Geheimschutz: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
Zeile 5: Zeile 5:
}}
}}
== Einleitung ==
== Einleitung ==
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung einer schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.   
Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.   


Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:
Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

Version vom 12. September 2023, 06:56 Uhr

Einleitung

Allgemein zielt der Geheimschutz darauf ab Informationen oder Daten vor unbefugtem Zugriff, deren Veränderung, Verlust oder Zerstörung zu schützen. Somit gibt es zunächst keinen Unterschied zur klassischen Informationssicherheit. Der Begriff Geheimschutz im Speziellen wird allerdings überwiegend dann verwendet, wenn es sich um staatlich eingestufte und somit für den Staat (z.B. Bundesrepublik Deutschland) schützenswerte Informationen handelt. Somit ist der Informationseigentümer der Staat. Werden hierbei die Schutzziele (Vertraulichkeit, Verfügbarkeit und Integrität) verletzt, kann es für den Staat und seine Interessen negative Folgen nach sich ziehen. Es entsteht ein klassischer Schaden. Daher bedient sich der Geheimschutz, je nach Kritikalität und der sog. Einstufung seiner schützenswerten Information, sehr konkreter sowohl organisatorischer, technischer als auch physischer Schutzmaßnahmen, um diesem Schaden vorzubeugen.

Im Unterschied zur allg. Informationssicherheit und einem risikoorientierten Ansatz Schutzmaßnahmen auszuwählen und anzuwenden, sind Maßnahmen im Geheimschutz oftmals mandatorisch und nicht abzuwählen. Dies macht den Geheimschutz in der Wirtschaft mit unter aufwändig in der Umsetzung. Die Einstufung einer Information und somit deren Schutzbedarf legt z.B. in Deutschland das Sicherheitsüberprüfungsgesetz fest (SÜG). Man spricht dann von einer Verschlusssache. Nach der Einstufung einer Information richten sich die anzuwendenden Schutzmaßnahmen, die dann in:

  • Verschlusssachenanweisungen (des Land oder des Bund) oder
  • dem Geheimschutzhandbuch in der Wirtschaft festgelegt sind.

Rechtsgrundlagen

In Deutschland gibt es verschiedene Rechtsgrundlagen für den Geheimschutz, je nachdem, in welchem Bereich er angewendet wird:

  • Grundgesetz (GG)
  • Bundesverfassungsschutzgesetz (BVerfSchG)
  • Gesetz über den Verfassungsschutz (VerfSchG)
  • Gesetz über den Schutz von Gesellschaftsgeheimnissen (GeschGehG)
  • Strafgesetzbuch (StGB), insbesondere die §§ 353 (Geheimnisverrat) und 353a (Spionage)
  • Sicherheitsüberprüfungsgesetz (SÜG)
  • Verschlusssachenanweisung (VSA; kein Gesetz lediglich eine Anweisung im Geltungsbereich von Ländern und dem Bund)

Verschlusssachen

Verschlusssachen sind vertrauliche oder geheime Informationen, die nur von autorisierten Personen eingesehen, genutzt oder weitergegeben werden dürfen. Diese Informationen können auf Papier, auf Datenträgern oder in elektronischer Form vorliegen und sind in der Regel durch Gesetze, Verordnungen oder interne Regelungen geschützt.

Die Bezeichnung "Verschlusssachen" wird in Deutschland hauptsächlich im Verteidigungs- und Sicherheitsbereich verwendet, zum Beispiel bei der Bundeswehr oder dem Verfassungsschutz.

Einige Beispiele für als Verschlusssache klassifizierte Informationen sind:

  • Informationen über geheime Waffensysteme oder Ausrüstung
  • Informationen über geheime diplomatische Initiativen
  • Informationen über geheime politische Entscheidungen
  • Informationen über geheime Ermittlungen oder Strafverfahren
  • Informationen über geheime wirtschaftliche Interessen

Die Behandlung von Verschlusssachen erfordert in der Regel besondere Vorsichtsmaßnahmen, wie z.B. die Einhaltung von Sicherheitsrichtlinien, die regelmäßige Überwachung von Zugriffsrechten und die Durchführung von Sicherheitsüberprüfungen.

In Deutschland sind folgende Geheimhaltungsstufen für Verschlusssachen definiert:

Verschlusssache – Nur für den Dienstgebrauch

(kurz: VS-nur für den Dienstgebrauch, VS-NfD)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder nachteilig sein.

Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

Verschlusssache - Vertraulich

(kurz: VS-Vertraulich, VS-Vertr.)

Die Kenntnisnahme durch Unbefugte kann für die Interessen der Bundesrepublik Deutschland oder eines ihrer Länder schädlich sein.

Kennzeichnung: Auf Schriftstücken blauer oder schwarzer Stempelabdruck oder Druck in der Kopfzeile.

Geheim

(kurz: geh.; auch: Stufe I)

Die Kenntnisnahme durch Unbefugte kann die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen.

Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

Streng Geheim

(kurz: str. geh.; auch: Stufe II)

Die Kenntnisnahme durch Unbefugte kann den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden.

Kennzeichnung: Auf Schriftstücken roter Stempelabdruck oder Druck in der Kopf- und Fußzeile.

Vergleich der Geheimschutz-Klassifizierung in anderen Ländern

Deutschland
VS–Nur für den Dienstgebrauch
VS–Vertraulich
Geheim
Streng Geheim
Großbritannien Restricted Confidential Secret Top Secret
Frankreich Diffusion restreinte Confidentiel défense Secret défense Très secret défense
Spanien Difusión Limitada Confidencial Secreto Máximo Secreto
Österreich Eingeschränkt Vertraulich Geheim Streng Geheim
USA Restricted Confidential Secret Top Secret

Geheimschutz in der Privatwirtschaft

Unter bestimmten Voraussetzungen kann der Geheimschutz auch in der Privatwirtschaft relevant sein, immer dort, wo privatwirtschaftliche Unternehmen für staatliche Stellen tätig sind und im Rahmen ihrer Tätigkeit mit Verschlusssachen in Berührung kommen.

Außerhalb von Geheimschutz

Unabhängig von den geheimschutzrelevanten Verschlusssachen, sind Informationen in der öffentlichen Verwaltung, ähnlich wie in der Privatwirtschaft, in der jeweiligen Organisation individuell zu regeln.

Um Verwechslungen mit geheimschutzrelevanten Verschlusssachen zu vermeiden, sollte auf die Begriffe "Verschlusssache" und "geheim" in der organisationseigenen Klassifizierung von Informationen möglichst verzichtet werden. Empfehlungen für die Klassifizierung von Informationen in Unternehmen und Organisationen jenseits des Geheimschutz findet ihr im Artikel "Klassifizierung von Informationen".

Weitere hilfreiche Artikel zum Löschen und Vernichten von Informationen findet ihr in den Artikeln zur Datenlöschung und Datenvernichtung.