- ISO 27001 Control A.5.12 fordert die Klassifizierung von Informationen, A.5.13 die Kennzeichnung und A.7.10 die sichere Handhabung von Speichermedien.
- Drei bis vier Klassifizierungsstufen reichen für die meisten Unternehmen: Öffentlich, Intern, Vertraulich und optional Streng Vertraulich.
- Jede Stufe muss mit konkreten Handhabungsregeln verknüpft sein: Was darf per E-Mail verschickt werden, was muss verschlüsselt werden, was darf gedruckt werden?
- Jede Information braucht einen Verantwortlichen (Information Owner), der die Klassifizierung festlegt und regelmäßig überprüft.
- Die Richtlinie wirkt nur, wenn alle Mitarbeitenden geschult sind und die Klassifizierung im Arbeitsalltag praktikabel ist.
Warum Informationsklassifizierung unverzichtbar ist
Nicht alle Informationen in deinem Unternehmen sind gleich schützenswert. Die Speisekarte der Kantine hat einen anderen Schutzbedarf als die Kundenliste, und die Kundenliste einen anderen als die Passwörter der Administratoren. Das klingt trivial, aber ohne eine formale Klassifizierung entscheidet jeder Mitarbeitende nach eigenem Ermessen, welche Informationen schützenswert sind und welche nicht.
Das Ergebnis: Der eine verschickt Vertragsdetails per unverschlüsselter E-Mail, weil er sie nicht als besonders sensibel einschätzt. Die andere legt Zugangsdaten im Klartext in ein Shared-Drive, weil sie davon ausgeht, dass nur Berechtigte darauf zugreifen. Und der Dritte stuft routinemäßig alles als „vertraulich" ein, was dazu führt, dass die Kennzeichnung ihre Bedeutung verliert, weil sie inflationär verwendet wird.
Eine Klassifizierungsrichtlinie schafft einheitliche Kriterien. Sie definiert Stufen, ordnet jeder Stufe Schutzmaßnahmen zu und legt fest, wer die Klassifizierung vornimmt. So wird aus individueller Einschätzung ein nachvollziehbarer, konsistenter Prozess.
Was die Normen fordern
ISO 27001
ISO 27001 widmet der Informationsklassifizierung mehrere Controls:
A.5.12 Classification of Information: Informationen müssen gemäß den Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit klassifiziert werden. Das Klassifizierungsschema muss die geschäftlichen Anforderungen, gesetzliche Vorgaben und die Sensibilität der Information berücksichtigen.
A.5.13 Labelling of Information: Klassifizierte Informationen müssen gemäß dem Klassifizierungsschema gekennzeichnet werden. Die Kennzeichnung betrifft sowohl physische als auch digitale Informationen.
A.5.10 Acceptable use of information and other associated assets: Die Nutzung von Informationen muss den Regeln entsprechen, die sich aus der Klassifizierung ergeben.
A.7.10 Storage media: Speichermedien müssen gemäß dem Klassifizierungsschema verwaltet werden, einschließlich Transport, Entsorgung und Wiederverwendung.
NIS2
NIS2 fordert zwar kein explizites Klassifizierungsschema, aber die Anforderungen an angemessene Sicherheitsmaßnahmen (Artikel 21) setzen voraus, dass du weißt, was du schützen musst und wie sehr. Ohne Klassifizierung gibt es keine risikoorientierte Steuerung der Schutzmaßnahmen, und genau die verlangt NIS2.
Klassifizierungsstufen definieren
Die erste und wichtigste Entscheidung: Wie viele Stufen brauchst du, und wie heißen sie?
Warum weniger mehr ist
Je mehr Stufen du definierst, desto schwieriger wird die korrekte Zuordnung für die Mitarbeitenden. Fünf oder sechs Stufen klingen auf dem Papier differenziert, führen in der Praxis aber dazu, dass niemand den Unterschied zwischen „eingeschränkt" und „vertraulich" kennt und die Klassifizierung zum Ratespiel wird.
Für die meisten Unternehmen im Mittelstand reichen drei Stufen. Wer sensiblere Bereiche abdecken muss (z.B. Personalakten, M&A-Transaktionen, Forschungsdaten), ergänzt eine vierte Stufe.
Empfohlenes Schema
Stufe 1: Öffentlich (Public)
Informationen, die ohne Einschränkung veröffentlicht werden dürfen oder bereits öffentlich zugänglich sind. Ihre Offenlegung verursacht keinen Schaden.
Beispiele: Pressemitteilungen, veröffentlichte Produktinformationen, öffentliche Website-Inhalte, allgemeine Kontaktdaten.
Stufe 2: Intern (Internal)
Informationen, die für den internen Gebrauch bestimmt sind. Ihre unbeabsichtigte Offenlegung wäre unangenehm oder könnte einen geringen Schaden verursachen, gefährdet aber nicht die Geschäftstätigkeit.
Beispiele: Interne Prozessdokumentationen, Organigramme, Meeting-Protokolle, allgemeine Projektinformationen, Schulungsunterlagen.
Stufe 3: Vertraulich (Confidential)
Informationen, deren unbefugte Offenlegung einen erheblichen Schaden für das Unternehmen, Kunden oder Geschäftspartner verursachen könnte. Zugang nur für Personen mit berechtigtem Interesse (Need-to-Know).
Beispiele: Kundendaten, Vertragsinhalte, Kalkulationen, Finanzzahlen vor Veröffentlichung, Personalakten, technische Systemdokumentation, Passwörter und Zugangsdaten.
Stufe 4 (optional): Streng Vertraulich (Strictly Confidential)
Informationen, deren Offenlegung schwerwiegende Schäden verursachen würde: existenzbedrohende Geschäftsrisiken, massive rechtliche Konsequenzen oder Gefährdung von Personen. Zugang auf namentlich benannte Personen beschränkt.
Beispiele: M&A-Unterlagen, unveröffentlichte Patentanmeldungen, Notfallschlüssel, Krisenmanagement-Pläne, Informationen zu laufenden Rechtsstreitigkeiten mit hohem Streitwert.
Klassifizierung als Standardwert
Die Richtlinie muss festlegen, was gilt, wenn keine explizite Klassifizierung vorgenommen wurde. Die empfohlene Standardstufe ist „Intern". Das stellt sicher, dass unklassifizierte Informationen nicht versehentlich öffentlich werden, ohne dass die Organisation in Arbeit ertrinkt, weil alles als „vertraulich" behandelt werden muss.
Handhabungsregeln pro Stufe
Die Klassifizierungsstufen sind nur dann nützlich, wenn jeder Mitarbeitende weiß, was die Stufe in der Praxis bedeutet. Dafür braucht die Richtlinie eine Handhabungsmatrix, die für jeden Informationstyp und jede Stufe konkrete Regeln definiert.
Beispiel-Handhabungsmatrix
| Aspekt | Öffentlich | Intern | Vertraulich | Streng Vertraulich |
|---|---|---|---|---|
| E-Mail-Versand | Uneingeschränkt | An interne Empfänger ohne Einschränkung, extern bei Bedarf | Nur an berechtigte Empfänger, Verschlüsselung empfohlen | Nur verschlüsselt, nur an namentlich freigegebene Empfänger |
| Cloud-Speicherung | Uneingeschränkt | Zugelassene Cloud-Dienste | Nur in freigegebenen, verschlüsselten Cloud-Diensten | Nicht in Cloud-Diensten, nur auf kontrollierten Systemen |
| Ausdruck | Uneingeschränkt | Persönlich am Drucker abholen | Persönlich am Drucker abholen, nicht offen liegen lassen | Nur mit Freigabe, Ausdrucke nummeriert, nach Gebrauch vernichten |
| Entsorgung | Normaler Papierkorb | Aktenvernichter (Cross-Cut) | Aktenvernichter (Cross-Cut), Datenträger: zertifizierte Vernichtung | Aktenvernichter (Cross-Cut), Datenträger: physische Zerstörung, protokolliert |
| Weitergabe an Externe | Uneingeschränkt | Nach Prüfung durch Fachabteilung | Nur mit NDA und Freigabe | Nur mit NDA, Einzelfreigabe durch Geschäftsführung |
| Speicherung auf mobilen Geräten | Uneingeschränkt | Geräteverschlüsselung aktiv | Geräteverschlüsselung, MDM-Pflicht, Container | Nicht auf mobilen Geräten |
| Weitergabe per Messenger/Chat | Uneingeschränkt | Interne Tools | Nur über freigegebene, verschlüsselte Kanäle | Nicht über digitale Kanäle, persönlich oder Telefon |
Diese Matrix ist ein Orientierungsrahmen. Du passt sie an die spezifischen Gegebenheiten deines Unternehmens an.
Kennzeichnung (Labelling)
Klassifizierung nützt nichts, wenn die Stufe nicht erkennbar ist. Die Richtlinie muss definieren, wie Informationen gekennzeichnet werden.
Digitale Dokumente
- Header/Footer: Klassifizierungsstufe in der Kopf- oder Fußzeile (z.B. „VERTRAULICH"). Dokumentenvorlagen sollten ein Feld dafür enthalten.
- Dateiname: Optional die Stufe als Präfix im Dateinamen (z.B. „C_Vertrag_Kunde_XY.pdf").
- Metadaten: Klassifizierung in den Dokumenteneigenschaften hinterlegen.
- E-Mail: Kennzeichnung im Betreff oder als standardisierter Hinweis am Anfang der Nachricht.
Physische Dokumente
- Stempel oder Aufdruck: Auf dem Deckblatt und auf jeder Seite (bei vertraulichen und streng vertraulichen Dokumenten).
- Farbcodierung: Optional farbige Kennzeichnung (z.B. grüner Stempel für „Intern", roter Stempel für „Vertraulich").
Systeme und Datenbanken
- Systemklassifizierung: Systeme werden entsprechend der höchsten Klassifizierungsstufe der darin gespeicherten Daten eingestuft – die Grundlage dafür liefert ein gepflegtes IT-Asset-Management.
- Raumklassifizierung: Serverräume und Archive werden gemäß der darin befindlichen Informationen klassifiziert und der Zutritt entsprechend geregelt.
Pragmatischer Umgang
Die Richtlinie sollte realistisch bleiben. Nicht jede E-Mail und jedes Dokument wird in der Praxis gekennzeichnet werden. Die Richtlinie kann festlegen, dass die Kennzeichnung für „Intern" empfohlen, für „Vertraulich" verpflichtend und für „Streng Vertraulich" zwingend ist. Informationen der Stufe „Öffentlich" brauchen keine Kennzeichnung, es sei denn, die Kennzeichnung macht deutlich, dass sie bewusst für die Öffentlichkeit bestimmt sind.
Rollen und Verantwortlichkeiten
Information Owner (Informationsverantwortlicher)
Jede Information (oder Informationsgruppe) braucht einen benannten Verantwortlichen. Der Information Owner ist typischerweise die Leitung der Fachabteilung, die die Information erstellt oder primär nutzt:
- Personaldaten: HR-Leitung
- Finanzdaten: Leitung Finanzen/Controlling
- Kundendaten: Leitung Vertrieb oder Geschäftsführung
- Technische Systemdokumentation: IT-Leitung
- Vertragsdaten: Rechtsabteilung oder Geschäftsführung
Der Information Owner hat folgende Pflichten:
- Festlegung der Klassifizierungsstufe
- Regelmäßige Überprüfung (mindestens jährlich) und Anpassung bei Bedarf
- Freigabe von Zugriffen auf die Information
- Entscheidung über Deklassifizierung oder Vernichtung
In ISMS Lite lässt sich die Zuordnung der Information Owner zu ihren Datenbeständen zentral verwalten, inklusive automatischer Erinnerung an die jährliche Überprüfung der Klassifizierung.
Alle Mitarbeitenden
Jeder Mitarbeitende ist verpflichtet, die Klassifizierung zu beachten und die Handhabungsregeln einzuhalten. Wer Informationen erstellt, die nicht in eine bestehende Zuordnung fallen, wendet den Standardwert „Intern" an und konsultiert bei Unsicherheit den Information Owner oder den ISB.
ISB
Der Informationssicherheitsbeauftragte pflegt die Richtlinie, berät bei der Klassifizierung, überwacht die Einhaltung und führt Stichproben durch.
Lebenszyklus klassifizierter Informationen
Informationen behalten ihre Klassifizierung nicht ewig. Die Richtlinie muss den gesamten Lebenszyklus abdecken.
Erstellung und Klassifizierung
Informationen werden bei der Erstellung oder beim Eingang im Unternehmen klassifiziert. Der Ersteller nimmt die initiale Klassifizierung vor, orientiert an den definierten Kriterien und der Standardstufe.
Nutzung und Weitergabe
Während der aktiven Nutzung gelten die Handhabungsregeln der jeweiligen Stufe. Bei der Weitergabe an Dritte (intern oder extern) muss die empfangende Person über die Klassifizierung informiert werden.
Änderung der Klassifizierung
Wenn sich die Sensibilität einer Information ändert (z.B. nach der Veröffentlichung eines Geschäftsberichts sinkt die Stufe von „Vertraulich" auf „Öffentlich"), passt der Information Owner die Klassifizierung an. Hochstufungen können auch durch veränderte rechtliche Anforderungen oder neue Bedrohungen ausgelöst werden.
Archivierung
Archivierte Informationen behalten ihre Klassifizierung. Die Archivierungsumgebung muss den Schutzanforderungen der höchsten darin enthaltenen Klassifizierungsstufe entsprechen.
Vernichtung
Wenn Informationen nicht mehr benötigt werden und keine Aufbewahrungspflichten bestehen, werden sie gemäß den Handhabungsregeln ihrer Stufe vernichtet. Die Vernichtung vertraulicher und streng vertraulicher Informationen wird protokolliert.
Häufige Fehler und wie du sie vermeidest
Überklassifizierung
Wenn alles „vertraulich" ist, ist nichts vertraulich. Überklassifizierung führt dazu, dass Mitarbeitende die Kennzeichnung ignorieren, weil sie inflationär verwendet wird. Die Richtlinie sollte darauf hinweisen, dass die Klassifizierung dem tatsächlichen Schutzbedarf entsprechen muss und dass eine zu hohe Einstufung ebenso problematisch ist wie eine zu niedrige.
Fehlende Handhabungsregeln
Eine Richtlinie, die zwar Stufen definiert, aber nicht sagt, was konkret zu tun ist, lässt die Mitarbeitenden ratlos zurück. Die Handhabungsmatrix ist kein optionaler Anhang, sondern der praktisch relevanteste Teil der Richtlinie.
Klassifizierung als einmaliger Akt
Viele Unternehmen klassifizieren einmal und vergessen es dann. Die Richtlinie muss einen Review-Zyklus definieren: mindestens jährliche Überprüfung durch die Information Owner, zusätzlich anlassbezogen.
Keine Schulung
Wenn die Mitarbeitenden die Stufen und die Handhabungsregeln nicht kennen, ist die Richtlinie wirkungslos. Ein strukturiertes Security Awareness Programm mit einer kurzen Schulung bei der Einführung und danach jährlich aufgefrischt macht den Unterschied.
Ignorierte Schnittstellen
Die Klassifizierungsrichtlinie muss mit anderen Richtlinien verzahnt sein. Die Zugangs- und Zutrittskontrollrichtlinie orientiert sich an den Klassifizierungsstufen. Die Backup-Richtlinie definiert Aufbewahrungsfristen nach Klassifizierung. Die Kryptografie-Richtlinie legt fest, welche Verschlüsselung pro Stufe gilt.
Klassifizierung in der Praxis: Wie du startest
Die Einführung einer Klassifizierungsrichtlinie muss nicht mit einem Mammutprojekt beginnen. Ein pragmatischer Ansatz in drei Phasen hat sich bewährt.
Phase 1: Grundlagen schaffen. Richtlinie erstellen, Stufen definieren, Handhabungsmatrix aufsetzen, Information Owner für die wichtigsten Datenbestände benennen. In dieser Phase klassifizierst du die offensichtlichen Fälle: Kundendaten sind vertraulich, Pressemitteilungen sind öffentlich, allgemeine Prozessdokumentationen sind intern. Das Ergebnis ist eine verabschiedete Richtlinie und eine erste grobe Klassifizierung der wichtigsten Datenbestände.
Phase 2: Breite Umsetzung. Alle Fachabteilungen klassifizieren ihre wesentlichen Datenbestände. Schulungen finden statt. Die Kennzeichnung wird eingeführt. Vorlagen und Dokumentenformate werden angepasst. Diese Phase dauert typischerweise drei bis sechs Monate, je nach Unternehmensgröße.
Phase 3: Vertiefung und Integration. Die Klassifizierung wird in technische Systeme integriert (DLP, Zugriffsrechte, E-Mail-Verschlüsselung). Automatisierte Kontrollen unterstützen die manuelle Klassifizierung. Die jährliche Überprüfung wird etabliert. Abweichungen werden im internen ISMS-Audit geprüft.
Dieser schrittweise Ansatz verhindert, dass das Projekt die Organisation überfordert, und liefert trotzdem schnell erste Ergebnisse, die bei einem Audit vorzeigbar sind.
Beispielgliederung für eine Klassifizierungsrichtlinie
- Zweck und Geltungsbereich
- Begriffe und Definitionen - Information Owner, Klassifizierungsstufe, Need-to-Know
- Normative Grundlagen - ISO 27001 A.5.10, A.5.12, A.5.13, A.7.10
- Klassifizierungsstufen - Definition und Kriterien für jede Stufe
- Standardklassifizierung - Was gilt, wenn nicht explizit klassifiziert wird?
- Handhabungsmatrix - Regeln pro Stufe und Informationstyp
- Kennzeichnung - Digital und physisch
- Rollen und Verantwortlichkeiten - Information Owner, Mitarbeitende, ISB
- Klassifizierungsprozess - Initiale Klassifizierung, Änderung, Deklassifizierung
- Lebenszyklus - Erstellung, Nutzung, Archivierung, Vernichtung
- Schulung und Awareness
- Ausnahmen und Risikoakzeptanz
- Überprüfung und Aktualisierung
- Inkrafttreten und Freigabe
Von der Richtlinie zum gelebten System
Eine Klassifizierungsrichtlinie einzuführen, ist ein Veränderungsprojekt. Du änderst die Art, wie Mitarbeitende mit Informationen umgehen. Das erfordert Kommunikation, Schulung und vor allem Praktikabilität. Wenn die Richtlinie den Arbeitsalltag unnötig verkompliziert, wird sie umgangen. Wenn sie verständlich ist und die Handhabungsregeln in die bestehenden Arbeitsprozesse passen, wird sie gelebt.
ISMS Lite bildet den kompletten Richtlinien-Lifecycle ab: Du erstellst die Klassifizierungsrichtlinie mit KI-Unterstützung, versionierst jede Änderung automatisch, holst die digitale Kenntnisnahme aller Mitarbeitenden ein und lässt die Geschäftsführung per Unterschrift freigeben. So wird die Klassifizierung nicht zum Papiertiger, sondern zum verbindlichen Bestandteil deines ISMS.
Weiterführende Artikel
- Schutzbedarfsfeststellung: Systematisch bewerten, was schützenswert ist
- Informationssicherheitsrichtlinie erstellen: Aufbau, Inhalte und Praxis
- Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch
- Kryptografie-Richtlinie erstellen: Algorithmen, Schlüssellängen und Lifecycle
- Richtlinien-Lifecycle: Von der Erstellung bis zur Außerkraftsetzung