Klassifizierung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
{{#seo:
|title=Klassifizierung von Informationen
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}{{SHORTDESC:Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.}}Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.


== Klassifizierung von Informationen ==
Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:


Organisationen haben die Herausforderung, dass Informationen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jedermann zugänglich sein sollten.
* Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen
 
* Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren
Die ergibt sich teilweise auch aus gesetzlichen oder normativen Anforderungen wie dem Geheimschutz, Datenschutz, der ISO 27001 oder dem BSI IT-Grundschutz. Die Anforderungen sind z.B.:
* Informationen nach einem Klassifizierungsschema zu kennzeichnen
* Informationen ein angemessenes Schutzniveau entsprechend einer Schutzbedarfsfeststellung zu geben
* Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln
* Informationen gemäß der Bedeutung für die Organisation zu klassifizieren
* Informationen entsprechend einem Klassifizierungsschema zu kennzeichnen
* Verfahren für die Handhabung der Informationen gemäß dem Klassifizierungsschema zu entwickeln


== Geheimschutz (öffentliche Verwaltung) ==
== Geheimschutz (öffentliche Verwaltung) ==


In Deutschland gibt es für den Bereich der öffentlichen Verwaltung Rechtsgrundlagen für die Klassifizierung geheimschutzrelevanter Informationen (Verschlusssachen). Diese sind u.a. im Sicherheitsüberprüfungsgesetz (SÜG) und in Verschlusssachenanweisungen (VSA) geregelt.
In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt.


Der [[Geheimschutz]] ist ein sehr spezielles Thema das nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Geheimschutzklassifizierung gern für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" titulieren, so hat dies mit Geheimschutz im rechtlichem Sinne tatsächlich meist nichts zu tun.
Der [[Geheimschutz]] ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten.
Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Genauso wenig wie die meisten Organisationen weder technisch und organisatorisch ausgestattet sind, diese Informationen rechtskonform zu speichern oder zu verarbeiten.


Näheres zum Thema Geheimschutz ist in einem eigenen Artikel zum [[Geheimschutz]] beschrieben.
Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum [[Geheimschutz]] beschrieben.


== Informationsklassifizierung in der Privatwirtschaft ==
== Informationsklassifizierung in der Privatwirtschaft ==


In der Privatwirtschaft gibt es -wie auch in der allgemeinen öffentlichen Verwaltung- keine unmittelbar entsprechende rechtliche Grundlage für die Klassifizierung von Informationen (ausgenommen ein Privatunternehmen oder eine öffentliche Stelle arbeitet im Auftrage einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).
In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).


Der Bedarf einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z.B. dem Datenschutz).
Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz).
 
Üblicherweise werden im privaten und nicht geheimschutzrelevanten Bereich die folgenden Klassen verwendet:


Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet
{| class="wikitable"
{| class="wikitable"
|-
|-
Zeile 37: Zeile 37:
|}
|}


= Definition der Klassen =
== Definition der Klassen ==


Für jede Klasse von Informationen muss definiert sein, welche Informationen darunter fallen und unter welchen Voraussetzungen diese Informationen erfasst, verarbeitet Übermittelt und gelöscht werden dürfen. Die jeweiligen Definitionen sind je nach Organisation und der von ihr verarbeiteten Informationen unterschiedlich und müssen dem Bedarf der Organisation angepasst werden. Hier ein Beispiel:
Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel:


{| class="wikitable"
{| class="wikitable"
Zeile 63: Zeile 63:
| style="background-color:#ff6d6d;"| Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen
| style="background-color:#ff6d6d;"| Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen
|-
|-
| '''Cloud'''  
| '''Cloud Speicher'''
| style="background-color:#afd095;"| beliebig  
| style="background-color:#afd095;"| beliebig  
| style="background-color:#ffffd7;"| nur europäische Cloudspeicher  
| style="background-color:#ffffd7;"| nur europäische Cloudspeicher  
Zeile 90: Zeile 90:
| style="background-color:#afd095;"| beliebig
| style="background-color:#afd095;"| beliebig
| style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden  
| style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden  
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA*
| style="background-color:#ff6d6d;"| Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA
| style="background-color:#ff6d6d;"| Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA*
|-
|-
| '''Löschung<br>Vernichtung'''  
| '''Löschung<br>Vernichtung'''  
Zeile 100: Zeile 100:
|}
|}


Je nach Organisation sind ggf. auch drei Stufen ausreichend. Eine feinere Aufspaltung (mehr als vier Stufen) führt nur zu erheblicher Komplexität und eher dazu, dass das System nicht mehr beherrschbar wird.
<nowiki>*</nowiki>) <small>Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.</small>
 
Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar.


Zusätzlich muss noch definiert werden, welche Informationen klassifiziert werden müssen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) entfällt die Kennzeichnung üblicherweise, daher wird diese auch häufig als "nicht klassifiziert" bezeichnet.
Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird.


Insbesondere die Kennzeichnung von digitalen -nicht textlichen- Informationen stellt eine Herausforderung dar.
Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar.
[[Kategorie:Artikel]]
[[Kategorie:Artikel]]

Aktuelle Version vom 2. August 2024, 14:45 Uhr

Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.

Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:

  • Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen
  • Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren
  • Informationen nach einem Klassifizierungsschema zu kennzeichnen
  • Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln

Geheimschutz (öffentliche Verwaltung)

In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt.

Der Geheimschutz ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten.

Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.

Informationsklassifizierung in der Privatwirtschaft

In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).

Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz).

Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet

DE: öffentlich intern vertraulich streng vertraulich
EN: public restricted confidential secret

Definition der Klassen

Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel:

öffentlich
nicht klassifiziert
intern vertraulich streng vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Telefonlisten, Raumpläne, Geschäftsverteilungsplan Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten
Kenntnis jeder Mitarbeiter
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung)
Ablage beliebig nur auf internen Systemen der Organisation nur in zugriffsgeschützten Bereichen Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen
Cloud Speicher beliebig nur europäische Cloudspeicher nur zusätzlich Verschlüsselt nicht erlaubt
Mobile
Speicher
beliebig nur zusätzlich Verschlüsselt nur auf freigegebene verschlüsselte Datenträger nicht erlaubt
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) nur mit Zustimmung der Geschäftsleitung
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA* Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA*
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2 gem. DIN66399 Sicherheitsklasse 3

*) Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.

Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar.

Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird.

Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar.