Datenklassifizierung

Datenklassifizierung

Einleitung

Es gibt unterschiedliche Gründe der Datenklassifizierung, Daten schützen zu wollen: Zum einen wird dies von Gesetzen, wie der europäischen Datenschutz-Grundverordnung (DSGVO), explizit eingefordert. Aber auch betriebliche und damit wettbewerbliche Gründe können ausschlaggebend dafür sein, bestimmte Daten wie Forschungsergebnisse, Patente oder auch nur Geschäftsdaten abzuschirmen. Alle diese Daten verlangen einen gewissen Schutz, dies gilt für die personenbezogenen genauso wie für die betriebswirtschaftlichen Daten.

Die Datenschutz-Grundverordnung verlangt von uns im Art. 32 DSGVO Abs. 4 „Sicherheit der Verarbeitung“ die Umsetzung von Anforderungen, um den Schutz personenbezogener Daten sicherzustellen.

Explizit wird in Art. 32 Abs. 2 gefordert:

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

Die Datenklassifizierung dient dazu, die vorhandenen Daten im Unternehmen so zu organisieren, dass die verschiedenen technischen-organisatorischen Maßnahmen zielgerichtet wirken können und die Daten möglichst effizient geschützt werden. Nur wenn sich die technisch-organisatorischen Maßnahmen im Datenschutz am Schutzbedarf der Daten orientieren, kann auch gewährleistet werden, dass das Schutzniveau als angemessen beurteilt werden kann. Mit einer stringenten und konsequenten Datenklassifizierung werden Kosten gespart, da zu aufwändige Maßnahmen für weniger sensible Daten vermieden und Fehlerquellen, welche zu Datenpannen bei sensiblen Daten führen können, reduziert werden.

Die Maßnahmen sollen in erster Linie die Vertraulichkeit der Daten sicherstellen, was unter der Berücksichtigung

  • des Stands der Technik,
  • der Implementierungskosten
  • der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
    erfolgen muss.

Der Schutzbedarf hängt unter anderem von der Datenkategorie (wie z.B. Geschäftsunterlagen, Finanzdaten, Personalakten, …) ab. Zur Bestimmung dieses Schutzbedarfs bedient man sich eines sogenannten Schutzstufenkonzeptes. Dabei hat sich das Schutzstufenkonzept der Landesdatenschutzbehörde (LfD) Niedersachsen am geeignetsten für die Einstufung von personenbezogenen Daten (PBD) bewährt, welches auch im Nachgang Anwendung findet.
In den Geschäftsprozessen werden jedoch auch nicht-personenbezogene, gleichwohl ebenso schutzwürdige Daten verarbeitet, die betriebswirtschaftlichen Daten (BWD), die ebenfalls in die Betrachtung mit einbezogen wer-den müssen.

Vorgehensweise

Eine strukturierte Umsetzung und Durchführung der Datenklassifizierung erfordern das Vorgehen in planbaren, aufeinander abgestimmten Schritten. Wir schlagen daher für die Anwendung des Datenklassifizierungskonzepts eine Untergliederung des Projekts in folgende vier Meilensteine vor:

  1. Bestandsaufnahme
  2. Einordnung
  3. Testphase
  4. Implementierung

Im ersten Schritt ist es im Rahmen einer Bestandsaufnahme erforderlich, sich einen Überblick über die vorhandenen Daten zu verschaffen und diese in übergeordneten Datenkategorien zusammenzufassen. In der zweiten Phase wird unter Anwendung des vorliegenden Datenklassifizierungskonzepts eine Zuordnung in die richtige Schutzstufe vorgenommen. Entsprechend sollte in einer Richtlinie festgelegt werden, wie mit Daten aus der jeweiligen Schutzstufe verfahren werden darf, d.h. welche TOMs anzuwenden sind, welche Berechtigungen für welchen Personenkreis zu setzen sind etc. Vor dem Roll-Out auf das gesamte Unternehmen empfiehlt es sich, in einem dritten Schritt zunächst die Praktikabilität zu prüfen. Die Datenklassifizierung könnte in ein bis zwei Modellabteilungen für einen begrenzten Zeitraum angewendet werden. Nach erfolgtem Feedback können gegebenenfalls Feinabstimmungen vorgenommen werden. Im finalen vierten Schritt wird die Datenklassifizierung im gesamten Unternehmen verbindlich nach diesem Konzept bzw. der daraus abgeleiteten Richtlinie angewendet.

Einstufung der Kategorien in Schutzklassen

Das Schutzstufenkonzept der LfD Niedersachsen besteht aus fünf Schutzstufen (A bis E, unbedeutend bis sehr hoch) für die personenbezogenen Daten, die in Tabelle A1 (Anlage) dargestellt sind. Die Tabelle A1 und die auf sie folgende Tabelle A2 sind so aufeinander abgestimmt, dass diese sowohl für die personenbezogenen (PBD) als auch für die betriebswirtschaftlichen Daten (BWD) herangezogen werden können. Nur durch eine gemeinsame Betrachtung sowohl der personenbezogenen als auch der betriebswirtschaftlichen Daten ergibt sich die angemessene Einstufung in die jeweilige Schutzklasse (öffentlich, intern, vertraulich, geheim).

Einstufung der Schutzklassen in Schutzziele

Tabelle A3 (Anlage) führt die Schutzziele auf, die explizit in der DSGVO eingefordert werden: Verfügbarkeit, Integrität und Vertraulichkeit. Zusätzlich werden die beiden ebenfalls für den Zweck der Datensicherheit notwendigen Schutzziele, die Authentizität und die Revisionsfähigkeit aufgeführt. Das in der DSGVO gegenüber dem alten BDSG zusätzlich aufgenommene Schutzziel Belastbarkeit bleibt wegen der mangelnden Aussagekraft für das Gesamtsystem hier unbeachtet.

Das Schutzziel Vertraulichkeit ist gegenüber allen anderen Schutzzielen hervorgehoben, weil dieses Schutzziel die beste Aussagekraft für eine Einordnung der Daten in die jeweilige Schutzklasse besitzt.

Eigenschaften von Daten und Schutzklassen

Der hier verwendete übergeordnete Begriff Daten umfasst sowohl Dokumente, Bilder, Emails als auch weitere Dateien, die unter die Notwendigkeit der Klassifizierung und unter eine Schutzwürdigkeit fallen können.

Die in die Schutzklassen einzuordnenden Daten müssen mit bestimmten Eigenschaften belegt werden. Dabei muss zwischen den Metadaten für die jeweilige Datei und den Profildaten für die jeweilige Schutzklasse unterschieden werden.

Metadaten werden dateispezifisch erzeugt, entweder manuell über eine vorzugebende Maske und/ oder per Voreinstellungen automatisiert. Diese Eintragungen können sich auf die folgenden Werte beziehen:

  • Autor,
  • Titel,
  • Thema,
  • Erstellungsdatum,
  • Änderungsdatum,
  • Kommentar,
  • Tags,
  • Revisionsnummer

oder auch die für eine Löschung der Datei sinnvollen Werte:

  • Ablaufdatum
  • Aufbewahrungszeitraum

Schutzklassen-Profile (Masken) sollten für die Festlegung der Eigenschaften der jeweiligen Schutzklasse (öffentlich, intern, vertraulich, geheim) erstellt werden.

Eine Auswahl von Eigenschaften / Anforderungen an das jeweilige Schutzklassen-Profil zeigt die nachfolgende Aufstellung. Sinnvoll erscheint auch die Zuweisung einer Standard-Eigenschaft zu demjenigen Profil, welches am häufigsten eingesetzt werden wird.

Exemplarische Festlegung eines Profils mit den (zum Teil) geforderten Einstellungen:

Name der Profil-EigenschaftBeispiel
Name und Beschreibung des ProfilsInterne Einordnung
Nur für internen Gebrauch vorgesehen
Schutzklasse2, intern
Sicherheitsstufe für Rekonstruktion 3, sensible Daten
VerschlüsselungNein
Wasserzeichen (nicht für Emails)Nein
Vergabe von Metadaten (Tags, Keyword, Thema, Markierung, Kategorien, …)Zur Kennzeichnung der Datei
Rechtezuweisung für Benutzer oder Gruppen
- Inhalt anzeigen
- Rechte anzeigen
- Inhalt bearbeiten
- Speichern
- Drucken
- Kopieren und Inhalt extrahieren
- Antworten
- Allen Antworten
- Weiterleiten
- Berechtigungen bearbeiten
- Inhalt exportieren
- Makros zulassen
- Vollzugriff

Ja
Ja
Ja
Nein
Ja
Nein
Ja
Ja
Ja
Nein
Nein
Nein
Nein
Festlegen eines Standardprofils zur Vereinfachung der Übernahme der Eintragungen an das DokumentJa

Tabelle 1: Profilzuordnung

Zuordnung der Datenkategorien zu Schutzklassen

Wie aus den im Vorfeld dargelegten Überlegungen ersichtlich, schlagen wir die Einordnung der Datenkategorien in 4 Schutzklassen vor

Die Bestimmung der angemessenen Schutzklasse (als eine qualifizierte Aussage zum Bedarf an Schutz in Bezug auf das definierte Schutzziel, hier Vertraulichkeit) wird basierend auf den Tabellen A1 bis A4 vorgenommen. In spezifischen Fällen könnte es auch notwendig sein, weitere Schutzziele in die Bestimmung der Schutzklasse einzubeziehen.

In der nachfolgenden Ergebnislistung verschiedener, sicherlich nicht vollständiger Datenkategorien erfolgt eine aus unserer Sicht vorgenommene exemplarische Einschätzung der jeweils angemessenen Schutzklasse. Generell gilt jedoch, dass die Einschätzung und damit die Einordnung einer Schutzklasse zu einer Datenkategorie durch den Verantwortlichen vorgenommen werden sollte.

DatenkategorieSchutzstufe PBDSchutzstufe BWDSchutzklasseBegründung, falls erforderlich
FakturaBC3Wegen des sich möglicherweise niederschlagenden Risikos einer Offenlegung mit Erkenntnisgewinn für den Mitwettbewerb wird die höhere Schutzstufe verwendet
PersonaldatenCC3Personaldaten beinhalten u.U. sensible Daten wie Religionszugehörigkeit, Krankenstände etc. Die Offenlegung des Einkommens kann für die betroffenen Person gravierende externe Auswirkungen haben (Kredit etc.), aber auch intern im Vergleich unter den Kollegen Brisanz besitzen. Das Offenlegen des Gehaltsgefüges kann Social Engineering oder Korruption befördern.
GebäudedatenAB2Die pbD können sich z.B. auf die Lage des Büros/ Arbeitsplatzes beziehen, hier ist kein Schaden zu erwarten. Spezifische Gebäudedaten (Lage Serverraum, F&E etc.) sollten dagegen nicht breit veröffentlicht werden.
Geschäftsunterlagen (außer Faktura)BB2Jede Kunden- und Partnerkommunikation außerhalb von Faktura wie z.B. Angebotsabstimmung, Terminabsprachen, Ausfuhrbelege etc.
ProduktdatenAD3pbD sind nicht betroffen, aber betriebswirtschaftlich gehören Produktdaten zu den Kronjuwelen
F&E-DatenAE4s. Produktdaten, wobei die Schäden bei Offenlegung z.B von Patenten und Konstruktionsdaten für das Unternehmen noch gravierender sind
Steuerunterlagen UnternehmenAD4Auch innerhalb des Unternehmens sollte nur ein streng ausgewählter Personenkreis Kenntnis über die Einzelheiten der Versteuerung haben
InventarAA1Das Inventar ist von jedem Kaufmann zu Beginn seines Handelsgewerbes und zum Schluss eines jeden Geschäftsjahres sowie bei Geschäftsaufgabe aufzustellen.
VerträgeStärkere Differenzierung notwendig, z.B. Arbeitsverträge, Auftragsverarbeitungsverträge, Kooperationsverträge etc.

Tabelle 2: Ergebnis der Zuordnung von Datenkategorien zu Schutzklassen

Beispiel

Die Datenkategorie wird mit Faktura bezeichnet, hierin werden die Dokumente Angebot, Lieferschein, Auftragsbestätigung, Gutschrift, Rechnung verstanden.

Alle diese Dokumente beinhalten sowohl personenbezogene Daten als auch betriebswirtschaftliche Daten. Ein Blick in die Tabellen A1 und A2 ergibt die folgende Einschätzung:

  • Für die personenbezogenen Daten (Name, Adresse) wird m.E. das Ansehen des Betroffenen nicht beschädigt, wenn ein Missbrauch (z.B. Veröffentlichung) dieser Daten stattfindet, insofern wäre die Schutzstufe B (gering) angebracht.
  • Für die betriebswirtschaftlichen Daten gilt es nun abzuschätzen, ob z.B. durch die Offenlegung eines Angebotes oder einer Rechnung das Ansehen des Betriebes geschädigt wird oder ob ein wesentlicher Nachteil entstehen kann, wenn der Mitwettbewerb hiervon Kenntnis erlangt. Wir entscheiden uns für die Schutzstufe C (mittel).

Die Bestimmung der Schutzklasse ergibt sich aus dem maximalen Schutzstufenwert von Tabelle A1 und Tabelle A2, hier B und C.

Die gültige Zuordnung von Schutzstufe zu Schutzklasse wird aus der Tabelle A4 erhalten: Die Matrix zeigt in der Kombination der beiden grünen (und damit zulässigen) Werte der Schutzstufen von PBD und BWD eine mögliche Einstufung in die Schutzklasse 2 (intern) an. Ebenso ist eine grüne (und damit zulässige) Einstufung des BWD in die Schutzklasse 3 (vertraulich) möglich. Alle anderen Schutzklassen sind dagegen nicht zulässig. In der Abwägung der beiden möglichen Schutzklassen 2 und 3 gibt hier im Beispiel die höherwertige Einstufung der BWD in die Schutzklasse 3 den Ausschlag für die Gesamtbewertung der Datenkategorie Faktura in die Schutzklasse 3 (vertraulich).

Analog zu dem hier gegebenen Beispiel ist durch den Verantwortlichen die vorgenommene Einstufung in die Schutzklassen aus der vorhergehenden Beispieltabelle zu überprüfen, ergänzen und gegebenenfalls zu ersetzen.

Löschkonzept

Dieses hier vorgelegte Grob-Löschkonzept orientiert sich an der Norm DIN 66398, welche einen Leitfaden mit Empfehlungen für Inhalt, Aufbau und Verantwortlichkeiten eines Löschkonzepts hinsichtlich personenbezogener Daten enthält. Ein ganzheitliches Löschkonzept, das auch die Behandlung anderer schutzwürdiger Datenkategorien beinhaltet, sollte noch erarbeitet werden. Das Löschkonzept ist auf Grund der Erweiterung der Datenklassifizierung mit nur einem zusätzlichen Datumswert (2. Spalte innerhalb der Tabelle A5) aufgenommen worden, welches bei Eintritt eine entsprechende Reaktion auslösen kann (z.B. Hinweis auf den Löschvorgang).

Die vorgeschlagenen Vernichtungsmaßnahmen richten sich ebenfalls nach der DIN 66399 und sind entsprechend datenschutzkonform. Hierin erfolgt die Einteilung in 3 Schutzklassen und sieben Sicherheitsstufen, die für das hier vorliegende Datenklassifizierungs-Konzept angepasst worden sind, indem eine Erweiterung auf 4 Schutzklassen erfolgte und die 7 Sicherheitsstufen entsprechend zugeordnet werden, vgl. Tabelle A5.

Glossar

KlassifizierungEinordnung von Elementen gleicher Eigenschaften
ReproduktionVervielfältigung, Erstellen einer Kopie, Wiederherstellungsfähigkeit
SchutzbedarfSchutzwürdigkeit der Daten. Der Schutzbedarf wird hierbei in normal, hoch und sehr hoch unterschieden.
SchutzklasseZusammenfassung von schutzbedürftigen Elementen zu einer Klasseneinheit
SchutzstufeEinordnung von personenbezogenen und betriebswirtschaftlichen Daten
SchutzzielFestlegung des sicheren Soll-Zustandes in einem Arbeitsbereich. Wenn das Schutzziel erreicht ist, können keine Belastungen oder Gefährdungen auftreten. Die Schutzziele hier sind Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und Revisionsfähigkeit.
SicherheitsstufeKlassifizierung der Schwierigkeit zur Wiederherstellung von Daten nach gesicherten Vernichtungsverfahren

Tabelle 3: Definition der benutzen Fachbegriffe

Anlage

Die dargestellten Maßnahmen innerhalb der Tabellen A1 und A2 sind additiv zu sehen und müssen der jeweils nächsten Stufe zugeordnet werden, die Maßnahmen sind nicht abschließend.

Schutzstufe
Schaden
Anforderungen an personenbezogene Daten (PBD)
A
unbedeutend
geringfügig
Frei zugängliche Daten
Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmen-de ein berechtigtes Interesse geltend machen muss, z. B. Daten, die die verantwortli-che Stelle im Internet oder in Broschüren veröffentlicht bzw. in öffentlich zugänglichen Verzeichnissen zur Verfügung stellt.
Maßnahmen:
- Mitarbeiter werden im Umgang mit der Verwendbarkeit erhobener frei zu-gänglicher Daten sensibilisiert.
- Unverschlüsselte Datenübertragung über Email ist zulässig, jedoch wird emp-fohlen, die Empfänger und den Übertragungsweg sorgfältig auszuwählen.
B
gering
geringfügig
Bindung an Kenntnisnahme
Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, für deren Kenntnisnahme jedoch ein berechtigtes Interesse des Einsichtnehmenden Voraussetzung ist, z. B. interne Telefon-Durchwahlnummern, interne Zuständigkeiten.
Maßnahmen:
- Es wird sichergestellt, dass der Betroffene vor einer Datenübermittlung informiert wird, oder bereits formal in diese eingewilligt hat.
C
mittel
überschaubar
Beeinträchtigung des Ansehens
Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Stichwort: Beeinträchtigung des Ansehens), z. B. Daten über Vertragsbeziehungen, Höhe des Einkommens, etwaige Sozialleistungen, Ordnungswidrigkeiten.
Maßnahmen:
- Daten werden mit restriktiven Rechten im Active Directory gegen Fremdzugriff verriegelt.
- Es ist dokumentiert, wer auf die entsprechenden Daten und Strukturen Zugriff hat. (Nachvollziehbar in den Gruppen des Active Directory oder den Rechtestrukturen der entsprechenden Anwendungssoftware)
- Datenübertragung mittels Email ist nur verschlüsselt zulässig. Hierzu werden die Mitarbeiter nach Bedarf geschult, mit welchen Verfahren Dateien mit einem Passwort versehen oder in einem Archiv verschlüsselt werden können.
- Gemäß Clean Desk Policy werden die Daten in Papierform strikt unter Verschluss gehalten. Es existiert eine Anweisung, dass diese Papierdokumente nach Bearbeitung wieder verschlossen aufbewahrt werden.
- Gemäß Clean Desk Policy werden die Daten nur solange auf dem Bildschirm verarbeitet wie es notwendig ist. Ein automatischer Bildschirmschoner ist eingerichtet. Die Mitarbeiter sind angewiesen, bei Verlassen des Raumes den Bildschirm aktiv zu sperren.
D
hoch
substantiell
Gefährdung der Existenz
Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Stichwort: soziale Existenz), z. B. Unterbringung in Anstalten, Straffälligkeit, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen.
Maßnahmen:
- Mitarbeiter, die Daten der Schutzstufe hoch verarbeiten, sind über die strafrechtliche Relevanz der unbefugten Kompromittierung von Daten informiert (202a ff StGB) sowie auf das Fernmeldegeheimnis verpflichtet.
- Räume, in denen diese Daten verarbeitet werden (unabhängig ob in Papierform oder elektronisch) sind besonders gesichert.
- Bei Verlassen der Räume, in denen diese Daten verarbeitet werden, ist sicherzustellen, dass Unbefugte keinen Zutritt erlangen.
E
sehr hoch
groß
Gefährdung für Leib und Leben
Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stichwort: physische Existenz), z. B. Adressen von verdeckten Ermittlern, Adressen von Personen, die mögliche Opfer einer Straftat sein können.
Maßnahmen:
- Eine Übertragung per Email ist nicht zulässig
- Daten der Schutzstufe E werden ausschließlich auf verschlüsselten Datenträgern gelagert.
- Es ist dokumentiert, wer wann und zu welchem Zweck Zugriff zu diesen Daten erhalten hat.
- Alle Datenübertragungen (sowohl in digitaler wie auch in physischer Form) werden protokolliert. (Es wird die verantwortliche Personen, der Transportweg, der Transportgrund, der Empfänger sowie der exakte zeitliche Ablauf des Transportes protokolliert).
- Der Empfänger der Daten unterzeichnet ein Übernahmeprotokoll.

Tabelle A1: Schutzstufen personenbezogener Daten und deren Maßnahmen

Schutzstufe
Schaden
Anforderungen an betriebswirtschaftliche Daten (BWD)
A
unbedeutend
ohne Schaden
Frei zugängliche Daten
Die betriebswirtschaftlichen Daten sind frei zugänglich, von der Richtigkeit muss ausgegangen werden.
B
gering
vernachlässigbar
Interne betriebswirtschaftliche Daten.
Ein Missbrauch verursacht keine besondere Beeinträchtigung der betrieblichen Funktion oder der Umweltbeziehungen des Unternehmens.
C
mittel
spürbar
Beeinträchtigung des Ansehens
Ein Missbrauch von betriebswirtschaftlichen Daten kann die betriebliche Funktion, die Umweltbeziehungen oder das Ansehen des Unternehmens erheblich beeinträchti-gen.
D
hoch
schmerzhaft
Verlust an Reputation
Betriebswirtschaftliche Daten, deren Missbrauch die Reputation oder die wirtschaft-lichen Verhältnisse des Unternehmens in eine erhebliche Schieflage bringen kann.
E
sehr hoch
katastrophal
Bedrohung der Existenz
Ein Missbrauch kann die finanzielle oder marktwirtschaftliche Situation oder die Existenz eines

Tabelle A2: Schutzstufen betriebswirtschaftlicher Daten

Schutz-
klasse
VerfügbarkeitIntegritätVertraulichkeitAuthentizitätRevisionsfähigkeit
Daten müssen jederzeit zur Ver­fügung stehen und ordnungs­gemäß verar­bei­tet werden können.Daten müssen wäh­rend der Verarbei­tung unversehrt, voll­ständig und aktuell bleiben.Daten müssen vor unbefugter Kenntnis­nahme geschützt werden.Daten müssen ihrem Ursprung zugeordnet werden können.Entwicklung, Einsatz, Wartung, Administra­tion und Anwendung des Verfahrens und Verarbeitung der Daten müssen nachvollziehbar sein.
1Allgemeine VerfügbarkeitUngesicherte IntegritätÖffentlichNicht geforderte AuthentizitätKeine Anforderungen
Keine zeitkritischen Verfahren, keine besonderen Anforderungen an die Ver­füg­barkeit bzw. Wiederherstellung der Verfüg­barkeit. Die Wiederherstellung unterliegt den allge­meinen Regeln zur DatensicherungDie Daten unterliegen keinen besonderen Maß­nahmen zur Sicherung der IntegritätEs bestehen keine Anforderungen an die Vertraulichkeit.Eine Nach­weis­barkeit der Authentizität ist nicht gefordertKeine Anforderungen an die Revisionsfähigkeit des Datenverarbeitungsverfahrens
2Definierte VerfügbarkeitGeschützte IntegritätInternKontrollierbare AuthentizitätNachvollziehbare Anforderungen
Zeitkritische Verfahren mit definierten An­forderungen an die Verfügbarkeit bzw. Wiederher­stellung der Ver­fügbarkeit. Ein Sicherungs- und Rekonstruktionskonzept muss vorhanden sein.Der Verlust der Integrität kann zu einer Störung der betrieblichen Funk­tionen führen.
In den Verfahren müssen Vorkeh­rungen zum Schutz der Daten vor unbefugten Veränderungen und Datenverlus­ten eingerichtet sein, z. B. ein Berechtigungssystem, Passwortschutz, Schreibsperre etc.
Die Informationen dürfen nur intern verwendet und nicht an Dritte weitergegeben werden.Der Verlust der Authentizität kann zu einer Störung der betrieblichen Funktionen führen. Es muss nach­voll­ziehbar sein, dass nur berech­­tigte Personen die Daten erzeugt bzw. eingestellt und ggf. geän­dert haben, z. B. durch Berechtigungs­profileEs bestehen keine erhöhten Anforde­rungen an die Revisionsfähigkeit.
der Datenverarbeitungsverfahren und der Datenverarbeitung unterliegen den allgemeinen Regelungen
3HochverfügbarNachprüfbare IntegritätVertraulichBeweisbare AuthentizitätErhöhte Anforderungen
Businesskritische Daten und Verfahren mit besonders ho­hen Ansprüchen an Verfügbarkeit und Wiederher­stellung. Ein Notfallplan und ein Sicherungs- und Rekonstruktionskonzept müssen vorhan­den sein.Der Verlust der Integrität kann empfindliche Schäden verursa­chen. In den Ver­fahren müssen Vorkeh­rungen zum Nachweis des Schutzes der Integrität vorgese­hen sein, z. B. Protokollierung von Änderungen, Prüfsummen etc.Die Daten sind nur einem bestimmten oder bestimmba­ren Personenkreis zugänglich.Der Verlust der Authentizität kann zu emp­find­lichen Schä­­den füh­ren. Es muss nach­voll­zieh­bar sein, wer die Daten wann erzeugt bzw. eingestellt und ggf. geän­dert hat, z. B. durch Protokol­lierun­genDie Nachvollziehbarkeit und Prüfbar­keit der Verfahren und der Datenverar­beitung unterliegen erhöhten Anforderungen. Entwick­lung, Testung, Freigabe, Administra­tion, Anwendung der Verfahren, die Integrität der Programme und die Verarbei­tung der Daten müssen dokumentiert und nachvoll­ziehbar sein.
4Signierte IntegritätgeheimSignierte AuthentizitätHöchste Anforderungen
Die Integrität der Daten muss beweis­bar sein, z. B. bei Urkunden oder elektronischen Rechnungen.
Die Integrität der Daten muss durch eine qualifizierte elektronische Signatur oder ein vergleichbar sicheres Verfahren gewährleistet sein.
Die Daten sind nur einem namentlich festgelegten Personenkreis zugänglichDie Authentizität muss unverfälschbar nach­gewiesen werden können, z. B. bei Urkunden. Der Nachweis muss durch eine elektronische Signatur oder ein vergleichbar sicheres Verfahren geführt werden können.Die Nachvollziehbarkeit und Prüfbarkeit der Verfahren und der Datenverarbei­tung unterliegen nochmals erhöhten Ansprüchen. Die Unveränderbarkeit von Programmen, Dokumentationen, Administrations- und Verarbeitungsprotokollen und sonstigen Aufzeichnungen sowie die Nachvollziehbarkeit der Verarbeitung der Daten muss gegeben und die Gewährleistung der Revisionsfähigkeit in einem Konzept beschrieben sein.

Tabelle A3: Klassifizierung  von Schutzzielen

 

Datenkategorien, Datenklassen, Eintrittswahrscheinlichkeit, Risiko, Schutzbedarf, Schutzklasse

WordPress Cookie-Hinweis von Real Cookie Banner