Klassifizierung
Klassifizierung von Informationen
Organisationen stehen vor der Herausforderung, dass Informationen einen unterschiedlichen Schutzbedarf haben können und nicht alle Informationen für jeden zugänglich sein sollten.
Dies ergibt sich zum Teil auch aus gesetzlichen oder normativen Anforderungen wie Geheimschutz, Datenschutz, ISO 27001 oder BSI IT-Grundschutz. Die Anforderungen sind z.B:
- Informationen gemäß einer Schutzbedarfsfeststellung angemessen zu schützen
- Informationen entsprechend ihrer Bedeutung für die Organisation zu klassifizieren
- Informationen nach einem Klassifizierungsschema zu kennzeichnen
- Verfahren für den Umgang mit Informationen entsprechend dem Klassifizierungsschema zu entwickeln
Geheimschutz (öffentliche Verwaltung)
In Deutschland gibt es für den Bereich der öffentlichen Verwaltung gesetzliche Grundlagen für die Einstufung von geheimhaltungsbedürftigen Informationen (Verschlusssachen). Diese sind unter anderem im Sicherheitsüberprüfungsgesetz (SÜG) und in der Verschlusssachenanweisung (VSA) geregelt.
Der Geheimschutz ist eine sehr spezielle Materie, die nur in sehr begrenzten Bereichen der öffentlichen Verwaltung Anwendung findet. Auch wenn viele Verwaltungen die Einstufung als Verschlusssache gerne für sich reklamieren und Informationen als "Verschlusssache", "VS-Vertraulich" oder gar "Geheim" bezeichnen, hat dies mit Geheimschutz im rechtlichen Sinne tatsächlich meist nichts zu tun. Der Gesetzgeber hat hier einen sehr engen inhaltlichen und formalen Rahmen gesetzt, den die wenigsten der so bezeichneten Informationen erfüllen dürften. Auch sind die meisten Organisationen technisch und organisatorisch nicht in der Lage, diese Informationen gesetzeskonform zu speichern oder zu verarbeiten.
Näheres zum Thema Geheimnisschutz ist in einem eigenen Artikel zum Geheimschutz beschrieben.
Informationsklassifizierung in der Privatwirtschaft
In der Privatwirtschaft gibt es - wie in der allgemeinen öffentlichen Verwaltung - keine direkte gesetzliche Grundlage für die Klassifizierung von Informationen (es sei denn, ein privates Unternehmen oder eine öffentliche Stelle arbeitet im Auftrag einer geheimschutzrelevanten Behörde mit deren klassifizierten Informationen).
Die Notwendigkeit einer Klassifizierung ergibt sich jedoch indirekt aus anderen Rechtsgrundlagen (z. B. Datenschutz).
Im privaten, nicht geheimschutzrelevanten Bereich werden in der Regel folgende Klassifizierungen verwendet
| DE: | öffentlich | intern | vertraulich | streng vertraulich |
|---|---|---|---|---|
| EN: | public | restricted | confidential | secret |
Definition der Klassen
Für jede Informationsklasse muss festgelegt werden, welche Informationen unter diese Klasse fallen und unter welchen Bedingungen diese Informationen erfasst, verarbeitet, übermittelt und vernichtet werden dürfen. Die jeweiligen Definitionen unterscheiden sich je nach Organisation und den von ihr verarbeiteten Informationen und müssen an die Bedürfnisse der Organisation angepasst werden. Hier ein Beispiel:
| öffentlich nicht klassifiziert |
intern | vertraulich | streng vertraulich | |
|---|---|---|---|---|
| Beispiele | Öffentlicher Webauftritt, Infoflyer, Speiseplan der Kantine | Telefonlisten, Raumpläne, Geschäftsverteilungsplan | Unternehmenszahlen, Personaldaten, Netzpläne, Konfigurationsdaten | Entwicklungsdaten, geheime Vertragsunterlagen, Bestechungslisten |
| Kenntnis | jeder | Mitarbeiter ggf. Geschäftspartner und Kunden |
begrenzte Gruppe von Mitarbeitenden (z.B nur Personalstelle) | Einzelne ausgewählte Personen (z.B. nur Geschäftsleitung) |
| Ablage | beliebig | nur auf internen Systemen der Organisation | nur in zugriffsgeschützten Bereichen | Nur gesondert verschlüsselt in zugriffsgeschützten Bereichen |
| Cloud Speicher | beliebig | nur europäische Cloudspeicher | nur zusätzlich Verschlüsselt | nicht erlaubt |
| Mobile Speicher |
beliebig | nur zusätzlich Verschlüsselt | nur auf freigegebene verschlüsselte Datenträger | nicht erlaubt |
| Ausdruck Kopie |
beliebig | nur innerhalb der Organisation | nur im nötigen Umfang innerhalb des zuständigen Bereichs (z.B Personalstelle) | nur mit Zustimmung der Geschäftsleitung |
| Übermittlung (intern) |
beliebig | nur innerhalb der Organisation | Nur verschlüsselt oder in versiegeltem Umschlag | Nur verschlüsselt oder in versiegeltem Umschlag und mit Zustimmung der Geschäftsleitung |
| Übermittlung (extern) |
beliebig | nur an ausgewählte Geschäftspartner bzw. Kunden | Nur verschlüsselt oder in versiegeltem Umschlag und mit NDA* | Nur verschlüsselt und mit Zustimmung der Geschäftsleitung und mit NDA* |
| Löschung Vernichtung |
keine Vorgaben | gem. DIN66399 Sicherheitsklasse 1 | gem. DIN66399 Sicherheitsklasse 2 | gem. DIN66399 Sicherheitsklasse 3 |
*) Ein NDA (Non-Disclosure Agreement) ist ein Vertrag, bei dem sich die verschiedenen Parteien bzw. Vertragspartner zu einem streng vertraulichen Umgang mit allen Geschäfts- und Betriebsgeheimnissen, Informationen, Verhandlungen und Unterlagen verpflichten.
Je nach Organisation können auch drei Stufen ausreichend sein. Eine feinere Unterteilung (mehr als vier Stufen) führt nur zu einer erheblichen Komplexität und macht das System eher unüberschaubar.
Zusätzlich muss definiert werden, welche Informationen klassifiziert werden sollen und wie diese gekennzeichnet werden. Für die erste Stufe (öffentlich) ist in der Regel keine Kennzeichnung erforderlich, weshalb sie häufig als "nicht klassifiziert" bezeichnet wird.
Insbesondere die Kennzeichnung von digitalen - nicht textlichen - Informationen stellt eine Herausforderung dar.
