Geheimschutz: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(10 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{#seo:
|title=Geheimschutz Klassifizierung von Informationen
|keywords=ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}{{SHORTDESC:Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.}}
[[Datei:Rubber-stamp-2340247.png|rechts|160x160px|Top Secret]]Geheimschutz zielt darauf ab, staatlich eingestufte und schützenswerte Informationen vor unbefugtem Zugriff, Veränderung oder Zerstörung zu schützen, da ein Schaden dieser Informationen den Staat negativ beeinflussen könnte. Anders als in der allgemeinen Informationssicherheit sind die Schutzmaßnahmen im Geheimschutz oft zwingend und nicht risikoorientiert, was die Umsetzung in der Wirtschaft aufwändig machen kann. Die Einstufung und der Schutzbedarf solcher Informationen werden beispielsweise in Deutschland durch das Sicherheitsüberprüfungsgesetz (SÜG) geregelt.
== Einleitung ==
== Einleitung ==
Geheimschutz bezieht sich auf Maßnahmen, die ergriffen werden, um vertrauliche oder geheime Informationen und Daten vor unbefugtem Zugriff, Missbrauch, Verlust oder Zerstörung zu schützen. Es umfasst sowohl administrative, technische und physische Schutzmaßnahmen, die darauf abzielen, die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen sicherzustellen.
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen. 
 
Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:
 
* Verschlusssachenanweisungen (des Landes oder des Bundes) oder
* dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.


== Rechtsgrundlagen ==
== Rechtsgrundlagen ==
Zeile 11: Zeile 23:
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Sicherheitsüberprüfungsgesetz (SÜG)
* Verschlusssachenanweisung (VSA)
* Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)


== Verschlusssachen ==
== Verschlusssachen ==
Zeile 33: Zeile 45:
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)
(kurz: VS-nur für den Dienstgebrauch, VS-NfD)


Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.
Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder <u>nachteilig</u> sein.


''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
Zeile 40: Zeile 52:
(kurz: VS-Vertraulich, VS-Vertr.)
(kurz: VS-Vertraulich, VS-Vertr.)


Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.
Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder <u>schädlich</u> sein.


''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
''Kennzeichnung:'' Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.
Zeile 77: Zeile 89:
!USA
!USA
|Restricted||Confidential||Secret||Top Secret
|Restricted||Confidential||Secret||Top Secret
|-
!EU
|RESTREINT UE (R-UE)
EU RESTRICTED (EU-R)
|CONFIDENTIEL UE (C-UE)
EU CONFIDENTIAL (EU-C)
|SECRET UE (S-UE)
EU SECRET (EU-S)
|TRÈS SECRET UE (TS-UE)
EU TOP SECRET (EU-TS)
|-
!NATO
|NATO RESTRICTED (NR)
|NATO CONFIDENTIAL (NC)
|NATO SECRET (NS)
|COSMIC TOP SECRET (CTS)
|}
|}


Zeile 89: Zeile 117:


Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur [[Datenlöschung]] und [[Datenvernichtung]].
[[Kategorie:Artikel]]

Aktuelle Version vom 30. Oktober 2024, 21:30 Uhr

Top Secret

Geheimschutz zielt darauf ab, staatlich eingestufte und schützenswerte Informationen vor unbefugtem Zugriff, Veränderung oder Zerstörung zu schützen, da ein Schaden dieser Informationen den Staat negativ beeinflussen könnte. Anders als in der allgemeinen Informationssicherheit sind die Schutzmaßnahmen im Geheimschutz oft zwingend und nicht risikoorientiert, was die Umsetzung in der Wirtschaft aufwändig machen kann. Die Einstufung und der Schutzbedarf solcher Informationen werden beispielsweise in Deutschland durch das Sicherheitsüberprüfungsgesetz (SÜG) geregelt.

Einleitung

Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

  • Verschlusssachenanweisungen (des Landes oder des Bundes) oder
  • dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

Rechtsgrundlagen

In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

  • Grundgesetz (GG)
  • Bundesverfassungsschutzgesetz (BVerfSchG)
  • Gesetz über den Verfassungsschutz (VerfSchG)
  • Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
  • Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
  • Sicherheitsüberprüfungsgesetz (SÜG)
  • Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)

Verschlusssachen

Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

  • Informationen über geheime Waffensysteme oder Ausrüstung
  • Informationen über geheime diplomatische Initiativen
  • Informationen über geheime politische Entscheidungen
  • Informationen über geheime Ermittlungen oder Strafverfahren
  • Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

Verschlusssache – Nur für den Dienstgebrauch

(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

Verschlusssache - Vertraulich

(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

Geheim

(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

Streng Geheim

(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

Vergleich der Geheimschutz-Klassifizierung in anderen Ländern

Deutschland
VS–Nur für den Dienstgebrauch
VS–Vertraulich
Geheim
Streng Geheim
Großbritannien Restricted Confidential Secret Top Secret
Frankreich Diffusion restreinte Confidentiel défense Secret défense Très secret défense
Spanien Difusión Limitada Confidencial Secreto Máximo Secreto
Österreich Eingeschränkt Vertraulich Geheim Streng Geheim
USA Restricted Confidential Secret Top Secret
EU RESTREINT UE (R-UE)

EU RESTRICTED (EU-R)

CONFIDENTIEL UE (C-UE)

EU CONFIDENTIAL (EU-C)

SECRET UE (S-UE)

EU SECRET (EU-S)

TRÈS SECRET UE (TS-UE)

EU TOP SECRET (EU-TS)

NATO NATO RESTRICTED (NR) NATO CONFIDENTIAL (NC) NATO SECRET (NS) COSMIC TOP SECRET (CTS)

Geheimschutz in der Privatwirtschaft

Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

Außerhalb von Geheimschutz

Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden. Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "Klassifizierung von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur Datenlöschung und Datenvernichtung.