Datenklassifizierung - Grundlagen einer Einteilung

Datenklassifizierung

Grundlagen einer Einteilung

Marc Ruef
by Marc Ruef
time to read: 3 minutes

Wer an Computersicherheit denkt, der denkt in der Regel als erstes an Firewalls und Computerviren. Vielleicht kommen einem als zweites Begriffe wie Security Audit und Source Code Analyse in den Sinn. Sicherheit beginnt jedoch viel früher, lange bevor sich der erste Benutzer mit einem Passwort auf einem System einloggt oder das erste Bit über das Netzwerkkabel geschickt wird.

Eines der absoluten Grundelemente der angewandten Computersicherheit ist die Klassifizierung von Daten. Durch die Datenklassifizierung wird festgehalten, welche unterschiedlichen Einstufungen es gibt und wie die jeweils eingestuften Daten behandelt werden sollen. Daraus definiert sich mitunter, was für die Informationssicherheit besonders wichtig ist, die Geheimhaltungsstufe.

In der Regel wird eine drei- bis fünfstufige Unterscheidung vorgenommen. Ein pragmatischer und von den meisten Unternehmungen verfolgter Ansatz sieht die folgende Klassifizierung vor:

Nachrichtendienste pflegen drei bis vier Einstufungen vorzunehmen, wobei in der Regel der Einfachheit halber das Applizieren keiner Klassifizierung ein Dokument automatisch für die Öffentlichkeit vorsehen lässt.

  1. Öffentliche Daten sind für jedermann, auch ausserhalb der Firma, zugänglich. Dabei handelt es sich zum Beispiel um Informationen, die auf der öffentlichen Webseite im Internet dargeboten werden. Die Anschrift, das Credo oder die Werbebrochuren fallen in diese Kategorie.
  2. Im Gegenzug werden interne Daten lediglich den eigenen Mitarbeitern zugänglich gemacht. Also nur die eigenen Angestellten eines Unternehmens (und vielleicht ausgewählte Partnerfirmen) sollten Zugriff auf diese haben. Dies können zum Beispiel Telefonverzeichnisse, Weisungen oder allgemeine Strategiedokumente sein. Vor einer Veröffentlichung dieser ist abzusehen, da damit ein Nachteil für das Unternehmen und die Mitarbeiter einhergehen würde.
  3. Die als vertraulich definierten Daten sind lediglich einer begrenzten Anzahl an Mitarbeitern zugänglich. Hierbei handelt es sich in der Regel um Informationen, die massgeblich für die Vitalität eines Unternehmens von Wichtigkeit sind. Zum Beispiel sind Gehaltslisten und Mitarbeiterdossiers ausschliesslich der Personalabteilung (Human Resources) zugänglich. Die Herausgabe dieser ist bisweilen gar gesetzlich geregelt und ein Verstoss der Vorschriften würde juristische Folgen nach sich ziehen.
  4. Die höchste Sicherheitsstufe weisen geheime Daten auf. Diese sind punktuell und ausschliesslich bestimmten definierten Personen zugänglich. Derlei Informationen sind unmittelbar für die Vitalität des Unternehmens verantwortlich. Zum Beispiel sind dies die Kundeninformationen eines Nummernkontos einer Bank. Nur der zuständige Kundenbetreuer weiss, wer dem Nummernkonto zugewiesen werden kann. Die Weitergabe diese Information kann das Geschäftsverhältnis unmittelbar und nachhaltig schädigen.

Ein Unternehmen sollte eine Datenklassifizierung auf der Basis der soeben vorgetragenen Stufen vornehmen und dokumentieren. In einem weiteren Dokument gilt es festzuhalten, welche Massnahmen getroffen werden müssen, um den jeweiligen Anforderungen gerecht werden zu können.

Im Mittelpunkt der Charakterisierung der einzelnen Klassifizierungsstufen sind die Personengruppen, jenen das Dokument dieser Stufe zugänglich gemacht werden darf (z.B. Öffentlichkeit, interne Mitarbeiter, spezifische Abteilung, ausgewählte Personen). Desweiteren ist es Teil der Attributisierung, den erlaubten und erwünschten Kommunikationsweg für den Datenaustausch einzubringen (z.B. jegliche Übertragung, nur im betriebsinternen Netzwerk, immer mit mindestens AES/3DES Verschlüsselung).

Die Mitarbeiter müssen sodann über die Existenz und den Umgang dieser Klassifizierung unterrichtet werden. Dies geschieht in der Regel bei der Anstellung und der Übergabe anderweitiger Weisungen. Sodann wird es damit wichtig die Mitarbeiter vertraglich daran zu binden, diesen Vorgaben Folge zu leisten. Fahrlässige oder mutmassliche Vergehen müssen grösseren Ausmasses müssen personell oder gar juristisch geahndet werden, damit die Vitalität des Unternehmens im Rahmen der Datenverarbeitung und -weitergabe nicht gefährdet wird.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

You want to test the security of your firewall?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here