Datenklassifizierung
Einleitung
Es gibt unterschiedliche Gründe der Datenklassifizierung, Daten schützen zu wollen: Zum einen wird dies von Gesetzen, wie der europäischen Datenschutz-Grundverordnung (DSGVO), explizit eingefordert. Aber auch betriebliche und damit wettbewerbliche Gründe können ausschlaggebend dafür sein, bestimmte Daten wie Forschungsergebnisse, Patente oder auch nur Geschäftsdaten abzuschirmen. Alle diese Daten verlangen einen gewissen Schutz, dies gilt für die personenbezogenen genauso wie für die betriebswirtschaftlichen Daten.
Die Datenschutz-Grundverordnung verlangt von uns im Art. 32 DSGVO Abs. 4 „Sicherheit der Verarbeitung“ die Umsetzung von Anforderungen, um den Schutz personenbezogener Daten sicherzustellen.
Explizit wird in Art. 32 Abs. 2 gefordert:
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
Die Datenklassifizierung dient dazu, die vorhandenen Daten im Unternehmen so zu organisieren, dass die verschiedenen technischen-organisatorischen Maßnahmen zielgerichtet wirken können und die Daten möglichst effizient geschützt werden. Nur wenn sich die technisch-organisatorischen Maßnahmen im Datenschutz am Schutzbedarf der Daten orientieren, kann auch gewährleistet werden, dass das Schutzniveau als angemessen beurteilt werden kann. Mit einer stringenten und konsequenten Datenklassifizierung werden Kosten gespart, da zu aufwändige Maßnahmen für weniger sensible Daten vermieden und Fehlerquellen, welche zu Datenpannen bei sensiblen Daten führen können, reduziert werden.
Die Maßnahmen sollen in erster Linie die Vertraulichkeit der Daten sicherstellen, was unter der Berücksichtigung
- des Stands der Technik,
- der Implementierungskosten
- der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie
- der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
erfolgen muss.
Der Schutzbedarf hängt unter anderem von der Datenkategorie (wie z.B. Geschäftsunterlagen, Finanzdaten, Personalakten, …) ab. Zur Bestimmung dieses Schutzbedarfs bedient man sich eines sogenannten Schutzstufenkonzeptes. Dabei hat sich das Schutzstufenkonzept der Landesdatenschutzbehörde (LfD) Niedersachsen am geeignetsten für die Einstufung von personenbezogenen Daten (PBD) bewährt, welches auch im Nachgang Anwendung findet.
In den Geschäftsprozessen werden jedoch auch nicht-personenbezogene, gleichwohl ebenso schutzwürdige Daten verarbeitet, die betriebswirtschaftlichen Daten (BWD), die ebenfalls in die Betrachtung mit einbezogen wer-den müssen.
Vorgehensweise
Eine strukturierte Umsetzung und Durchführung der Datenklassifizierung erfordern das Vorgehen in planbaren, aufeinander abgestimmten Schritten. Wir schlagen daher für die Anwendung des Datenklassifizierungskonzepts eine Untergliederung des Projekts in folgende vier Meilensteine vor:
- Bestandsaufnahme
- Einordnung
- Testphase
- Implementierung
Im ersten Schritt ist es im Rahmen einer Bestandsaufnahme erforderlich, sich einen Überblick über die vorhandenen Daten zu verschaffen und diese in übergeordneten Datenkategorien zusammenzufassen. In der zweiten Phase wird unter Anwendung des vorliegenden Datenklassifizierungskonzepts eine Zuordnung in die richtige Schutzstufe vorgenommen. Entsprechend sollte in einer Richtlinie festgelegt werden, wie mit Daten aus der jeweiligen Schutzstufe verfahren werden darf, d.h. welche TOMs anzuwenden sind, welche Berechtigungen für welchen Personenkreis zu setzen sind etc. Vor dem Roll-Out auf das gesamte Unternehmen empfiehlt es sich, in einem dritten Schritt zunächst die Praktikabilität zu prüfen. Die Datenklassifizierung könnte in ein bis zwei Modellabteilungen für einen begrenzten Zeitraum angewendet werden. Nach erfolgtem Feedback können gegebenenfalls Feinabstimmungen vorgenommen werden. Im finalen vierten Schritt wird die Datenklassifizierung im gesamten Unternehmen verbindlich nach diesem Konzept bzw. der daraus abgeleiteten Richtlinie angewendet.
Einstufung der Kategorien in Schutzklassen
Das Schutzstufenkonzept der LfD Niedersachsen besteht aus fünf Schutzstufen (A bis E, unbedeutend bis sehr hoch) für die personenbezogenen Daten, die in Tabelle A1 (Anlage) dargestellt sind. Die Tabelle A1 und die auf sie folgende Tabelle A2 sind so aufeinander abgestimmt, dass diese sowohl für die personenbezogenen (PBD) als auch für die betriebswirtschaftlichen Daten (BWD) herangezogen werden können. Nur durch eine gemeinsame Betrachtung sowohl der personenbezogenen als auch der betriebswirtschaftlichen Daten ergibt sich die angemessene Einstufung in die jeweilige Schutzklasse (öffentlich, intern, vertraulich, geheim).
Einstufung der Schutzklassen in Schutzziele
Tabelle A3 (Anlage) führt die Schutzziele auf, die explizit in der DSGVO eingefordert werden: Verfügbarkeit, Integrität und Vertraulichkeit. Zusätzlich werden die beiden ebenfalls für den Zweck der Datensicherheit notwendigen Schutzziele, die Authentizität und die Revisionsfähigkeit aufgeführt. Das in der DSGVO gegenüber dem alten BDSG zusätzlich aufgenommene Schutzziel Belastbarkeit bleibt wegen der mangelnden Aussagekraft für das Gesamtsystem hier unbeachtet.
Das Schutzziel Vertraulichkeit ist gegenüber allen anderen Schutzzielen hervorgehoben, weil dieses Schutzziel die beste Aussagekraft für eine Einordnung der Daten in die jeweilige Schutzklasse besitzt.
Eigenschaften von Daten und Schutzklassen
Der hier verwendete übergeordnete Begriff Daten umfasst sowohl Dokumente, Bilder, Emails als auch weitere Dateien, die unter die Notwendigkeit der Klassifizierung und unter eine Schutzwürdigkeit fallen können.
Die in die Schutzklassen einzuordnenden Daten müssen mit bestimmten Eigenschaften belegt werden. Dabei muss zwischen den Metadaten für die jeweilige Datei und den Profildaten für die jeweilige Schutzklasse unterschieden werden.
Metadaten werden dateispezifisch erzeugt, entweder manuell über eine vorzugebende Maske und/ oder per Voreinstellungen automatisiert. Diese Eintragungen können sich auf die folgenden Werte beziehen:
- Autor,
- Titel,
- Thema,
- Erstellungsdatum,
- Änderungsdatum,
- Kommentar,
- Tags,
- Revisionsnummer
oder auch die für eine Löschung der Datei sinnvollen Werte:
- Ablaufdatum
- Aufbewahrungszeitraum
Schutzklassen-Profile (Masken) sollten für die Festlegung der Eigenschaften der jeweiligen Schutzklasse (öffentlich, intern, vertraulich, geheim) erstellt werden.
Eine Auswahl von Eigenschaften / Anforderungen an das jeweilige Schutzklassen-Profil zeigt die nachfolgende Aufstellung. Sinnvoll erscheint auch die Zuweisung einer Standard-Eigenschaft zu demjenigen Profil, welches am häufigsten eingesetzt werden wird.
Exemplarische Festlegung eines Profils mit den (zum Teil) geforderten Einstellungen:
Name der Profil-Eigenschaft | Beispiel |
---|---|
Name und Beschreibung des Profils | Interne Einordnung Nur für internen Gebrauch vorgesehen |
Schutzklasse | 2, intern |
Sicherheitsstufe für Rekonstruktion | 3, sensible Daten |
Verschlüsselung | Nein |
Wasserzeichen (nicht für Emails) | Nein |
Vergabe von Metadaten (Tags, Keyword, Thema, Markierung, Kategorien, …) | Zur Kennzeichnung der Datei |
Rechtezuweisung für Benutzer oder Gruppen – Inhalt anzeigen – Rechte anzeigen – Inhalt bearbeiten – Speichern – Kopieren und Inhalt extrahieren – Antworten – Allen Antworten – Weiterleiten – Berechtigungen bearbeiten – Inhalt exportieren – Makros zulassen – Vollzugriff |
Ja Ja Ja Nein Ja Nein Ja Ja Ja Nein Nein Nein Nein |
Festlegen eines Standardprofils zur Vereinfachung der Übernahme der Eintragungen an das Dokument | Ja |
Tabelle 1: Profilzuordnung
Zuordnung der Datenkategorien zu Schutzklassen
Wie aus den im Vorfeld dargelegten Überlegungen ersichtlich, schlagen wir die Einordnung der Datenkategorien in 4 Schutzklassen vor
Die Bestimmung der angemessenen Schutzklasse (als eine qualifizierte Aussage zum Bedarf an Schutz in Bezug auf das definierte Schutzziel, hier Vertraulichkeit) wird basierend auf den Tabellen A1 bis A4 vorgenommen. In spezifischen Fällen könnte es auch notwendig sein, weitere Schutzziele in die Bestimmung der Schutzklasse einzubeziehen.
In der nachfolgenden Ergebnislistung verschiedener, sicherlich nicht vollständiger Datenkategorien erfolgt eine aus unserer Sicht vorgenommene exemplarische Einschätzung der jeweils angemessenen Schutzklasse. Generell gilt jedoch, dass die Einschätzung und damit die Einordnung einer Schutzklasse zu einer Datenkategorie durch den Verantwortlichen vorgenommen werden sollte.
Datenkategorie | Schutzstufe PBD | Schutzstufe BWD | Schutzklasse | Begründung, falls erforderlich |
---|---|---|---|---|
Faktura | B | C | 3 | Wegen des sich möglicherweise niederschlagenden Risikos einer Offenlegung mit Erkenntnisgewinn für den Mitwettbewerb wird die höhere Schutzstufe verwendet |
Personaldaten | C | C | 3 | Personaldaten beinhalten u.U. sensible Daten wie Religionszugehörigkeit, Krankenstände etc. Die Offenlegung des Einkommens kann für die betroffenen Person gravierende externe Auswirkungen haben (Kredit etc.), aber auch intern im Vergleich unter den Kollegen Brisanz besitzen. Das Offenlegen des Gehaltsgefüges kann Social Engineering oder Korruption befördern. |
Gebäudedaten | A | B | 2 | Die pbD können sich z.B. auf die Lage des Büros/ Arbeitsplatzes beziehen, hier ist kein Schaden zu erwarten. Spezifische Gebäudedaten (Lage Serverraum, F&E etc.) sollten dagegen nicht breit veröffentlicht werden. |
Geschäftsunterlagen (außer Faktura) | B | B | 2 | Jede Kunden- und Partnerkommunikation außerhalb von Faktura wie z.B. Angebotsabstimmung, Terminabsprachen, Ausfuhrbelege etc. |
Produktdaten | A | D | 3 | pbD sind nicht betroffen, aber betriebswirtschaftlich gehören Produktdaten zu den Kronjuwelen |
F&E-Daten | A | E | 4 | s. Produktdaten, wobei die Schäden bei Offenlegung z.B von Patenten und Konstruktionsdaten für das Unternehmen noch gravierender sind |
Steuerunterlagen Unternehmen | A | D | 4 | Auch innerhalb des Unternehmens sollte nur ein streng ausgewählter Personenkreis Kenntnis über die Einzelheiten der Versteuerung haben |
Inventar | A | A | 1 | Das Inventar ist von jedem Kaufmann zu Beginn seines Handelsgewerbes und zum Schluss eines jeden Geschäftsjahres sowie bei Geschäftsaufgabe aufzustellen. |
Verträge | Stärkere Differenzierung notwendig, z.B. Arbeitsverträge, Auftragsverarbeitungsverträge, Kooperationsverträge etc. |
Tabelle 2: Ergebnis der Zuordnung von Datenkategorien zu Schutzklassen
Beispiel
Die Datenkategorie wird mit Faktura bezeichnet, hierin werden die Dokumente Angebot, Lieferschein, Auftragsbestätigung, Gutschrift, Rechnung verstanden.
Alle diese Dokumente beinhalten sowohl personenbezogene Daten als auch betriebswirtschaftliche Daten. Ein Blick in die Tabellen A1 und A2 ergibt die folgende Einschätzung:
- Für die personenbezogenen Daten (Name, Adresse) wird m.E. das Ansehen des Betroffenen nicht beschädigt, wenn ein Missbrauch (z.B. Veröffentlichung) dieser Daten stattfindet, insofern wäre die Schutzstufe B (gering) angebracht.
- Für die betriebswirtschaftlichen Daten gilt es nun abzuschätzen, ob z.B. durch die Offenlegung eines Angebotes oder einer Rechnung das Ansehen des Betriebes geschädigt wird oder ob ein wesentlicher Nachteil entstehen kann, wenn der Mitwettbewerb hiervon Kenntnis erlangt. Wir entscheiden uns für die Schutzstufe C (mittel).
Die Bestimmung der Schutzklasse ergibt sich aus dem maximalen Schutzstufenwert von Tabelle A1 und Tabelle A2, hier B und C.
Die gültige Zuordnung von Schutzstufe zu Schutzklasse wird aus der Tabelle A4 erhalten: Die Matrix zeigt in der Kombination der beiden grünen (und damit zulässigen) Werte der Schutzstufen von PBD und BWD eine mögliche Einstufung in die Schutzklasse 2 (intern) an. Ebenso ist eine grüne (und damit zulässige) Einstufung des BWD in die Schutzklasse 3 (vertraulich) möglich. Alle anderen Schutzklassen sind dagegen nicht zulässig. In der Abwägung der beiden möglichen Schutzklassen 2 und 3 gibt hier im Beispiel die höherwertige Einstufung der BWD in die Schutzklasse 3 den Ausschlag für die Gesamtbewertung der Datenkategorie Faktura in die Schutzklasse 3 (vertraulich).
Analog zu dem hier gegebenen Beispiel ist durch den Verantwortlichen die vorgenommene Einstufung in die Schutzklassen aus der vorhergehenden Beispieltabelle zu überprüfen, ergänzen und gegebenenfalls zu ersetzen.
Löschkonzept
Dieses hier vorgelegte Grob-Löschkonzept orientiert sich an der Norm DIN 66398, welche einen Leitfaden mit Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten eines Löschkonzepts hinsichtlich personenbezogener Daten enthält. Ein ganzheitliches Löschkonzept, das auch die Behandlung anderer schutzwürdiger Datenkategorien beinhaltet, sollte noch erarbeitet werden. Das Löschkonzept ist auf Grund der Erweiterung der Datenklassifizierung mit nur einem zusätzlichen Datumswert (2. Spalte innerhalb der Tabelle A5) aufgenommen worden, welches bei Eintritt eine entsprechende Reaktion auslösen kann (z.B. Hinweis auf den Löschvorgang).
Die vorgeschlagenen Vernichtungsmaßnahmen richten sich ebenfalls nach der DIN 66399 und sind entsprechend datenschutzkonform. Hierin erfolgt die Einteilung in 3 Schutzklassen und sieben Sicherheitsstufen, die für das hier vorliegende Datenklassifizierungs-Konzept angepasst worden sind, indem eine Erweiterung auf 4 Schutzklassen erfolgte und die 7 Sicherheitsstufen entsprechend zugeordnet werden, vgl. Tabelle A5.
Glossar
Klassifizierung | Einordnung von Elementen gleicher Eigenschaften |
---|---|
Reproduktion | Vervielfältigung, Erstellen einer Kopie, Wiederherstellungsfähigkeit |
Schutzbedarf | Schutzwürdigkeit der Daten. Der Schutzbedarf wird hierbei in normal, hoch und sehr hoch unterschieden. |
Schutzklasse | Zusammenfassung von schutzbedürftigen Elementen zu einer Klasseneinheit |
Schutzstufe | Einordnung von personenbezogenen und betriebswirtschaftlichen Daten |
Schutzziel | Festlegung des sicheren Soll-Zustandes in einem Arbeitsbereich. Wenn das Schutzziel erreicht ist, können keine Belastungen oder Gefährdungen auftreten. Die Schutzziele hier sind Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und Revisionsfähigkeit. |
Sicherheitsstufe | Klassifizierung der Schwierigkeit zur Wiederherstellung von Daten nach gesicherten Vernichtungsverfahren |
Tabelle 3: Definition der benutzen Fachbegriffe
Anlage
Die dargestellten Maßnahmen innerhalb der Tabellen A1 und A2 sind additiv zu sehen und müssen der jeweils nächsten Stufe zugeordnet werden, die Maßnahmen sind nicht abschließend.
Schutzstufe Schaden |
Anforderungen an personenbezogene Daten (PBD) |
---|---|
A unbedeutend geringfügig |
Frei zugängliche Daten Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmen-de ein berechtigtes Interesse geltend machen muss, z. B. Daten, die die verantwortli-che Stelle im Internet oder in Broschüren veröffentlicht bzw. in öffentlich zugänglichen Verzeichnissen zur Verfügung stellt. Maßnahmen: – Mitarbeiter werden im Umgang mit der Verwendbarkeit erhobener frei zu-gänglicher Daten sensibilisiert. – Unverschlüsselte Datenübertragung über Email ist zulässig, jedoch wird emp-fohlen, die Empfänger und den Übertragungsweg sorgfältig auszuwählen. |
B gering geringfügig |
Bindung an Kenntnisnahme Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, für deren Kenntnisnahme jedoch ein berechtigtes Interesse des Einsichtnehmenden Voraussetzung ist, z. B. interne Telefon-Durchwahlnummern, interne Zuständigkeiten. Maßnahmen: – Es wird sichergestellt, dass der Betroffene vor einer Datenübermittlung informiert wird, oder bereits formal in diese eingewilligt hat. |
C mittel überschaubar |
Beeinträchtigung des Ansehens Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Stichwort: Beeinträchtigung des Ansehens), z. B. Daten über Vertragsbeziehungen, Höhe des Einkommens, etwaige Sozialleistungen, Ordnungswidrigkeiten. Maßnahmen: – Daten werden mit restriktiven Rechten im Active Directory gegen Fremdzugriff verriegelt. – Es ist dokumentiert, wer auf die entsprechenden Daten und Strukturen Zugriff hat. (Nachvollziehbar in den Gruppen des Active Directory oder den Rechtestrukturen der entsprechenden Anwendungssoftware) – Datenübertragung mittels Email ist nur verschlüsselt zulässig. Hierzu werden die Mitarbeiter nach Bedarf geschult, mit welchen Verfahren Dateien mit einem Passwort versehen oder in einem Archiv verschlüsselt werden können. – Gemäß Clean Desk Policy werden die Daten in Papierform strikt unter Verschluss gehalten. Es existiert eine Anweisung, dass diese Papierdokumente nach Bearbeitung wieder verschlossen aufbewahrt werden. – Gemäß Clean Desk Policy werden die Daten nur solange auf dem Bildschirm verarbeitet wie es notwendig ist. Ein automatischer Bildschirmschoner ist eingerichtet. Die Mitarbeiter sind angewiesen, bei Verlassen des Raumes den Bildschirm aktiv zu sperren. |
D hoch substantiell |
Gefährdung der Existenz Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Stichwort: soziale Existenz), z. B. Unterbringung in Anstalten, Straffälligkeit, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen. Maßnahmen: – Mitarbeiter, die Daten der Schutzstufe hoch verarbeiten, sind über die strafrechtliche Relevanz der unbefugten Kompromittierung von Daten informiert (202a ff StGB) sowie auf das Fernmeldegeheimnis verpflichtet. – Räume, in denen diese Daten verarbeitet werden (unabhängig ob in Papierform oder elektronisch) sind besonders gesichert. – Bei Verlassen der Räume, in denen diese Daten verarbeitet werden, ist sicherzustellen, dass Unbefugte keinen Zutritt erlangen. |
E sehr hoch groß |
Gefährdung für Leib und Leben Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stichwort: physische Existenz), z. B. Adressen von verdeckten Ermittlern, Adressen von Personen, die mögliche Opfer einer Straftat sein können. Maßnahmen: – Eine Übertragung per Email ist nicht zulässig – Daten der Schutzstufe E werden ausschließlich auf verschlüsselten Datenträgern gelagert. – Es ist dokumentiert, wer wann und zu welchem Zweck Zugriff zu diesen Daten erhalten hat. – Alle Datenübertragungen (sowohl in digitaler wie auch in physischer Form) werden protokolliert. (Es wird die verantwortliche Personen, der Transportweg, der Transportgrund, der Empfänger sowie der exakte zeitliche Ablauf des Transportes protokolliert). – Der Empfänger der Daten unterzeichnet ein Übernahmeprotokoll. |
Tabelle A1: Schutzstufen personenbezogener Daten und deren Maßnahmen
Schutzstufe Schaden |
Anforderungen an betriebswirtschaftliche Daten (BWD) |
---|---|
A unbedeutend ohne Schaden |
Frei zugängliche Daten Die betriebswirtschaftlichen Daten sind frei zugänglich, von der Richtigkeit muss ausgegangen werden. |
B gering vernachlässigbar |
Interne betriebswirtschaftliche Daten. Ein Missbrauch verursacht keine besondere Beeinträchtigung der betrieblichen Funktion oder der Umweltbeziehungen des Unternehmens. |
C mittel spürbar |
Beeinträchtigung des Ansehens Ein Missbrauch von betriebswirtschaftlichen Daten kann die betriebliche Funktion, die Umweltbeziehungen oder das Ansehen des Unternehmens erheblich beeinträchti-gen. |
D hoch schmerzhaft |
Verlust an Reputation Betriebswirtschaftliche Daten, deren Missbrauch die Reputation oder die wirtschaft-lichen Verhältnisse des Unternehmens in eine erhebliche Schieflage bringen kann. |
E sehr hoch katastrophal |
Bedrohung der Existenz Ein Missbrauch kann die finanzielle oder marktwirtschaftliche Situation oder die Existenz eines |
Tabelle A2: Schutzstufen betriebswirtschaftlicher Daten
Schutz- klasse |
Verfügbarkeit | Integrität | Vertraulichkeit | Authentizität | Revisionsfähigkeit |
---|---|---|---|---|---|
Daten müssen jederzeit zur Verfügung stehen und ordnungsgemäß verarbeitet werden können. | Daten müssen während der Verarbeitung unversehrt, vollständig und aktuell bleiben. | Daten müssen vor unbefugter Kenntnisnahme geschützt werden. | Daten müssen ihrem Ursprung zugeordnet werden können. | Entwicklung, Einsatz, Wartung, Administration und Anwendung des Verfahrens und Verarbeitung der Daten müssen nachvollziehbar sein. | |
1 | Allgemeine Verfügbarkeit | Ungesicherte Integrität | Öffentlich | Nicht geforderte Authentizität | Keine Anforderungen |
Keine zeitkritischen Verfahren, keine besonderen Anforderungen an die Verfügbarkeit bzw. Wiederherstellung der Verfügbarkeit. Die Wiederherstellung unterliegt den allgemeinen Regeln zur Datensicherung | Die Daten unterliegen keinen besonderen Maßnahmen zur Sicherung der Integrität | Es bestehen keine Anforderungen an die Vertraulichkeit. | Eine Nachweisbarkeit der Authentizität ist nicht gefordert | Keine Anforderungen an die Revisionsfähigkeit des Datenverarbeitungsverfahrens | |
2 | Definierte Verfügbarkeit | Geschützte Integrität | Intern | Kontrollierbare Authentizität | Nachvollziehbare Anforderungen |
Zeitkritische Verfahren mit definierten Anforderungen an die Verfügbarkeit bzw. Wiederherstellung der Verfügbarkeit. Ein Sicherungs- und Rekonstruktionskonzept muss vorhanden sein. | Der Verlust der Integrität kann zu einer Störung der betrieblichen Funktionen führen. In den Verfahren müssen Vorkehrungen zum Schutz der Daten vor unbefugten Veränderungen und Datenverlusten eingerichtet sein, z. B. ein Berechtigungssystem, Passwortschutz, Schreibsperre etc. |
Die Informationen dürfen nur intern verwendet und nicht an Dritte weitergegeben werden. | Der Verlust der Authentizität kann zu einer Störung der betrieblichen Funktionen führen. Es muss nachvollziehbar sein, dass nur berechtigte Personen die Daten erzeugt bzw. eingestellt und ggf. geändert haben, z. B. durch Berechtigungsprofile | Es bestehen keine erhöhten Anforderungen an die Revisionsfähigkeit. der Datenverarbeitungsverfahren und der Datenverarbeitung unterliegen den allgemeinen Regelungen |
|
3 | Hochverfügbar | Nachprüfbare Integrität | Vertraulich | Beweisbare Authentizität | Erhöhte Anforderungen |
Businesskritische Daten und Verfahren mit besonders hohen Ansprüchen an Verfügbarkeit und Wiederherstellung. Ein Notfallplan und ein Sicherungs- und Rekonstruktionskonzept müssen vorhanden sein. | Der Verlust der Integrität kann empfindliche Schäden verursachen. In den Verfahren müssen Vorkehrungen zum Nachweis des Schutzes der Integrität vorgesehen sein, z. B. Protokollierung von Änderungen, Prüfsummen etc. | Die Daten sind nur einem bestimmten oder bestimmbaren Personenkreis zugänglich. | Der Verlust der Authentizität kann zu empfindlichen Schäden führen. Es muss nachvollziehbar sein, wer die Daten wann erzeugt bzw. eingestellt und ggf. geändert hat, z. B. durch Protokollierungen | Die Nachvollziehbarkeit und Prüfbarkeit der Verfahren und der Datenverarbeitung unterliegen erhöhten Anforderungen. Entwicklung, Testung, Freigabe, Administration, Anwendung der Verfahren, die Integrität der Programme und die Verarbeitung der Daten müssen dokumentiert und nachvollziehbar sein. | |
4 | Signierte Integrität | geheim | Signierte Authentizität | Höchste Anforderungen | |
Die Integrität der Daten muss beweisbar sein, z. B. bei Urkunden oder elektronischen Rechnungen. Die Integrität der Daten muss durch eine qualifizierte elektronische Signatur oder ein vergleichbar sicheres Verfahren gewährleistet sein. |
Die Daten sind nur einem namentlich festgelegten Personenkreis zugänglich | Die Authentizität muss unverfälschbar nachgewiesen werden können, z. B. bei Urkunden. Der Nachweis muss durch eine elektronische Signatur oder ein vergleichbar sicheres Verfahren geführt werden können. | Die Nachvollziehbarkeit und Prüfbarkeit der Verfahren und der Datenverarbeitung unterliegen nochmals erhöhten Ansprüchen. Die Unveränderbarkeit von Programmen, Dokumentationen, Administrations- und Verarbeitungsprotokollen und sonstigen Aufzeichnungen sowie die Nachvollziehbarkeit der Verarbeitung der Daten muss gegeben und die Gewährleistung der Revisionsfähigkeit in einem Konzept beschrieben sein. |
Tabelle A3: Klassifizierung von Schutzzielen
Datenkategorien, Datenklassen, Eintrittswahrscheinlichkeit, Risiko, Schutzbedarf, Schutzklasse