Wenn Sie sich über den Kontext der Organisation, die interessierten Parteien und den Anwendungsbereich sauber Gedanken gemacht haben, wissen Sie im Grunde schon, was Sie schützen wollen. Spätestens wenn Sie das Thema Asset Management schon betrachtet haben, sollten auch die Informationswerte klarer sein.
Die nächste sinnvolle Frage lautet dann: Wie schutzbedürftig sind diese Informationen eigentlich?
Genau an dieser Stelle kommen ISO 27001 A.5.12 zur Klassifizierung und A.5.13 zur Kennzeichnung ins Spiel.
Warum ist das wichtig? Weil Schutzmaßnahmen nicht aus der Luft fallen sollten. Ziel ist es, daraus Sicherheitsanforderungen und angemessene Maßnahmen abzuleiten. NIST arbeitet im selben Geist mit den drei Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit sowie den Impact-Stufen niedrig, mittel und hoch.
Die kurze Antwort
Sie brauchen für A.5.12 und A.5.13 normalerweise kein monströses Klassifizierungsmodell. In der Praxis reicht oft ein schlankes Schema, das Informationen in den Dimensionen Vertraulichkeit, Integrität und Verfügbarkeit einordnet und daraus einfache Handhabungsregeln ableitet. A.5.12 verlangt dabei ausdrücklich, Vertraulichkeit, Integrität und Verfügbarkeit zu berücksichtigen (das war bis 2022 noch nicht so - da reichte eine Klassifizierung in der Dimension "Vertraulichkeit" aus).
Die gute Nachricht: Sie müssen dafür nicht jede einzelne Datei auf der Welt separat bewerten. NIST beschreibt die Kategorisierung auf Ebene von Informationstypen und ordnet diesen pro Schutzziel Impact-Werte zu. Genau so wird das Thema handhabbar. Für ein mittelständisches Unternehmen ist es meist viel sinnvoller, Informationsarten wie Bewerberdaten, Kundendaten, Sourcecode, Zugangsgeheimnisse oder Angebote zu klassifizieren als jedes einzelne Dokument individuell zu untersuchen.
Damit es praktisch bleibt, sollte sich aus der Klassifizierung dann direkt ergeben, wo Informationen gespeichert werden dürfen. Klassifizierung ohne Folge für den Alltag ist deshalb nett gemeint, aber wertlos.
Klassifizierung ist nicht Kennzeichnung
Diese beiden Themen hängen eng zusammen, sind aber nicht dasselbe. Klassifizierung heißt: Sie entscheiden, wie hoch der Schutzbedarf einer Informationsart in Vertraulichkeit, Integrität und Verfügbarkeit ist. Kennzeichnung heißt: Sie machen diese Entscheidung für Menschen und Prozesse irgendwie sichtbar oder zumindest ableitbar. Genau diese Reihenfolge steckt auch in Anhang A: erst klassifizieren, dann kennzeichnen.
Das ist wichtig, weil viele Unternehmen beim Wort Kennzeichnung sofort an Stempel und Wasserzeichen denken. So muss es aber gar nicht sein. Die Kennzeichnung soll das Klassifizierungsschema widerspiegeln und handhabbar bleiben. Die ICO empfiehlt dafür konkrete Vorgaben, Beispiele und Verfahren für die Kennzeichnung physischer und elektronischer Informationen sowie ausreichende Metadaten bei elektronischen Informationen.
Der häufigste Denkfehler
Der häufigste Denkfehler lautet: "Wenn wir klassifizieren, müssen wir sofort eine riesige Schutzbedarfsanalyse mit Vollgranularität bauen."
Ist nicht so - ISO 27001 verlangt nicht explizit eine vollumfängliche Schutzbedarfsanalyse.
Der zweite Denkfehler lautet: "Kennzeichnung heißt, dass in jedem System auf jedem Bildschirm fett das Wort 'vertraulich' stehen muss." (wenn Sie mit dem Wunsch an den Hersteller Ihrer HR-Software herantreten, wird er Sie auslachen).
Die Festlegung von Kennzeichnungen kann bspw. auch in Metadaten als Option für digitale Informationen aufgenommen werden - und natürlich ist es möglich, Informationen in bestimmten digitalen Systemen standardmäßig zu deklarieren als "Alleine die Tatsache, dass die Information in diesem System angezeigt wird, kennzeichnet sie als vertraulich."
So einfach darf Ihr Klassifizierungsmodell sein
Für viele Unternehmen reicht ein sehr überschaubares Modell. In der Vertraulichkeit haben Unternehmen oft mehr Stufen, weil dort die Unterschiede im Alltag am größten sind. Zum Beispiel: öffentlich, intern, vertraulich, und nur für den Besitzer bestimmt (bspw. Passworte).
Bei Integrität und Verfügbarkeit genügen oft gröbere Klassen wie normal und hoch. (Und ggf. noch eine Stufe dazwischen - wichtig ist, dass Sie über eine Risikobetrachtung darlegen können, wieso Sie zu der Einschätzung kamen, dass Ihre Stufen ausreichen.)
Das ist nicht unsauber, sondern vernünftig. A.5.12 verlangt nicht, dass die Geschäftstätigkeit auf jeden Fall behindert werden muss. Gleichzeitig soll die Klassifizierung aber die Kritikalität sauber abbilden. Ein schlankes, verständliches Modell ist deshalb in der Praxis oft besser als ein theoretisch perfektes, das niemand benutzen kann.
Womit fangen Sie konkret an?
Am besten nicht mit einzelnen Dateien, sondern mit Ihren Informationsarten oder Informationswerten. Typische Kandidaten sind zum Beispiel Kundendaten, Auftragsdaten, Sourcecode, Zugangsdaten und Secrets, Angebote, Abrechnungen, Vertragsunterlagen, Bewerberdaten, HR-Informationen, technische Dokumentationen, Auditberichte oder Schwachstellenberichte.
Genau daran kann man dann sauber arbeiten. Bewerberdaten werden in der Vertraulichkeit meist höher liegen als eine veröffentlichte Marketingbroschüre. Sourcecode kann bei der Integrität und Vertraulichkeit sehr hoch sein. Ein Notfallplan oder ein System zur Rechnungsstellung kann bei der Verfügbarkeit hoch sein, auch wenn die Vertraulichkeit vielleicht nur mittel ist.
Wer klassifiziert eigentlich?
Nicht der ISB allein. Die eigentliche Verantwortung liegt typischerweise dort, wo die Information fachlich verstanden wird - beim zugeordneten "Owner" der Informationskategorie.
Praktisch heißt das: Der ISB gibt Modell und Leitplanken vor. Die Fachbereiche klassifizieren ihre Informationsarten innerhalb dieses Rahmens. Für Standardfälle können Sie Default-Werte festlegen, damit nicht jeder bei null anfängt.
Aus der Klassifizierung müssen Handhabungsregeln folgen
Hier wird das Thema erst richtig nützlich. Denn der eigentliche Sinn der Klassifizierung ist nicht die schöne Tabelle, sondern die Ableitung von Umgangsregeln. Die ISO 27001 schließt genau diese Anforderungen an mit A.5.14 (Informationsübermittlung - welche Informationen dürfen wie an wen übertragen werden?) und bspw. auch A.5.10 (Zulässiger Gebrauch von Informationen).
Wenn eine Informationsart in der Vertraulichkeit hoch ist, dann sollte daraus erkennbar folgen, in welchen Systemen sie gespeichert werden darf, an wen sie per E-Mail gehen darf, ob sie verschlüsselt werden soll, ob Ausdrucke weggeschlossen werden müssen und ob Exporte in Test- oder Fremdsysteme zulässig sind.
Genau das eignet sich hervorragend für eine Mitarbeiterrichtlinie. Dort kann zum Beispiel stehen: Öffentliche Informationen dürfen frei verteilt werden. Interne Informationen gehören in normale Unternehmenssysteme. Vertrauliche Informationen nur in definierte Systeme und nicht auf private Ablagen. Streng vertrauliche Informationen nur in besonders freigegebene Speicherorte, mit restriktiven Zugriffsrechten und gegebenenfalls zusätzlicher Verschlüsselung und nur für den Besitzer gedachte Informationen in den eigenen Passwort-Tresor.
Für hohe Integrität können Versionierung, Freigaben oder Vier-Augen-Prinzip sinnvoll sein; für hohe Verfügbarkeit Backup, Notfallvorsorge und schnellere Wiederherstellung.
Mehr Stufen bei der Vertraulichkeit als bei Integrität und Verfügbarkeit? Meist ja.
Das ist in vielen Unternehmen der Normalfall. In der Vertraulichkeitsdimension spüren Mitarbeiter die Unterschiede oft am deutlichsten: öffentlich, intern, vertraulich, streng vertraulich. Bei Integrität und Verfügbarkeit reicht für den Alltag oft eine gröbere Unterscheidung. A.5.12 verlangt nicht, dass alle drei Dimensionen identisch fein aufgebaut sein müssen. Es verlangt nur, dass sie berücksichtigt werden und dass das Modell zur Organisation passt, ohne sie unnötig auszubremsen.
Damit wird auch das Risikomanagement einfacher. Sie müssen nicht jedes Mal neu philosophieren, wie groß der Schaden sein könnte. Sie können in Ihrer Risikomethodik sehr pragmatisch sagen: Für die Bestimmung des Schadensausmaßes bitte auf die Klassifizierungen schauen und dann sauber entscheiden. Wenn der Zertifizierungsauditor im unternehmenseigenen Risikomanagementprozess zwingend eine längliche Abhandlung zur Einbeziehung der drei verschiedenen Schutzbedarf-Dimensionen erwartet - womöglich noch in eine Formel eingebettet, die dann auch noch Eintrittswahrscheinlichkeit und Schadensausmaß einbezieht und somit einen fünfdimensionalen Entscheidungsraum öffnen - dann geht er zu weit.
Sie können das so machen, aber Sie müssen nicht.
Kennzeichnung: sichtbar, indirekt oder bewusst reduziert
Kennzeichnung muss nicht immer heißen, dass mitten im System ein roter Balken steht. Bei vielen Fachanwendungen wäre das technisch kaum praktikabel oder schlicht unnötig. Nutzen Sie bspw. Metadaten und deklarieren Sie bestimmte Systemumgebungen als Kennzeichnung für eine bestimmte Vertraulichkeits-, Integritäts- oder Verfügbarkeitsstufe.
Das ist ein wichtiger Punkt: Eine bewusste Nichtkennzeichnung kann trotzdem eine sinnvolle Kennzeichnungslogik sein, wenn die Zuordnung über System, Speicherort, Berechtigungsstruktur, Systemauffindbarkeit oder Metadaten bereits eindeutig ist.
Wo Kennzeichnung im Alltag wirklich hilft
Sobald aber Informationen Systeme verlassen, wird Kennzeichnung oft deutlich nützlicher. Das gilt besonders für PDF-Exporte, Excel-Listen, Word-Dokumente, E-Mail-Anhänge, Präsentationen und Ausdrucke. Dort hilft ein klarer Hinweis, damit Empfänger sofort sehen, wie mit dem Inhalt umzugehen ist. Hier empfiehlt sich bspw.
- für Dokumente sichtbare Markierungen etwa oben und unten auf jeder Seite oder
- hinter dem Seitentext eingeblendete Wasserzeichen ("vertraulich").
Wenn Informationen zusätzlichen Schutz brauchen, weist das NCSC außerdem darauf hin, dass Kennzeichnung nur dann funktioniert, wenn Schulung und geeignete Werkzeuge mitgedacht werden.
Überklassifizierung ist genauso schädlich wie Unterklassifizierung
Wenn am Ende alles "streng vertraulich" ist, haben Sie kein Klassifizierungssystem, sondern nur ein neues Etikett für Beliebigkeit. Werden Sie nicht über- oder untergenau: Ein zu hartes Modell lässt Mitarbeiter abstumpfen und ein zu lasches Modell macht den Schutzbedarfe unsichtbar.
Ein gutes Modell zeigt Unterschiede. Es hilft dabei, normale interne Informationen anders zu behandeln als Zugangsgeheimnisse, Payroll-Daten, Incident-Berichte oder Kronjuwelen wie Sourcecode und Kundengeheimnisse. Genau das ist der Zweck.
Was will der Auditor sehen?
Ein Auditor will hier in aller Regel nicht sehen, dass jede Datei im Unternehmen einen bunten Stempel trägt. Er will sehen, dass es ein verständliches Modell für Vertraulichkeit, Integrität und Verfügbarkeit gibt, dass Informationsarten oder Informationswerte nachvollziehbar klassifiziert werden, dass daraus Handhabungsregeln folgen und dass Kennzeichnung dort eingesetzt wird, wo sie praktisch hilft.
Als Nachweise helfen typischerweise ein kurzes Klassifizierungsschema, Beispiele klassifizierter Informationsarten, eine Richtlinie oder Arbeitsanweisung zum Umgang mit den Klassen, klare Vorgaben zu Speicherorten und Exporten, sowie eine sinnvolle Kennzeichnungslogik für Dokumente, Ausdrucke und elektronische Informationen.
FAQ
Ja. Genau diese drei Schutzziele sind die Grundlage der Schutzbedarfsbetrachtung.
Nein. NIST beschreibt die Kategorisierung ausdrücklich auf Ebene von Informationstypen. Für die Praxis ist es meist sinnvoller, Informationsarten wie Bewerberdaten, Kundendaten oder Sourcecode zu klassifizieren und daraus Standardregeln abzuleiten.
Nein. A.5.13 verlangt eine zur Klassifizierung passende Kennzeichnungslogik, aber nicht zwingend einen sichtbaren Stempel auf jedem Bildschirm. Für digitale Informationen können Metadaten genügen, und in bestimmten Systemen kann eine standardmäßige Behandlung als vertraulich praktikabler sein.
Typischerweise die fachlich verantwortlichen Owner innerhalb eines vorgegebenen Schemas. ISO-nahe Erläuterungen zu A.5.12 nennen die Asset-Eigentümer als verantwortlich; NIST spricht von Information Ownern oder System Ownern, die Informationstypen identifizieren und Impact-Werte festlegen.
Die Handhabungsregeln sind der eigentliche Nutzen. Das BSI beschreibt Schutzbedarfsfeststellung als Grundlage für Sicherheitsanforderungen und Maßnahmen. Eine Klassifizierung ohne Folgen für Speicherorte, Zugriff, Export, Druck oder Löschung bleibt deshalb unvollständig.
Gerade bei Ausdrucken und exportierten Dokumenten sind sichtbare Hinweise oft hilfreich. Offizielle Leitfäden nennen klare Markierungen am oberen und unteren Rand von Dokumenten; praktisch funktionieren auch Kopf- oder Fußzeilen und gegebenenfalls Wasserzeichen gut.
Unser Tipp
Machen Sie Informationsklassifizierung und Kennzeichnung nicht unnötig kompliziert. Starten Sie mit Ihren wichtigsten Informationsarten, ordnen Sie diese in Vertraulichkeit, Integrität und Verfügbarkeit ein und leiten Sie daraus sofort ab, wo diese Informationen gespeichert werden dürfen und wie Mitarbeiter damit umgehen sollen. Kennzeichnen Sie nicht überall maximal sichtbar, sondern dort, wo es im Alltag wirklich hilft.
Interesse geweckt?
Wenn Sie Informationsklassifizierung und Kennzeichnung im Rahmen einer ISO 27001-Einführung sauber regeln wollen, dann lassen Sie uns sprechen oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!