Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

Klassifizierung von Informationen – Die Basis für gute Informationssicherheit und Digitalisierung

Bild Andreas von Grebmer

Als Beratungsunternehmen für Informationssicherheit und Risikomanagement werden wir oft beauftragt, eine Statusanalyse durchzuführen, wie es um die Informationssicherheit im Moment bestellt ist. Oftmals auch als Vorbereitung für eine ISO 27001 Zertifizierung bzw. Anlehnung an den Standard.

Der Standard verlangt, dass die Informationen klassifiziert sind und entsprechend ihrer Klassifizierung beschriftet werden. Dies ist die Basis für eine sichere, gesetzteskonforme und sachgerechte Verarbeitung (Erhebung, Änderung, Übermittlung, Weitergabe, Vernichtung).

Ich staune immer wieder, was ich zum Thema Daten oder Informationsklassifizierung zu hören und sehen bekomme. Zum Einen zeigt man mir Klassifikationen wie «nur für Geschäftsgebrauch», «vertraulich» und «geheim», also man fokussiert sich ausschliesslich auf den Aspekt Vertraulichkeit. Die Anforderungen der Verfügbarkeit, Integrität, der Datenschutz- und regulatorischen Relevanz werden gar nicht berücksichtigt. Zum Anderen gibt es immer noch Organisationen, die gar nicht klassifizieren. Das ist erstaunlich, sind doch Informationen der Betriebsstoff für die Digitalisierung die momentan jeder anstrebt.

Dabei ist die Klassifizierung eine der einfachsten und kostengünstigsten Massnahmen und sollte der erste Schritt eines effektiven und nachhaltigen Informationssicherheitsmanagementsystems (ISMS) sein.

Ohne Klassifikation laufen Organisationen Gefahr Informationen zu wenig oder zu viel zu schützen und somit entweder Vermögenswerte zu gefährden oder Ressourcen zu verschwenden.

Die Materie erscheint trocken und unscheinbar und klar ist es für alle Beteiligten interessanter am neuen Firewall-Projekt mitzuarbeiten und darüber zu reden.

Lassen Sie mich es anhand von Gefahrgutklassen erklären. Beschriftung und Handlungsanweisung für zum Beispiel den Transport sind klar definiert, über Grenzen hinaus. Wären Chemiefässer nicht beschriftet, dann wüssten Feuerwehrleute nicht, wie Sie bei einer Havarie vorgehen sollen. Falsche Massnahmen mit katastrophalen folgenden könnten getroffen werden.

Wenn Sie Ihre geschäftlichen Informationen nicht klassifizieren, wie sollen dann Mitarbeiter, Geschäftspartner und Zulieferer wissen, wie sie mit den Informationen umgehen sollen. Warum ist das wichtig? Kunden zum Beispiel, egal ob Sie medizinische Informationen oder Kreditkarten Details verarbeiten, erwarten heutzutage, dass Sie sorgfältig und professionell damit umgehen. Tun Sie das nicht, so sind negative Presseerwähnungen und rechtliche Konsequenzen nur eine Frage der Zeit.

Ohne Klassifikation laufen Organisationen Gefahr negative Erwähnung in der Presse zu erhalten und es drohen rechtliche Konsequenzen.

Ein Beispiel das wir öfter antreffen sind Hosting-Verträge mit Dritten, in denen die angebotene Verfügbarkeit von Systemen und Daten nicht mit den Erwartungen der Anwender übereinstimmen. Und wenn Sie übereinstimmen, dann hat oft noch nie jemand getestet, ob die Wiederherstellung in der gewünschten Zeit funktioniert.

Der Zeitaufwand für die Einführung eines Klassifikationsschemas ist gering. Das Wesentliche lässt sich in einem Tag einführen. Der Rest ist Kommunikation und Schulung.

Die Schritte sind

  1. Bestimmung der Klassifizierungsaspekte die eingesetzt werden sollen
  2. Festlegung der Klassifizierungslevel; Verfügbarkeit zum Beispiel vital, hoch, normal
  3. Handlungsanweisung definieren für jeden Klassifizierungsaspekte, jeden Klassifizierungslevel und die relevanten Medientypen (Papier, Smart Device, Telefon …)
  4. Schulung und Umsetzung, ggfs. technische Massnahmen
  5. Überwachung und Verbesserungsmassnahmen

Die Vorteile sind

  1. Sie wissen was Sie haben
  2. Sie wissen was es für einen Wert für Ihre Firma darstellt
  3. Der Schutz wird gemäss dem jeweiligen Klassifizierungslevel eingerichtet (keine Unter- oder Überschutz.
  4. Ressourcen (Menschen, Geld, Infrastruktur usw.) werden zielgerichtet eingesetzt

Und bitte, gehen Sie das Thema zentral an. Sie brauchen nicht einzelne Lösungen für den Datenschutz, eine für Informationssicherheit usw.

Ihr ganzes Informationssicherheits-, Cybersecurity-, Business Continuity- und Datenschutzkonzept, sowie Ihre internen und externen Service Levels können mit diesem Instrument gesteuert werden.

CISS - Comprehensive Information Security Switzerland auf Security-Finder Schweiz


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Kalender Security Schweiz

ISSS Berner Tagung
18.11.2020

ISSS Excellence Award
25.11.2020

Security-Finder Schweiz: Newsletter