Klassifizierung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
| (9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{#seo: | |||
|title=Klassifizierung von Informationen | |||
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition | |||
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft. | |||
}}{{SHORTDESC:Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.}}Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten. | |||
Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B: | |||
* Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen | |||
* Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren | |||
* Informationen nach einem Klassifizierungsschema zu kennzeichnen | |||
* Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln | |||
== Geheimschutz (öffentliche Verwaltung) == | |||
In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt. | |||
Der [[Geheimschutz]] ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten. | |||
Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum [[Geheimschutz]] beschrieben. | |||
== Informationsklassifizierung in der Privatwirtschaft == | |||
In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen). | |||
Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz). | |||
Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| Zeile 37: | Zeile 37: | ||
|} | |} | ||
= Definition der Klassen = | == Definition der Klassen == | ||
Für jede | Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel: | ||
{| class="wikitable" | {| class="wikitable" | ||
| Zeile 63: | Zeile 63: | ||
| style="background-color:#ff6d6d;"| Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen | | style="background-color:#ff6d6d;"| Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen | ||
|- | |- | ||
| '''Cloud''' | | '''Cloud Speicher''' | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;"| beliebig | ||
| style="background-color:#ffffd7;"| nur europäische Cloudspeicher | | style="background-color:#ffffd7;"| nur europäische Cloudspeicher | ||
| Zeile 90: | Zeile 90: | ||
| style="background-color:#afd095;"| beliebig | | style="background-color:#afd095;"| beliebig | ||
| style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden | | style="background-color:#ffffd7;"| nur an ausgewählte Geschäftspartner bzw. Kunden | ||
| style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA | | style="background-color:#ffdbb6;"| Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA* | ||
| style="background-color:#ff6d6d;"| Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA | | style="background-color:#ff6d6d;"| Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA* | ||
|- | |- | ||
| '''Löschung<br>Vernichtung''' | | '''Löschung<br>Vernichtung''' | ||
| Zeile 100: | Zeile 100: | ||
|} | |} | ||
Je nach Organisation | <nowiki>*</nowiki>) <small>Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.</small> | ||
Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar. | |||
Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird. | |||
Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar. | |||
== Lebenszyklusmanagement von Informationen == | |||
Das Lebenszyklusmanagement von Informationen stellt sicher, dass Daten und Dokumente über alle Phasen hinweg – von der Erstellung bis zur Löschung – angemessen geschützt, verwaltet und behandelt werden. Jede Phase im Lebenszyklus von Informationen erfordert spezifische technische und organisatorische Maßnahmen, die sich an der jeweiligen Schutzklasse und den regulatorischen Anforderungen orientieren. | |||
'''Phasen orientierte Maßnahmen:''' | |||
{| class="wikitable" | |||
!Phase | |||
!Maßnahmen | |||
|- | |||
|Erstellung | |||
|Automatische Klassifizierung durch Data Loss Prevention (DLP)-Tools. | |||
|- | |||
|Speicherung | |||
|Verschlüsselung nach Schutzklasse, Zugriffskontrollmatrix. | |||
|- | |||
|Übertragung | |||
|TLS 1.3 für >„intern“, Ende-zu-Ende-Verschlüsselung für >„vertraulich“. | |||
|- | |||
|Archivierung | |||
|Getrennte Speicherzonen, Immutable (unveränderbare) Backups. | |||
|- | |||
|Löschung | |||
|Crypto-Shredding für Cloud-Daten, physische Vernichtung nach DIN 66399. | |||
|} | |||
== Technische und organisatorische Kennzeichnung == | |||
Technische und organisatorische Kennzeichnungen stellen sicher, dass der Schutzbedarf von Informationen jederzeit eindeutig erkennbar ist und entsprechende Maßnahmen konsequent umgesetzt werden. | |||
=== Technische Kennzeichnungstypen === | |||
'''1. Metadaten-Tagging''' | |||
* '''Office-Dokumente''': Nutzung der „Eigenschaften“-Felder in Word/Excel (z.B. „Vertraulich“ im Feld ''Klassifizierung'') | |||
* '''PDF''': Integration von XMP-Metadaten mit Adobe Acrobat | |||
* '''E-Mails''': Header-Erweiterungen wie „Sensitivity: Confidential“ in Outlook | |||
'''2. Digitale Wasserzeichen''' | |||
* '''CAD/Design-Dateien''': Einbettung unsichtbarer Wasserzeichen mit Toolkits wie Digimarc | |||
* '''Bilddateien''': EXIF-Daten mit Klassifizierungsinformationen | |||
'''3. Automatisierte Klassifizierungstools''' | |||
Daten werden anhand vordefinierter Kriterien, wie Schlüsselwörtern, Datenformaten (z. B. Kreditkartennummern) oder Metadaten, automatisch kategorisiert. Diese Methode eignet sich besonders für strukturierte Daten und klar definierte Anwendungsfälle. | |||
* '''KI- und Machine-Learning-basierte Klassifizierung:''' Moderne Tools nutzen maschinelles Lernen und Natural Language Processing (NLP), um Muster und Zusammenhänge in großen, auch unstrukturierten Datenmengen zu erkennen. Die Systeme lernen kontinuierlich dazu, verbessern die Klassifizierungsgenauigkeit und können Kontextinformationen berücksichtigen (z. B. ob eine E-Mail personenbezogene Daten enthält). | |||
* '''Automatisierte Labeling- und Tagging-Prozesse:''' Tools fügen automatisch Klassifizierungskennzeichen (Labels) zu Dateien, Datenbankeinträgen oder E-Mails hinzu. Dies kann in Echtzeit beim Erstellen, Speichern oder Übertragen von Daten erfolgen. | |||
* '''Integration in Datenpipelines und Workflows:''' Klassifizierungen werden direkt während der Datenverarbeitung angewendet, z.B. beim Datenimport, -transfer oder -speicherung in Cloud- und On-Premises-Systemen. So ist gewährleistet, dass sensible Daten frühzeitig erkannt und geschützt werden. | |||
'''4. Physische Kennzeichnung''' | |||
* '''QR-Codes''': Verknüpfung physischer Dokumente mit digitalen Metadaten | |||
* '''Farbcodierung''': Rot = Vertraulich, Grün = Öffentlich (gemäß DIN 23601) | |||
=== Organisatorische Kennzeichnungstypen === | |||
'''1. Standardisierte Kennzeichnungsregeln''' | |||
* '''Papierdokumente''': Beispielhafte Regelung: „Die Vertraulichkeitsstufe wird in der Fußzeile jeder Seite angegeben“ | |||
* '''E-Mails''': Verwendung vordefinierter Betreffzusätze wie '''[INTERN]''' oder '''[VERTRAULICH]''' | |||
'''2. Rollenbasierte Verantwortlichkeiten''' | |||
{| class="wikitable" | |||
!Rolle | |||
!Aufgabe | |||
!Beispiel | |||
|- | |||
|Erstellende | |||
|Initiale Klassifizierung | |||
|Anwendung des 4-Augen-Prinzips | |||
|- | |||
|Prüfinstanz | |||
|Validierung vor Freigabe | |||
|Rechtsabteilung bei Verträgen | |||
|- | |||
|Archivverantwortung | |||
|Überwachung der Langzeitkennzeichnung | |||
|Jahresaudit der Aktenbestände | |||
|} | |||
'''3. Awareness-Maßnahmen''' | |||
* Integration von Klassifizierungsentscheidungen in Schulungen und Phishing-Simulationen | |||
* Praxisübungen mit „Falschkennzeichnungs-Fallen“ in Testdokumenten | |||
== Alternative Kennzeichnungsmethoden == | |||
'''1. Dynamische Klassifizierung''' | |||
* '''Kontextabhängige Regeln''': Automatische Heraufstufung bei Erkennung von Personendaten (z.B. via Regex-Muster) | |||
* '''Zeitgesteuerte Degradierung''': Automatische Herabstufung nach Projektende | |||
'''2. Mehrdimensionale Modelle''' | |||
{| class="wikitable" | |||
!Dimension | |||
!Ausprägungen | |||
!Anwendungsfall | |||
|- | |||
|Vertraulichkeit | |||
|Öffentlich/Intern/Vertraulich | |||
|Standarddokumente | |||
|- | |||
|Kritikalität | |||
|Niedrig/Mittel/Hoch | |||
|Geschäftskontinuität | |||
|- | |||
|Compliance | |||
|DSGVO/PCI-DSS/KWG | |||
|Regulatorische Anforderungen | |||
|} | |||
'''3. Blockchain-basierte Nachverfolgung''' | |||
* Immutable Logs der Klassifizierungsänderungen | |||
* Smart Contracts für automatische Zugriffskontrolle | |||
== Umgang mit Mischbeständen und Aggregation == | |||
Der Umgang mit Mischbeständen und die Aggregation von Informationen stellen besondere Herausforderungen für die Informationssicherheit dar, da sich durch die Zusammenführung und Auswertung von Einzelinformationen der Schutzbedarf und das Risiko signifikant verändern können. | |||
'''Risikominimierung:''' | |||
Die konsequente Umsetzung des '''Need-to-Know-Prinzip'''s ist essenziell: Nur Personen, die für ihre Aufgaben zwingend Zugriff auf bestimmte Daten benötigen, erhalten entsprechende Berechtigungen. Dies reduziert die Angriffsfläche und minimiert das Risiko von Datenmissbrauch oder unbefugtem Zugriff deutlich. Ergänzend sorgt die '''Data Minimization''' dafür, dass nur die tatsächlich erforderlichen Daten erhoben, verarbeitet und gespeichert werden. Dadurch wird die Menge potenziell schutzbedürftiger Informationen von vornherein begrenzt. | |||
Gerade bei Mischbeständen – also Datenbeständen mit unterschiedlichen Schutzklassen – ist eine regelmäßige Überprüfung und Anpassung der Klassifizierung erforderlich. Wenn beispielsweise Einzeldaten mit niedrigerem Schutzbedarf („intern“) durch Aggregation zu einem Bericht mit höherem Schutzbedarf („vertraulich“) zusammengeführt werden, muss die Schutzklasse des Gesamtdokuments entsprechend angehoben werden. Daraus resultieren strengere Zugriffsbeschränkungen, etwa nur für Projektmitglieder, und gegebenenfalls zusätzliche technische Maßnahmen wie Verschlüsselung oder Protokollierung der Zugriffe. | |||
Die Aggregation von Daten kann verschiedene Formen annehmen, etwa zeitbasierte, räumliche oder attributbasierte Zusammenfassungen. Bei jeder Form der Aggregation ist zu prüfen, ob durch die Zusammenführung von Einzelinformationen neue Risiken entstehen, beispielsweise die Möglichkeit, Rückschlüsse auf Einzelpersonen zu ziehen oder sensible Zusammenhänge offenzulegen. Deshalb sind technische Maßnahmen wie automatisierte Klassifizierung und organisatorische Vorgaben zur regelmäßigen Überprüfung der Schutzklassen unerlässlich. | |||
== Einbindung in das ISMS und Verantwortlichkeiten == | |||
Die Einbindung der Informationsklassifizierung in das Informationssicherheits-Managementsystem (ISMS) ist entscheidend, um eine konsistente und wirksame Umsetzung im gesamten Unternehmen sicherzustellen. Klare Verantwortlichkeiten und regelmäßige Überprüfungen sind dabei unerlässlich. | |||
'''Rollenmatrix:''' | |||
{| class="wikitable" | |||
!Rolle | |||
!Verantwortlichkeit | |||
|- | |||
|Information Owner | |||
|Verantwortlich für die Festlegung der Schutzklasse einzelner Informationen oder Dokumente. Der Information Owner beurteilt den Schutzbedarf anhand der Vorgaben und trägt die Verantwortung für die korrekte Einstufung und laufende Überprüfung. | |||
|- | |||
|CISO | |||
|Trägt die Gesamtverantwortung für den Klassifizierungsprozess im Unternehmen. Dazu gehören die Entwicklung und Pflege der Klassifizierungsrichtlinien, die Kontrolle der Einhaltung sowie die Initiierung von Verbesserungsmaßnahmen. | |||
|- | |||
|Fachbereichsleitung | |||
|Sorgt für die Bereitstellung der notwendigen Ressourcen, insbesondere für die Durchführung von Schulungen und Sensibilisierungsmaßnahmen. Die Fachbereichsleitung unterstützt den Information Owner bei der Umsetzung der Vorgaben im jeweiligen Verantwortungsbereich. | |||
|} | |||
'''Prozessüberwachung:''' | |||
Um die Wirksamkeit und Angemessenheit der Informationsklassifizierung sicherzustellen, sind regelmäßige Kontrollen erforderlich. | |||
Quartalsweise Audits der Klassifizierungspraxis dienen dazu, die Einhaltung der Richtlinien zu überprüfen, Schwachstellen zu identifizieren und Optimierungspotenziale aufzudecken. Die Ergebnisse der Audits werden dokumentiert, bewertet und fließen in den kontinuierlichen Verbesserungsprozess des ISMS ein. | |||
Zusätzlich zu den Audits sollten die Verantwortlichkeiten und Prozesse regelmäßig auf Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst werden, um auf veränderte Anforderungen oder neue Risiken zeitnah reagieren zu können. Eine klare Dokumentation und Kommunikation der Rollen und Verantwortlichkeiten ist dabei essenziell, um Transparenz und Nachvollziehbarkeit im Klassifizierungsprozess zu gewährleisten. | |||
== Sensibilisierung und Schulung == | |||
Sensibilisierung und Schulung sind zentrale Elemente, um das Bewusstsein für den richtigen Umgang mit klassifizierten Informationen in der Organisation zu stärken. Nur wenn alle Mitarbeitenden die Bedeutung der Informationsklassifizierung und die damit verbundenen Anforderungen kennen, können Schutzmaßnahmen effektiv umgesetzt werden. Regelmäßige Trainings und praxisnahe Schulungen tragen dazu bei, Fehlverhalten zu vermeiden und die Sicherheitskultur nachhaltig zu fördern. | |||
'''E-Learning-Inhalte:''' | |||
* Interaktive Fallbeispiele zur Klassifizierungsentscheidung | |||
* Phishing-Simulationen mit klassifizierten Inhalten | |||
'''Schulungsformate:''' | |||
* Jährliche Präsenzschulungen für Führungskräfte | |||
* Microlearning-Module für neue Mitarbeitende | |||
* Gamification-Ansätze für Awareness-Training | |||
== Umgang mit externen Partnern und Lieferketten == | |||
Der Umgang mit externen Partnern und Lieferketten erfordert besondere Sorgfalt, da sensible Informationen auch außerhalb des eigenen Unternehmens geschützt werden müssen. Klare vertragliche Regelungen und abgestimmte Sicherheitsanforderungen sind notwendig, um den Schutzbedarf über Unternehmensgrenzen hinweg sicherzustellen. | |||
'''Vertragsgestaltung:''' | |||
* Klauseln zur Informationsklassifizierung in NDAs | |||
* Zertifizierungsanforderungen (ISO 27001, TISAX) für kritische Partner | |||
'''Lieferantenbewertung:''' | |||
# Klassifizierung der zu übertragenden Daten | |||
# Due Diligence Prüfung der Sicherheitsmaßnahmen | |||
# Regelmäßige Audits vor Ort | |||
== Automatisierung und technische Unterstützung == | |||
Automatisierung und technische Unterstützung erleichtern die konsequente Umsetzung von Klassifizierungsrichtlinien im Arbeitsalltag. Durch den Einsatz spezialisierter Tools können Fehlerquellen reduziert und die Einhaltung von Schutzmaßnahmen effizient überwacht werden. | |||
'''Tool-Landschaft:''' | |||
{| class="wikitable" | |||
!Kategorie | |||
!Beispiele | |||
!Einsatzgebiet | |||
|- | |||
|DLP-Lösungen | |||
|Symantec, Forcepoint | |||
|Echtzeit-Klassifizierung | |||
|- | |||
|CASB | |||
|McAfee MVISION, Netskope | |||
|Cloud-Daten | |||
|- | |||
|Dokumentenmanagement | |||
|OpenText, SharePoint | |||
|Metadatenverwaltung | |||
|- | |||
|KI-basierte Tools | |||
|Microsoft Purview, AWS Macie | |||
|Unstrukturierte Daten | |||
|} | |||
'''Integrationsbeispiel:''' | |||
* Physical Labeling mit QR-Codes für Papierdokumente | |||
* Regelmäßige Bereinigung von Dokumentensammlungen | |||
* Nutzung von Sicherheitsstempeln für kombinierte Dokumente | |||
* Automatisierte Compliance-Checks via SIEM-Lösungen | |||
* Rechtliche Folgen von Fehlklassifizierungen (z.B. §203 StGB) | |||
* Drittlandübermittlung nur nach EU-Standardvertragsklauseln | |||
[[Kategorie:Artikel]] | |||
[[Kategorie:KMU]] | |||
Aktuelle Version vom 11. Mai 2025, 14:04 Uhr
Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.
Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:
- Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen
- Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren
- Informationen nach einem Klassifizierungsschema zu kennzeichnen
- Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln
Geheimschutz (öffentliche Verwaltung)
In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt.
Der Geheimschutz ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten.
Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.
Informationsklassifizierung in der Privatwirtschaft
In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).
Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz).
Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet
| DE: | öffentlich | intern | vertraulich | streng vertraulich |
|---|---|---|---|---|
| EN: | public | restricted | confidential | secret |
Definition der Klassen
Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel:
| öffentlich nicht klassifiziert |
intern | vertraulich | streng vertraulich | |
|---|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Telefonlisten, Raumpläne, Geschäftsverteilungsplan | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten | Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) | Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen | Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen |
| Cloud Speicher | beliebig | nur europäische Cloudspeicher | nur zusätzlich Verschlüsselt | nicht erlaubt |
| Mobile Speicher |
beliebig | nur zusätzlich Verschlüsselt | nur auf freigegebene verschlüsselte Datenträger | nicht erlaubt |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) | nur mit Zustimmung der Geschäftsleitung |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag | Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA* | Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA* |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 | gem. DIN66399 Sicherheitsklasse 3 |
*) Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.
Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar.
Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird.
Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar.
Lebenszyklusmanagement von Informationen
Das Lebenszyklusmanagement von Informationen stellt sicher, dass Daten und Dokumente über alle Phasen hinweg – von der Erstellung bis zur Löschung – angemessen geschützt, verwaltet und behandelt werden. Jede Phase im Lebenszyklus von Informationen erfordert spezifische technische und organisatorische Maßnahmen, die sich an der jeweiligen Schutzklasse und den regulatorischen Anforderungen orientieren.
Phasen orientierte Maßnahmen:
| Phase | Maßnahmen |
|---|---|
| Erstellung | Automatische Klassifizierung durch Data Loss Prevention (DLP)-Tools. |
| Speicherung | Verschlüsselung nach Schutzklasse, Zugriffskontrollmatrix. |
| Übertragung | TLS 1.3 für >„intern“, Ende-zu-Ende-Verschlüsselung für >„vertraulich“. |
| Archivierung | Getrennte Speicherzonen, Immutable (unveränderbare) Backups. |
| Löschung | Crypto-Shredding für Cloud-Daten, physische Vernichtung nach DIN 66399. |
Technische und organisatorische Kennzeichnung
Technische und organisatorische Kennzeichnungen stellen sicher, dass der Schutzbedarf von Informationen jederzeit eindeutig erkennbar ist und entsprechende Maßnahmen konsequent umgesetzt werden.
Technische Kennzeichnungstypen
1. Metadaten-Tagging
- Office-Dokumente: Nutzung der „Eigenschaften“-Felder in Word/Excel (z.B. „Vertraulich“ im Feld Klassifizierung)
- PDF: Integration von XMP-Metadaten mit Adobe Acrobat
- E-Mails: Header-Erweiterungen wie „Sensitivity: Confidential“ in Outlook
2. Digitale Wasserzeichen
- CAD/Design-Dateien: Einbettung unsichtbarer Wasserzeichen mit Toolkits wie Digimarc
- Bilddateien: EXIF-Daten mit Klassifizierungsinformationen
3. Automatisierte Klassifizierungstools
Daten werden anhand vordefinierter Kriterien, wie Schlüsselwörtern, Datenformaten (z. B. Kreditkartennummern) oder Metadaten, automatisch kategorisiert. Diese Methode eignet sich besonders für strukturierte Daten und klar definierte Anwendungsfälle.
- KI- und Machine-Learning-basierte Klassifizierung: Moderne Tools nutzen maschinelles Lernen und Natural Language Processing (NLP), um Muster und Zusammenhänge in großen, auch unstrukturierten Datenmengen zu erkennen. Die Systeme lernen kontinuierlich dazu, verbessern die Klassifizierungsgenauigkeit und können Kontextinformationen berücksichtigen (z. B. ob eine E-Mail personenbezogene Daten enthält).
- Automatisierte Labeling- und Tagging-Prozesse: Tools fügen automatisch Klassifizierungskennzeichen (Labels) zu Dateien, Datenbankeinträgen oder E-Mails hinzu. Dies kann in Echtzeit beim Erstellen, Speichern oder Übertragen von Daten erfolgen.
- Integration in Datenpipelines und Workflows: Klassifizierungen werden direkt während der Datenverarbeitung angewendet, z.B. beim Datenimport, -transfer oder -speicherung in Cloud- und On-Premises-Systemen. So ist gewährleistet, dass sensible Daten frühzeitig erkannt und geschützt werden.
4. Physische Kennzeichnung
- QR-Codes: Verknüpfung physischer Dokumente mit digitalen Metadaten
- Farbcodierung: Rot = Vertraulich, Grün = Öffentlich (gemäß DIN 23601)
Organisatorische Kennzeichnungstypen
1. Standardisierte Kennzeichnungsregeln
- Papierdokumente: Beispielhafte Regelung: „Die Vertraulichkeitsstufe wird in der Fußzeile jeder Seite angegeben“
- E-Mails: Verwendung vordefinierter Betreffzusätze wie [INTERN] oder [VERTRAULICH]
2. Rollenbasierte Verantwortlichkeiten
| Rolle | Aufgabe | Beispiel |
|---|---|---|
| Erstellende | Initiale Klassifizierung | Anwendung des 4-Augen-Prinzips |
| Prüfinstanz | Validierung vor Freigabe | Rechtsabteilung bei Verträgen |
| Archivverantwortung | Überwachung der Langzeitkennzeichnung | Jahresaudit der Aktenbestände |
3. Awareness-Maßnahmen
- Integration von Klassifizierungsentscheidungen in Schulungen und Phishing-Simulationen
- Praxisübungen mit „Falschkennzeichnungs-Fallen“ in Testdokumenten
Alternative Kennzeichnungsmethoden
1. Dynamische Klassifizierung
- Kontextabhängige Regeln: Automatische Heraufstufung bei Erkennung von Personendaten (z.B. via Regex-Muster)
- Zeitgesteuerte Degradierung: Automatische Herabstufung nach Projektende
2. Mehrdimensionale Modelle
| Dimension | Ausprägungen | Anwendungsfall |
|---|---|---|
| Vertraulichkeit | Öffentlich/Intern/Vertraulich | Standarddokumente |
| Kritikalität | Niedrig/Mittel/Hoch | Geschäftskontinuität |
| Compliance | DSGVO/PCI-DSS/KWG | Regulatorische Anforderungen |
3. Blockchain-basierte Nachverfolgung
- Immutable Logs der Klassifizierungsänderungen
- Smart Contracts für automatische Zugriffskontrolle
Umgang mit Mischbeständen und Aggregation
Der Umgang mit Mischbeständen und die Aggregation von Informationen stellen besondere Herausforderungen für die Informationssicherheit dar, da sich durch die Zusammenführung und Auswertung von Einzelinformationen der Schutzbedarf und das Risiko signifikant verändern können.
Risikominimierung:
Die konsequente Umsetzung des Need-to-Know-Prinzips ist essenziell: Nur Personen, die für ihre Aufgaben zwingend Zugriff auf bestimmte Daten benötigen, erhalten entsprechende Berechtigungen. Dies reduziert die Angriffsfläche und minimiert das Risiko von Datenmissbrauch oder unbefugtem Zugriff deutlich. Ergänzend sorgt die Data Minimization dafür, dass nur die tatsächlich erforderlichen Daten erhoben, verarbeitet und gespeichert werden. Dadurch wird die Menge potenziell schutzbedürftiger Informationen von vornherein begrenzt.
Gerade bei Mischbeständen – also Datenbeständen mit unterschiedlichen Schutzklassen – ist eine regelmäßige Überprüfung und Anpassung der Klassifizierung erforderlich. Wenn beispielsweise Einzeldaten mit niedrigerem Schutzbedarf („intern“) durch Aggregation zu einem Bericht mit höherem Schutzbedarf („vertraulich“) zusammengeführt werden, muss die Schutzklasse des Gesamtdokuments entsprechend angehoben werden. Daraus resultieren strengere Zugriffsbeschränkungen, etwa nur für Projektmitglieder, und gegebenenfalls zusätzliche technische Maßnahmen wie Verschlüsselung oder Protokollierung der Zugriffe.
Die Aggregation von Daten kann verschiedene Formen annehmen, etwa zeitbasierte, räumliche oder attributbasierte Zusammenfassungen. Bei jeder Form der Aggregation ist zu prüfen, ob durch die Zusammenführung von Einzelinformationen neue Risiken entstehen, beispielsweise die Möglichkeit, Rückschlüsse auf Einzelpersonen zu ziehen oder sensible Zusammenhänge offenzulegen. Deshalb sind technische Maßnahmen wie automatisierte Klassifizierung und organisatorische Vorgaben zur regelmäßigen Überprüfung der Schutzklassen unerlässlich.
Einbindung in das ISMS und Verantwortlichkeiten
Die Einbindung der Informationsklassifizierung in das Informationssicherheits-Managementsystem (ISMS) ist entscheidend, um eine konsistente und wirksame Umsetzung im gesamten Unternehmen sicherzustellen. Klare Verantwortlichkeiten und regelmäßige Überprüfungen sind dabei unerlässlich.
Rollenmatrix:
| Rolle | Verantwortlichkeit |
|---|---|
| Information Owner | Verantwortlich für die Festlegung der Schutzklasse einzelner Informationen oder Dokumente. Der Information Owner beurteilt den Schutzbedarf anhand der Vorgaben und trägt die Verantwortung für die korrekte Einstufung und laufende Überprüfung. |
| CISO | Trägt die Gesamtverantwortung für den Klassifizierungsprozess im Unternehmen. Dazu gehören die Entwicklung und Pflege der Klassifizierungsrichtlinien, die Kontrolle der Einhaltung sowie die Initiierung von Verbesserungsmaßnahmen. |
| Fachbereichsleitung | Sorgt für die Bereitstellung der notwendigen Ressourcen, insbesondere für die Durchführung von Schulungen und Sensibilisierungsmaßnahmen. Die Fachbereichsleitung unterstützt den Information Owner bei der Umsetzung der Vorgaben im jeweiligen Verantwortungsbereich. |
Prozessüberwachung:
Um die Wirksamkeit und Angemessenheit der Informationsklassifizierung sicherzustellen, sind regelmäßige Kontrollen erforderlich.
Quartalsweise Audits der Klassifizierungspraxis dienen dazu, die Einhaltung der Richtlinien zu überprüfen, Schwachstellen zu identifizieren und Optimierungspotenziale aufzudecken. Die Ergebnisse der Audits werden dokumentiert, bewertet und fließen in den kontinuierlichen Verbesserungsprozess des ISMS ein.
Zusätzlich zu den Audits sollten die Verantwortlichkeiten und Prozesse regelmäßig auf Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst werden, um auf veränderte Anforderungen oder neue Risiken zeitnah reagieren zu können. Eine klare Dokumentation und Kommunikation der Rollen und Verantwortlichkeiten ist dabei essenziell, um Transparenz und Nachvollziehbarkeit im Klassifizierungsprozess zu gewährleisten.
Sensibilisierung und Schulung
Sensibilisierung und Schulung sind zentrale Elemente, um das Bewusstsein für den richtigen Umgang mit klassifizierten Informationen in der Organisation zu stärken. Nur wenn alle Mitarbeitenden die Bedeutung der Informationsklassifizierung und die damit verbundenen Anforderungen kennen, können Schutzmaßnahmen effektiv umgesetzt werden. Regelmäßige Trainings und praxisnahe Schulungen tragen dazu bei, Fehlverhalten zu vermeiden und die Sicherheitskultur nachhaltig zu fördern.
E-Learning-Inhalte:
- Interaktive Fallbeispiele zur Klassifizierungsentscheidung
- Phishing-Simulationen mit klassifizierten Inhalten
Schulungsformate:
- Jährliche Präsenzschulungen für Führungskräfte
- Microlearning-Module für neue Mitarbeitende
- Gamification-Ansätze für Awareness-Training
Umgang mit externen Partnern und Lieferketten
Der Umgang mit externen Partnern und Lieferketten erfordert besondere Sorgfalt, da sensible Informationen auch außerhalb des eigenen Unternehmens geschützt werden müssen. Klare vertragliche Regelungen und abgestimmte Sicherheitsanforderungen sind notwendig, um den Schutzbedarf über Unternehmensgrenzen hinweg sicherzustellen.
Vertragsgestaltung:
- Klauseln zur Informationsklassifizierung in NDAs
- Zertifizierungsanforderungen (ISO 27001, TISAX) für kritische Partner
Lieferantenbewertung:
- Klassifizierung der zu übertragenden Daten
- Due Diligence Prüfung der Sicherheitsmaßnahmen
- Regelmäßige Audits vor Ort
Automatisierung und technische Unterstützung
Automatisierung und technische Unterstützung erleichtern die konsequente Umsetzung von Klassifizierungsrichtlinien im Arbeitsalltag. Durch den Einsatz spezialisierter Tools können Fehlerquellen reduziert und die Einhaltung von Schutzmaßnahmen effizient überwacht werden.
Tool-Landschaft:
| Kategorie | Beispiele | Einsatzgebiet |
|---|---|---|
| DLP-Lösungen | Symantec, Forcepoint | Echtzeit-Klassifizierung |
| CASB | McAfee MVISION, Netskope | Cloud-Daten |
| Dokumentenmanagement | OpenText, SharePoint | Metadatenverwaltung |
| KI-basierte Tools | Microsoft Purview, AWS Macie | Unstrukturierte Daten |
Integrationsbeispiel:
- Physical Labeling mit QR-Codes für Papierdokumente
- Regelmäßige Bereinigung von Dokumentensammlungen
- Nutzung von Sicherheitsstempeln für kombinierte Dokumente
- Automatisierte Compliance-Checks via SIEM-Lösungen
- Rechtliche Folgen von Fehlklassifizierungen (z.B. §203 StGB)
- Drittlandübermittlung nur nach EU-Standardvertragsklauseln
