Transparenz als Voraussetzung für angemessene IT-Sicherheit

Was Datenklassifikation leisten kann und soll

Seite: 2/3

Firmen zum Thema

Die organisatorische Voraussetzung

Als organisatorische Voraussetzung für das Daten-Management müssen Unternehmen ein Datenklassifizierungsschema mit verschiedenen Schutzklassen erstellen. Jeder Datei wird eine Schutzklasse zugeordnet. Damit erhält sie verbindliche Vorgaben zur Identifikation und Informationen hinsichtlich

  • Schutzbedarf
  • Ablage
  • Berechtigung und Zugriff
  • Weitergabe und Vervielfältigung
  • Auftragsdatenverarbeitung und Mandantenfähigkeit
  • Verfügbarkeit
  • Vernichtung

Die Einführung einer Klassifizierungslösung tangiert alle Unternehmensbereiche.
Die Einführung einer Klassifizierungslösung tangiert alle Unternehmensbereiche.
(Bild: Daniele Fiebig)

Regelungen für die Datenklassifizierung sollten Unternehmen in der Datenklassifizierungs-Richtlinie fixieren oder als Teil der IT-Sicherheits-Policy definieren. Weiterhin besteht die Möglichkeit, die vorhandene Dokumenten-Richtlinie um Schutzstufen für Dokumente bzw. einzelne Schutzklassen zu erweitern.

Die Anzahl der erforderlichen Klassen ist unternehmensabhängig. Jedoch sollten nur wirklich benötigte Klassen definiert werden. Die Festlegung der Klassifizierung muss immer im geschäftlichen Kontext erfolgen.

Beispiele für Klassifizierungsschemata:

  • BSI-Standard 100-2 „IT-Grundschutz Vorgehensweise“, Kapitel 4.3 „Schutzbedarfsfeststellung (normal, hoch, sehr hoch) - Maßstab für die Datensicherheit ergibt sich durch die Klassifizierung der genutzten Daten nach den Schadenspotentialen.
  • Stufenmodelle der Datenschutzbeauftragten der Länder (Stufe A bis E¸ Quelle: Schutzstufenkonzept des LDSB Niedersachsen)
  • Unternehmensrichtlinien mit selbst definierten Schutzklassen (zum Beispiel: nicht klassifiziert, öffentlich, intern, vertraulich, geheim, Verschlusssache, nur für den Dienstgebrauch)

Die Schutzklassen müssen allen Mitarbeitern bekanntgegeben und in der täglichen Arbeit verankert werden. Das Heißt: Die Klassifizierung muss in Geschäfts- und Service-Management-Prozesse integriert werden, damit sie effektiv genutzt werden kann.

(ID:43052660)