Klassifizierung: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{{#seo:
{{#seo:
|title=Grundlagenartikel zur Klassifizierung von Informationen
|title=Klassifizierung von Informationen
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|keywords= ISMS,Klassifizierung,Informationen,Geheimschutz,Vertraulichkeit,Definition
|description=Der Artikel enthält grundlegende Informationen zur Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
|description=Klassifikation von Informationen im Geheimschutz und in der Privatwirtschaft.
}}
}}
== Klassifizierung von Informationen ==
== Klassifizierung von Informationen ==

Version vom 28. Juli 2023, 14:34 Uhr

Klassifizierung von Informationen

Organisationen haben die Herausforderung, dass Informationen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jedermann zugänglich sein sollten.

Die ergibt sich teilweise auch aus gesetzlichen oder normativen Anforderungen wie dem Geheimschutz, Datenschutz, der ISO 27001 oder dem BSI IT-Grundschutz. Die Anforderungen sind z.B.:

  • Informationen ein angemessenes Schutzniveau entsprechend einer Schutzbedarfsfeststellung zu geben
  • Informationen gemäß der Bedeutung für die Organisation zu klassifizieren
  • Informationen entsprechend einem Klassifizierungsschema zu kennzeichnen
  • Verfahren für die Handhabung der Informationen gemäß dem Klassifizierungsschema zu entwickeln

Geheimschutz (öffentliche Verwaltung)

In Deutschland gibt es für den Bereich der öffentlichen Verwaltung Rechtsgrundlagen für die Klassifizierung geheimschutzrelevanter Informationen (Verschlusssachen). Diese sind u.a. im Sicherheitsüberprüfungsgesetz (SÜG) und in Verschlusssachenanweisungen (VSA) geregelt.

Der Geheimschutz ist ein sehr spezielles Thema das nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Geheimschutzklassifizierung gern für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" titulieren, so hat dies mit Geheimschutz im rechtlichem Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Genauso wenig wie die meisten Organisationen weder technisch und organisatorisch ausgestattet sind, diese Informationen rechtskonform zu speichern oder zu verarbeiten.

Näheres zum Thema Geheimschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.

Informationsklassifizierung in der Privatwirtschaft

In der Privatwirtschaft gibt es -wie auch in der allgemeinen öffentlichen Verwaltung- keine unmittelbar entsprechende rechtliche Grundlage für die Klassifizierung von Informationen (ausgenommen ein Privatunternehmen oder eine öffentliche Stelle arbeitet im Auftrage einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).

Der Bedarf einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z.B. dem Datenschutz).

Üblicherweise werden im privaten und nicht geheimschutzrelevanten Bereich die folgenden Klassen verwendet:

DE: öffentlich intern vertraulich streng vertraulich
EN: public restricted confidential secret

Definition der Klassen

Für jede Klasse von Informationen muss definiert sein, welche Informationen darunter fallen und unter welchen Voraussetzungen diese Informationen erfasst, verarbeitet Übermittelt und gelöscht werden dürfen. Die jeweiligen Definitionen sind je nach Organisation und der von ihr verarbeiteten Informationen unterschiedlich und müssen dem Bedarf der Organisation angepasst werden. Hier ein Beispiel:

öffentlich
nicht klassifiziert
intern vertraulich streng vertraulich
Beispiele Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine Telefonlisten, Raumpläne, Geschäftsverteilungsplan Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten
Kenntnis jeder Mitarbeiter
ggf. Geschäftspartner und Kunden
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung)
Ablage beliebig nur auf internen Systemen der Organisation nur in zugriffsgeschützten Bereichen Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen
Cloud beliebig nur europäische Cloudspeicher nur zusätzlich Verschlüsselt nicht erlaubt
Mobile
Speicher
beliebig nur zusätzlich Verschlüsselt nur auf freigegebene verschlüsselte Datenträger nicht erlaubt
Ausdruck
Kopie
beliebig nur innerhalb der Organisation nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) nur mit Zustimmung der Geschäftsleitung
Übermittlung
(intern)
beliebig nur innerhalb der Organisation Nur verschlüsselt oder in versiegeltem Umschlag Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung
Übermittlung
(extern)
beliebig nur an ausgewählte Geschäftspartner bzw. Kunden Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA
Löschung
Vernichtung
keine Vorgaben gem. DIN66399 Sicherheitsklasse 1 gem. DIN66399 Sicherheitsklasse 2 gem. DIN66399 Sicherheitsklasse 3

Je nach Organisation sind ggf. auch drei Stufen ausreichend. Eine feinere Aufspaltung (mehr als vier Stufen) führt nur zu erheblicher Komplexität und eher dazu, dass das System nicht mehr beherrschbar wird.

Zusätzlich muss noch definiert werden, welche Informationen klassifiziert werden müssen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) entfällt die Kennzeichnung üblicherweise, daher wird diese auch häufig als "nicht klassifiziert" bezeichnet.

Insbesondere die Kennzeichnung von digitalen -nicht textlichen- Informationen stellt eine Herausforderung dar.