Datenklassifizierung - Grundlagen einer Einteilung

Datenklassifizierung

Grundlagen einer Einteilung

Marc Ruef
von Marc Ruef
Lesezeit: 3 Minuten

Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird.

Eines der absoluten Grundelemente der angewandten Computersicherheit ist die Klassifizierung von Daten. Durch die Datenklassifizierung wird festgehalten, welche unterschiedlichen Einstufungen es gibt und wie die jeweils eingestuften Daten behandelt werden sollen. Daraus definiert sich mitunter, was für die Informationssicherheit besonders wichtig ist, die Geheimhaltungsstufe.

In der Regel wird eine drei- bis fünfstufige Unterscheidung vorgenommen. Ein pragmatischer und von den meisten Unternehmungen verfolgter Ansatz sieht die folgende Klassifizierung vor:

Nachrichtendienste pflegen drei bis vier Einstufungen vorzunehmen, wobei in der Regel der Einfachheit halber das Applizieren keiner Klassifizierung ein Dokument automatisch für die Öffentlichkeit vorsehen lässt.

  1. Öffentliche Daten sind für jedermann, auch ausserhalb der Firma, zugänglich. Dabei handelt es sich zum Beispiel um Informationen, die auf der öffentlichen Webseite im Internet dargeboten werden. Die Anschrift, das Credo oder die Werbebrochuren fallen in diese Kategorie.
  2. Im Gegenzug werden interne Daten lediglich den eigenen Mitarbeitern zugänglich gemacht. Also nur die eigenen Angestellten eines Unternehmens (und vielleicht ausgewählte Partnerfirmen) sollten Zugriff auf diese haben. Dies können zum Beispiel Telefonverzeichnisse, Weisungen oder allgemeine Strategiedokumente sein. Vor einer Veröffentlichung dieser ist abzusehen, da damit ein Nachteil für das Unternehmen und die Mitarbeiter einhergehen würde.
  3. Die als vertraulich definierten Daten sind lediglich einer begrenzten Anzahl an Mitarbeitern zugänglich. Hierbei handelt es sich in der Regel um Informationen, die massgeblich für die Vitalität eines Unternehmens von Wichtigkeit sind. Zum Beispiel sind Gehaltslisten und Mitarbeiterdossiers ausschliesslich der Personalabteilung (Human Resources) zugänglich. Die Herausgabe dieser ist bisweilen gar gesetzlich geregelt und ein Verstoss der Vorschriften würde juristische Folgen nach sich ziehen.
  4. Die höchste Sicherheitsstufe weisen geheime Daten auf. Diese sind punktuell und ausschliesslich bestimmten definierten Personen zugänglich. Derlei Informationen sind unmittelbar für die Vitalität des Unternehmens verantwortlich. Zum Beispiel sind dies die Kundeninformationen eines Nummernkontos einer Bank. Nur der zuständige Kundenbetreuer weiss, wer dem Nummernkonto zugewiesen werden kann. Die Weitergabe diese Information kann das Geschäftsverhältnis unmittelbar und nachhaltig schädigen.

Ein Unternehmen sollte eine Datenklassifizierung auf der Basis der soeben vorgetragenen Stufen vornehmen und dokumentieren. In einem weiteren Dokument gilt es festzuhalten, welche Massnahmen getroffen werden müssen, um den jeweiligen Anforderungen gerecht werden zu können.

Im Mittelpunkt der Charakterisierung der einzelnen Klassifizierungsstufen sind die Personengruppen, jenen das Dokument dieser Stufe zugänglich gemacht werden darf (z.B. Öffentlichkeit, interne Mitarbeiter, spezifische Abteilung, ausgewählte Personen). Desweiteren ist es Teil der Attributisierung, den erlaubten und erwünschten Kommunikationsweg für den Datenaustausch einzubringen (z.B. jegliche Übertragung, nur im betriebsinternen Netzwerk, immer mit mindestens AES/3DES Verschlüsselung).

Die Mitarbeiter müssen sodann über die Existenz und den Umgang dieser Klassifizierung unterrichtet werden. Dies geschieht in der Regel bei der Anstellung und der Übergabe anderweitiger Weisungen. Sodann wird es damit wichtig die Mitarbeiter vertraglich daran zu binden, diesen Vorgaben Folge zu leisten. Fahrlässige oder mutmassliche Vergehen müssen grösseren Ausmasses müssen personell oder gar juristisch geahndet werden, damit die Vitalität des Unternehmens im Rahmen der Datenverarbeitung und -weitergabe nicht gefährdet wird.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv