Klassifizierung
Klassifizierung von Informationen
Organisationen haben die Herausforderung, dass Informationen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jedermann zugänglich sein sollten.
Die ergibt sich teilweise auch aus gesetzlichen oder normativen Anforderungen wie dem Geheimschutz, Datenschutz, der ISO 27001 oder dem BSI IT-Grundschutz. Die Anforderungen sind z.B.:
- Informationen ein angemessenes Schutzniveau entsprechend einer Schutzbedarfsfeststellung zu geben
- Informationen gemäß der Bedeutung für die Organisation zu klassifizieren
- Informationen entsprechend einem Klassifizierungsschema zu kennzeichnen
- Verfahren für die Handhabung der Informationen gemäß dem Klassifizierungsschema zu entwickeln
Geheimschutz (öffentliche Verwaltung)
In Deutschland gibt es für den Bereich der öffentlichen Verwaltung Rechtsgrundlagen für die Klassifizierung geheimschutzrelevanter Informationen (Verschlusssachen). Diese sind u.a. im Sicherheitsüberprüfungsgesetz (SÜG) und in Verschlusssachenanweisungen (VSA) geregelt.
Der Geheimschutz ist ein sehr spezielles Thema das nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Geheimschutzklassifizierung gern für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" titulieren, so hat dies mit Geheimschutz im rechtlichem Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Genauso wenig wie die meisten Organisationen weder technisch und organisatorisch ausgestattet sind, diese Informationen rechtskonform zu speichern oder zu verarbeiten.
Näheres zum Thema Geheimschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.
Informationsklassifizierung in der Privatwirtschaft
In der Privatwirtschaft gibt es -wie auch in der allgemeinen öffentlichen Verwaltung- keine unmittelbar entsprechende rechtliche Grundlage für die Klassifizierung von Informationen (ausgenommen ein Privatunternehmen oder eine öffentliche Stelle arbeitet im Auftrage einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).
Der Bedarf einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z.B. dem Datenschutz).
Üblicherweise werden im privaten und nicht geheimschutzrelevanten Bereich die folgenden Klassen verwendet:
| DE: | öffentlich | intern | vertraulich | streng vertraulich |
|---|---|---|---|---|
| EN: | public | restricted | confidential | secret |
Definition der Klassen
Für jede Klasse von Informationen muss definiert sein, welche Informationen darunter fallen und unter welchen Voraussetzungen diese Informationen erfasst, verarbeitet Übermittelt und gelöscht werden dürfen. Die jeweiligen Definitionen sind je nach Organisation und der von ihr verarbeiteten Informationen unterschiedlich und müssen dem Bedarf der Organisation angepasst werden. Hier ein Beispiel:
| öffentlich nicht klassifiziert |
intern | vertraulich | streng vertraulich | |
|---|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Telefonlisten, Raumpläne, Geschäftsverteilungsplan | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten | Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) | Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen | Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen |
| Cloud | beliebig | nur europäische Cloudspeicher | nur zusätzlich Verschlüsselt | nicht erlaubt |
| Mobile Speicher |
beliebig | nur zusätzlich Verschlüsselt | nur auf freigegebene verschlüsselte Datenträger | nicht erlaubt |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) | nur mit Zustimmung der Geschäftsleitung |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag | Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA | Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 | gem. DIN66399 Sicherheitsklasse 3 |
Je nach Organisation sind ggf. auch drei Stufen ausreichend. Eine feinere Aufspaltung (mehr als vier Stufen) führt nur zu erheblicher Komplexität und eher dazu, dass das System nicht mehr beherrschbar wird.
Zusätzlich muss noch definiert werden, welche Informationen klassifiziert werden müssen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) entfällt die Kennzeichnung üblicherweise, daher wird diese auch häufig als "nicht klassifiziert" bezeichnet.
Insbesondere die Kennzeichnung von digitalen -nicht textlichen- Informationen stellt eine Herausforderung dar.
