Zum Hauptinhalt springen
Informationssicherheit / NIS2

Informationsklassifizierung

Die Informationsklassifizierung ordnet Informationen anhand ihres Schutzbedarfs definierten Schutzstufen zu und legt verbindliche Kennzeichnungs- und Handhabungsregeln fest, damit jede Information ihrem Wert entsprechend geschützt wird.

Die Informationsklassifizierung ist ein zentraler Baustein eines Informationssicherheits-Managementsystems (ISMS) und beschreibt das systematische Einstufen von Informationen in zuvor definierte Schutzstufen. Grundlage ist der Schutzbedarf, der sich aus den klassischen Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit ableitet. Typische Stufenschemata reichen etwa von "öffentlich" über "intern" und "vertraulich" bis "streng vertraulich"; entscheidend ist nicht die Anzahl der Stufen, sondern dass jede Stufe eindeutig definiert ist und sich an den möglichen Schäden bei einer Verletzung der Schutzziele orientiert.

Zur Klassifizierung gehören untrennbar Kennzeichnungsregeln und Handhabungsvorgaben. Die Kennzeichnung macht die Einstufung für alle Beteiligten sichtbar, etwa durch Fuß- oder Kopfzeilen in Dokumenten, Metadaten in Dateien oder Vermerke in E-Mails. Die Handhabungsvorgaben legen je Schutzstufe fest, wie Informationen gespeichert, übermittelt, kopiert, aufbewahrt und vernichtet werden dürfen, einschließlich Anforderungen an Verschlüsselung, Zugriffskontrolle und Transportwege. So wird sichergestellt, dass der einmal festgestellte Schutzbedarf über den gesamten Lebenszyklus der Information konsistent durchgesetzt wird.

Normativ ist die Informationsklassifizierung fest verankert: ISO/IEC 27001 fordert in Anhang A entsprechende Maßnahmen zur Klassifizierung und Kennzeichnung von Informationen, der BSI IT-Grundschutz adressiert sie im Baustein zum Schutzbedarf, und mittelbar verlangen auch Regelwerke wie die NIS2-Richtlinie und TISAX angemessene Maßnahmen zum Schutz von Informationen nach ihrem Wert. Eine gepflegte Klassifizierung ist zudem Voraussetzung für wirksames Asset-Management, risikobasierte Maßnahmenauswahl und den Nachweis der Wirksamkeit gegenüber Auditoren und Aufsichtsbehörden.

Rechtliche Grundlage

ISO/IEC 27001 (Anhang A, u. a. A.5.12/A.5.13); BSI IT-Grundschutz; mittelbar Art. 21 NIS2-Richtlinie (RL (EU) 2022/2555)

Praxisbeispiel

Ein mittelständischer Anlagenbauer führt im Rahmen seiner ISO/IEC 27001-Zertifizierung ein vierstufiges Klassifizierungsschema ein. Die Informationssicherheitsbeauftragte definiert je Stufe Kennzeichnungs- und Handhabungsregeln: Konstruktionszeichnungen werden als "vertraulich" eingestuft, in der Dokumentenfußzeile entsprechend gekennzeichnet, ausschließlich verschlüsselt versendet und nur einem definierten Personenkreis nach dem Need-to-know-Prinzip zugänglich gemacht. Mitarbeitende erhalten eine kurze Schulung, und die Klassifizierung wird in jedes neue Dokumententemplate als Pflichtfeld integriert, sodass der Schutzbedarf bereits bei der Erstellung festgelegt wird.

Häufige Fragen

In der Praxis haben sich drei bis vier Stufen bewährt, etwa "öffentlich", "intern", "vertraulich" und "streng vertraulich". Wichtiger als die Anzahl ist, dass jede Stufe eindeutig definiert ist und mit konkreten Kennzeichnungs- und Handhabungsregeln hinterlegt wird. Zu viele Stufen werden im Alltag oft nicht korrekt angewendet.
Die Schutzbedarfsfeststellung ermittelt, wie hoch der Schutzbedarf einer Information oder eines Assets hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit ist. Die Klassifizierung übersetzt dieses Ergebnis in eine standardisierte Schutzstufe mit zugehörigen Kennzeichnungs- und Handhabungsregeln. Die Klassifizierung baut also auf der Schutzbedarfsfeststellung auf.
Ja, ISO/IEC 27001 erwartet in Anhang A Maßnahmen zur Klassifizierung und Kennzeichnung von Informationen. Werden diese Maßnahmen als nicht anwendbar betrachtet, muss das im Statement of Applicability begründet werden. In der Praxis ist eine funktionierende Klassifizierung fast immer erforderlich.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Schutzbedarfsfeststellung Schutzziele der Informationssicherheit Asset-Management ISO 27001 Zugriffskontrolle
Zurück zum Glossar