Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Datensicherheit Glossar

Datenklass ifizierung - Grundlage jeder Datenschutzstrategie

Datenklassifizierung ordnet Informationen nach ihrem Schutzbedarf: öffentlich, intern, vertraulich, streng vertraulich (oder geheimhaltungsbeduerftig). Klassifizierungssysteme sind Grundlage für DLP, Zugriffsrechte, Verschlüsselung und Löschfristen. Microsoft Purview Information Protection verwendet Labels und automatische Klassifizierung (trainierbare Klassifikatoren, Pattern-Matching). BSI-Grundschutz: Schutzbedarf 'normal', 'hoch', 'sehr hoch'. ISO 27001: Annex A-8.2.

Datenklassifizierung ist der erste Schritt jeder ernst zu nehmenden Datenschutzstrategie: erst wer weiss welche Daten wie sensibel sind, kann sie angemessen schützen.

Klassifizierungsstufen

Typische Unternehmens-Klassifizierungsstufen:

Stufe 1: Öffentlich (Public):
  → Frei zugängliche Informationen
  → Beispiele: Marketing-Material, Pressemitteilungen, öffentliche Website
  → Schaden bei Verlust: kein (bereits öffentlich)
  → Massnahmen: keine speziellen

Stufe 2: Intern (Internal):
  → Nur für Mitarbeiter
  → Beispiele: interne Rundsendungen, allgemeine Prozessdoku
  → Schaden bei Verlust: gering (kein Wettbewerbsvorteil)
  → Massnahmen: kein öffentlicher Upload, intern verbleiben

Stufe 3: Vertraulich (Confidential):
  → Eingeschraenkter Personenkreis
  → Beispiele: Kundenvertraege, Finanzberichte, HR-Daten
  → Schaden bei Verlust: erheblich (DSGVO, Wettbewerb, Reputation)
  → Massnahmen: Verschlüsselung, Zugriffsprotokoll, kein Versand ohne TLS

Stufe 4: Streng Vertraulich (Strictly Confidential):
  → Kleinstmöglicher Kreis
  → Beispiele: M&A-Unterlagen, Jahresabschluesse vor Veröffentlichung,
               Personalakte C-Suite, Sicherheits-Audit-Berichte
  → Schaden bei Verlust: existenzgefährdend oder strafrechtlich relevant
  → Massnahmen: MFA-Zugang, DLP, keine Cloud-Ablage, physische Sicherung

BSI-Schutzbedarfsanalyse (3-stufig):
  Normal:    Normaler Schutzbedarf (Standardmassnahmen)
  Hoch:      Erhöhter Schutzbedarf (Sicherheitsmassnahmen erhöhen)
  Sehr Hoch: Maximaler Schutzbedarf (BSI: "life-threatening, very serious damage")

Klassifizierungsschemas

Verschiedene Industriestandards:

Regierungsklassifizierung (NATO/DE-Behörden):
  Offen / VS-Nur für den Dienstgebrauch (NfD) / VS-Vertraulich / Geheim / Streng Geheim
  → Gesetzlich geregelt (Verschlusssachenanweisung)
  → Für KRITIS-Betreiber relevant (Kooperation mit Behörden)

DSGVO-Relevanz:
  → Nicht direkt ein Klassifizierungssystem, aber impliziit:
  → Personenbezogene Daten: Vertraulich (mind.)
  → Besondere Kategorien (Art. 9 DSGVO): Streng Vertraulich
    (Gesundheit, Biometrie, Religion, politische Meinung, etc.)
  → Anonymisierte Daten: Öffentlich oder Intern

PCI DSS (Zahlungskarten):
  → Cardholder Data: höchstes Schutzniveau (immer!)
  → Sensitive Authentication Data: nach Transaktion löschen

ISO 27001 Annex A-8.2:
  → "Information Classification" als Pflicht
  → Klassifizierungs-Richtlinie im ISMS dokumentieren
  → Alle Assets klassifiziert (in Asset-Inventar!)
  → Labeling: wie werden Dokumente markiert?

Microsoft Purview Information Protection

Automatische Klassifizierung mit Labels:

Sensitivity Labels:
  → In M365 konfigurierbar (Purview Compliance Center)
  → Labels: Öffentlich / Intern / Vertraulich / Streng Vertraulich
  → Sichtbar: in Office-Apps (Word, Excel, Teams, Outlook)

Label-Aktionen:
  Verschlüsselung:
  → Label "Vertraulich" → AES-256 verschlüsselt (AIP)
  → Nur autorisierte User können öffnen
  → Auch wenn Datei geteilt wird: Verschlüsselung bleibt!
  
  Wasserzeichen:
  → "VERTRAULICH" als Wasserzeichen in Kopf-/Fusszeile
  → Abschreckung + Erkennbarkeit bei Druck/Screenshot
  
  DLP-Trigger:
  → Label "Streng Vertraulich" → DLP-Policy aktiv
  → Versand extern blockiert
  
  Ablauf-Datum:
  → M&A-Unterlagen: automatisch nach 90 Tagen "Intern" (statt "Streng Vertraulich")

Automatische Klassifizierung:
  # Trainierbare Klassifikatoren (ML):
  → Muster-Dokumente hochladen → ML lernt Kategorie
  → "Finanzberichte": 50 Beispiele → ML klassifiziert ähnliche
  
  # Pattern-basiert (Sensitive Info Types):
  → IBAN: automatisch "Vertraulich"
  → Passnummern: automatisch "Vertraulich"
  → Interne Projektnummern (Regex): automatisch "Intern"

Auto-Labeling Policy:
  → Dokumente ohne Label: automatisch bewerben
  → Simulation-Modus: erst schauen was klassifiziert wuerde
  → Dann aktivieren: alle matching Dateien werden gelabelt

Klassifizierung in der Praxis

Huerden und Lösungsansaetze:

Huerde 1: Nutzer-Widerstand
  → "Zu zeitaufwaendig"
  → Lösung: Default-Label "Intern" (kein extra Klick nötig)
  → Nur Rauf-Klassifizieren benötigt bewusste Aktion

Huerde 2: Inkonsistenz
  → Gleiche Dokument, verschiedene Labels je Ersteller
  → Lösung: Klare Richtlinie + Entscheidungsbaum
    "Enthalt es Kundendaten? → Ja → Vertraulich"

Huerde 3: Legacy-Dokumente
  → 100.000 alte Dokumente ohne Labels
  → Lösung: Bulk-Auto-Labeling (Purview) + manuelle Stichproben
  → Nicht alles auf einmal: priorisiert vorgehen

Huerde 4: Cloud vs. On-Premises
  → Labels in M365 gut, aber On-Prem-Dateiserver?
  → Lösung: Azure Information Protection Scanner (on-prem Dateien)
  → Oder: SharePoint/OneDrive als Ziel-Plattform

Audit-Nachweis (ISO 27001 A-8.2):
  → Klassifizierungsrichtlinie: schriftlich dokumentiert
  → Asset-Inventar: alle Daten-Assets mit Klassifizierung
  → Nachweis: Purview-Labels-Report (welche Dokumente, welches Label)
  → Schulung: Mitarbeiter kennen Klassifizierungsstufen
    (Nachweis: Schulungsprotokoll)

AWARE7 Leistungen zum Thema

ISO 27001 Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Cloud Security: Sicherheit in AWS, Azure und GCP - Der komplette Guide

22 min Lesezeit

Verwandte Begriffe

Data Loss Prevention (DLP) - Datenverlust verhindern DSGVO (Datenschutz-Grundverordnung) Insider Threat
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung