Schubladendenken für Daten: Warum Informationsklassifikation essenziell ist

Wenn man sich über die Klassifikation von Informationen und Daten Gedanken macht, können ambivalente Gefühle entstehen. Es ist sinnvoll, sich Kategorien zu überlegen, in die man Dinge einsortiert, die man als ähnlich betrachtet; dies gilt sowohl im Haushalts- als auch im Unternehmenskontext. In der Schublade eines Schlafzimmers findet sich im Normalfall sehr selten Küchenbesteck. Schubladendenken, insbesondere in Bezug auf Personen, ist jedoch (nachvollziehbar) sehr fragwürdig, da es Menschen anhand ihres Phänotyps, ihres Erscheinungsbilds und ersten Eindrucks definiert. In der Informationssicherheit gibt es jedoch eine Daseinsberechtigung für das Denken in Kategorien. Dabei kommt sicherlich nicht nur beim Autor schnell der Gedanke an diverse Filme über Geheimdienste, Militär- oder Rüstungsunternehmen mit als „Top Secret“ gekennzeichneten Dokumenten auf. Wann ein entsprechendes Label sinnvoll gesetzt ist und wann auch einfachere Methodiken zur Vergabe von Klassifikationen möglich sind, darüber soll dieser Blogbeitrag Aufschluss geben.

Gemeinsamkeiten von Unternehmen: Daten als Vermögenswerte

Betrachtet man eine beliebige Firma, sei es ein Start-up oder ein globaler Konzern, so haben alle etwas gemeinsam: Sie produzieren Daten und Informationen, die als informative Vermögenswerte (Assets) einen Wert für die Unternehmung besitzen. Im Bereich der Forschung und Entwicklung gibt es Vermögenswerte wie Patente, Versuchsaufbauten, technische Zeichnungen und vieles mehr. Firmen sichern diese Daten bereits intrinsisch ab, da das Wissen darum, dass diese Informationen bei Verlust ihr Geschäftsmodell gefährden können, weit verbreitet ist. Ebenso gibt es Informationen, die Unternehmen bewusst produzieren, um sie an Dritte weiterzugeben, wie z. B. Inhalte auf ihrer Website, Werbematerialien für Messestände oder Visitenkarten. Der Wert dieser Informationen liegt darin, dass möglichst viele Menschen darauf zugreifen, idealerweise eine Kontaktaufnahme erfolgt und ein Geschäft zustande kommt. 

Klassifikationskriterien und -methoden 

Damit Mitarbeitende im Unternehmen öffentliche Informationen von streng vertraulichen Informationen unterscheiden können, werden Klassifikationskriterien benötigt. Firmen sollten sich Gedanken über eine sinnvolle Klassifikation machen. Gängig ist dabei die Klassifikation von der Sensitivitätsstufe 1 (S1) für öffentliche Informationen bis hin zu streng vertraulichen Informationen (S4). Anschließend sollte für jede dieser Stufen überlegt werden, wie in verschiedenen Kontexten agiert werden soll. Wie geht man mit ausgedruckten Dokumenten um? Wie sind diese unter Verschluss zu halten? Welche Form der Vernichtung soll nach Abschluss für die Daten vorgenommen werden? Ähnliche Fragestellungen gelten besonders für elektronische Daten. Wo darf ich sensitive Daten (S3-S4) speichern? Wie konfiguriere ich die Zugangs- und Zugriffsrechte, sodass nur berechtigte interne und, wenn nötig, externe Personen Zugriff haben? Auch die Übertragungswege sollten durchdacht werden. Eine Übertragung sollte in der Regel verschlüsselt erfolgen, sei es über eine verschlüsselte E-Mail oder einen verschlüsselten Container innerhalb einer E-Mail. Bestimmte Informationen dürfen vielleicht auch gar nicht übertragen werden. Auch im Hinblick auf die Aufbewahrungsfristen von Informationen müssen sinnvolle Maßnahmen getroffen werden. So sollte es ein geeignetes Löschkonzept geben und auch die Verwendung von Archivierungssystemen könnte entsprechend wirksam werden. Es könnte je nach Anwendung sinnvoll sein, mit Klassifikationslabels zu arbeiten, die mithilfe einer integrierten Routine die Daten nach der entsprechenden Aufbewahrungsfrist automatisiert löschen oder archivieren.

Normen und Standards in der Informationssicherheit

In einschlägigen Normen zur Informationssicherheit, wie der ISO/IEC 27001, TISAX oder den branchenspezifischen Standards (B3S), wird die Klassifikation von Informationen gefordert. So behandeln beispielsweise die Umsetzungshinweise der (nicht normativen) ISO/IEC 27002 die Thematik in zwei Kapiteln und geben dabei folgende Gruppierungsgrundsätze vor:

Die Daten sind nach der Auswirkung im Fall einer Kompromittierung zu klassifizieren. Es ist ein einheitliches Schema zu erstellen, mithilfe dessen die Informationswerte klassifiziert werden. Es müssen Regelungen zum Umgang mit Informationen Dritter eingeführt werden, die auch die Möglichkeit berücksichtigen, dass der oder die Dritte ein eigenes Klassifikationsschema verwendet. Es ist denkbar, dass sich die Klassifikation unterscheidet und bestimmte Informationen für eines der Unternehmen sensitiver oder weniger sensitiv sind.

Kennzeichnung und Schulung von Mitarbeitenden

Es sollte außerdem bedacht werden, wie elektronische Daten mittels Metadaten, Labels oder technischer Verfahren zu kennzeichnen sind und in welchen Fällen auf eine Kennzeichnung verzichtet werden kann. Zudem sollte der Umgang mit Daten geklärt werden, wenn eine Kennzeichnung nicht möglich ist.

Ein zentraler Aspekt jeder Informationsklassifikation ist, dass die Angestellten eines Unternehmens geschult sind und eine Klassifikation vornehmen können. Für eine entsprechende Awareness innerhalb des Unternehmens sollte ein Schema, damit es gelebt wird, nachvollziehbar zu vermitteln sein. Ausgehend vom Beispiel der Geheimdienste (siehe Einleitung) sollte sich das Schulungskonzept auch damit beschäftigen, wann eine Vergabe von Klassifikationen überhaupt sinnvoll ist. Denkbar ist, explizit nur die Sensitivitäten entsprechend S3 oder S4 zu kennzeichnen. Das Schema sollte es den Mitarbeitenden erlauben, Daten anhand der verschiedenen Sensitivitätsstufen selbstständig einzuordnen. Für die Einordnung von technischen Daten sollte das Unternehmen zudem Unterstützungsleistungen anbieten.

Fazit

Die Klassifikation von Informationen ist ein entscheidender Schritt, um Firmen dabei zu helfen, die Sicherheit und Vertraulichkeit ihrer Daten sicherzustellen. Obwohl das Schubladendenken in einigen Facetten des alltäglichen Lebens kritisch gesehen wird, ist es in der Welt der Informationssicherheit unverzichtbar, um Daten nach ihrer Wichtigkeit und Schutzbedürftigkeit zu ordnen.

Durch die Einführung klarer Klassifikationssysteme und das Schulen der Mitarbeitenden können Unternehmen sicherstellen, dass sensible Informationen korrekt gehandhabt werden. Standards und Normen bieten dabei eine wertvolle Unterstützung, um eine einheitliche und effektive Sicherheitsstrategie zu etablieren. Insgesamt hilft eine durchdachte Informationsklassifikation nicht nur dabei, Vermögenswerte zu schützen, sondern verbessert auch die Effizienz im täglichen Umgang mit Daten.