbedarfe kumulieren sich im Storage (ST1) und können hier in Summe zu einem höheren Schutzbedarf für den Grundwert Verfügbarkeit führen.

''(In diesem kleinen Beispiel wäre dies in der Praxis nicht relevant, da es nur eine Quelle für den Schutzbedarf gibt, den Prozess (P1) und es keinen Sinn machen würde, dass eine einzelne Komponente einen höheren Schutzbedarf erhält als die zugrunde liegende Information).''

== Schutzbedarfsfeststellung ==

== Auswirkungen auf weitere Schritte ==
Bei einem Schutzbedarf über "normal" muss im Rahmen einer [[RiLi-Risikoanalyse|Riskoanalyse]] festgestellt werden ob die Standard-Anforderungen des Grundschutz ausreichend sind oder ob (und wo) zusätzliche Maßnahmen erforderlich sind.

[[Kategorie:Artikel]]
[[Kategorie:Entwurf]]