Die Informationsklassifizierung ist ein wesentlicher Teil der Arbeit im Kontext einer DIN/EN/ISO 27001 (kurz: ISO).
Das macht auch Sinn, denn bevor ich etwas schützen kann, sollte ich zunächst wissen, was ich schützen möchte und wie hoch der Schutzbedarf ist.
Im Sinne der ISO sind es zunächst die drei Schutzziele
- Vertraulichkeit
- Verfügbarkeit
- Integrität
Was mich immer wieder verwundert – meist wird nur die Vertraulichkeit berücksichtigt, wenn Informationen klassifiziert werden.
Selten finde ich die beiden anderen Schutzziele – sind die also gar nicht wichtig?
Die ISO behandelt das Thema z.B. in der Gruppe 08.02 – Informationsklassifizierung
Ziel: Es ist sichergestellt, dass Information ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erhält.
In der dazu gehörenden Maßnahme 08.02.01 – Klassifizierung von Information findet sich die Ergänzung
Information sollte anhand der gesetzlichen Anforderungen, ihres Wertes, ihrer Kritikalität und ihrer Empfindlichkeit gegenüber unbefugter Offenlegung oder Veränderung klassifiziert werden.
Also zumindest die ISO macht hier keine Ausnahme, wenngleich das Beispiel am Ende des Normtextes zur Maßnahme sich an der Vertraulichkeit orientiert.
Tatsächlich kann man auch die beiden anderen Schutzziele berücksichtigen – es ist nur mehr Aufwand.
Mir geht es nun aber noch um einen anderen Aspekt.
Welche Rolle spielt eigentlich der Datenschutz und dessen „Vertraulichkeit“ bei der Betrachtung der Klassifizierung?
Genau genommen gibt es keinen direkten Anspruch auf Datenschutz aus der ISO 27001 heraus.
Ein Beispiel soll das erklären:
Der Geschäftsbericht eines börsennotierten Unternehmens ist vor der Veröffentlichung sicher „strictly confidential“, oder?
Immerhin könnte man auf Basis dieses Wissens schon vorher auf steigende oder fallende Kurse setzen.
Das Beispiel aus der Norm definiert die höchste Schutzklasse so:
Offenlegung hat schwerwiegende Auswirkungen auf langfristige strategische Zielsetzungen und gefährdet den Bestand der Organisation.
Na ja – das könnte man schon so interpretieren.
Und welche Schutzstufe hätte diese Information nun aus der Sicht eines Datenschützers?
Eben – gar keine. Weil hier keine Schutzziele aus dem Datenschutz verletzt werden, würde die Information „offengelegt“.
Besonders im Umfeld der Microsoft Cloud wird das relevant, wenn ich mit AIP – Azure Information Protection arbeiten möchte.
(Quelle: Microsoft)
Hier vergebe ich einen Label (z.B. C4), der sinngemäß z.B. die höchste Schutzklasse darstellt, um meinen Geschäftsbericht zu schützen.
Weil ich für eine Krankenversicherung tätig bin, bekomme ich natürlich immer wieder auch Informationen von meinen Kunden mit besonders schützenswerten, streng vertraulichen Daten.
Also werden diese auch C4 gekennzeichnet?
Sehen Sie das Problem?
Sinngemäß handelt es sich in beiden Fällen um „streng vertrauliche“ Daten und doch sind es ganz unterschiedliche Schutzziele.
Beide Informationen wollen vor „Offenlegung“ geschützt sein, aber an der Kennzeichnung kann ich den Grund dafür nicht mehr unterscheiden.
Deshalb sollte man darüber nachdenken, mehr als nur ein Kennzeichen bei der Informationsklassifizierung zu nutzen.
Eines z.B. für die Vertraulichkeit im Sinne der ISO und eines um den Schutzbedarf aus Sicht des Datenschutzes zu definieren.
Und wenn ich mich an die Schutzziele der Norm halte, müsste ich mir auch noch etwas für die Verfügbarkeit und die Integrität überlegen.
Ja – das ist viel mehr Aufwand und ich habe damit auch viel mehr Arbeit doch – mit welcher Begründung sollte ich ein Schutzziel klassifizieren und zwei andere ignorieren?
Die ISO gibt Ihnen die Freiheit, diese Dinge in einem gewissen Rahmen zu gestalten und erlaubt auch den „einfachen Weg“.
Also geht es hier nicht um richtig oder falsch.
Es geht darum, die „Seele“ der ISO zu verstehen, damit man sie auch richtig leben kann…