Informationsklassifizierung - was ist das?

Unter Informations- oder Dokumentenklassifizierung im Sinne der Sicherheit versteht man die Einstufung von Informationen in vorgegebene Sicherheitsklassen. Mit jeder Sicherheitsklasse (z.B. "betriebsintern", "vertraulich" oder "geheim") sind bestimmte Anforderungen verbunden, insbes. an:

• Zugang zur Information
• Kennzeichnung
• Speicherung / Aufbewahrung
• Transport / Übermittlung
• Vervielfältigung
• Vernichtung
• Dokumentation der Zugriffe
• u.a.m.

Als primäres Kriterium für die Einstufung dient in der Regel der Schutzbedarf einer Information. Aber auch andere Kriterien wie Ansprüche an Authentizität, Verfügbarkeit, Nachweisbarkeit oder Integrität spielen eine Rolle.

Systeme zur Informationsklassifizierung können bei richtigem Einsatz einen unschätzbaren Beitrag zur Wahrung von Betriebsgeheimnissen leisten.

In der öffentlichen Verwaltung ist die Informationsklassifizierung schon seit langer Zeit ein normaler Prozess, insbes. in Gestalt der Verschlusssacheneinstufung. Bundes- oder Landesbehörden können Informationen oder Gegenstände als Verschlusssache einstufen und damit ein klar definiertes Regelwerk zum Umgang mit diesen Informationen aktivieren. In der öffentlichen Verwaltung werden die Geheimhaltungsgrade "VS - Nur für den Dienstgebrauch", "VS vertraulich", "GEHEIM" und "STRENG GEHEIM" unterschieden.

Vergleichbare Systeme gibt es in nahezu jedem Land der Erde. Auch einige internationale Organisationen wie z.B. die NATO haben entsprechende Systeme. Viele Länder wenden dabei die englischen Begriffe "restricted", "confidential", "secret" und "top secret" an. In einigen Bereichen gibt es Sonderklassifizierungen wie z.B. "COSMIC TOP SECRET" oder "FOCAL TOP SECRET" innerhalb der NATO.

Die goldene Regel beim Umgang mit Verschlusssachen lautet dabei: "Kenntnis nur, wenn nötig", im Englischen "need to know". Kenntnis darf (abseits anderer Anforderungen wie der Sicherheitsüberprüfung nach SÜG) nur gewährt werden, wenn dies nachweisbar erforderlich ist.

Der Umgang mit Verschlusssachen wird für Behörden insbes. in den jeweiligen Verschlusssachenanweisungen geregelt. Für Unternehmen, die mit Verschlusssachen umgehen, gilt u.a. das Geheimschutzhandbuch des Bundesministeriums für Wirtschaft und Technologie. Der Verrat von Verschlusssachen ist eine Straftat (insbes. §§ 94, 95 und 97 StGB).

Auch Abseits von Verschlusssachen im Sinne von Staatsgeheimnissen ist es oft sinnvoll, im Rahmen der Unternehmenssicherheit Klassifizierungssysteme einzuführen. Dieser Prozess braucht jedoch einiges an Wissen und Erfahrung, ansonsten wird diese Sicherheitsmaßnahme schnell wirkungslos oder sogar kontraproduktiv.

 

Trivialspionage per Google & Co.

Wie so oft dient Google (oder jede andere Volltextsuchmaschine) als Werkzeug - diesmal zur Illustration, wie man ausgerechnet die Informationsklassifizierung zum Aufstöbern vertraulicher Informationen verwenden kann.

Eine einfache Suche nach frei erratenen Klassifizierungsbegriffen aus der Welt der Unternehmenssicherheit fördert so manches zu Tage:

Google-Suche nach:	Erzielte Treffer
"Dell confidential"	6630
"Dell confidential"	2560
"GM confidential"	393
"Ploenzke confidential"	91
"SAP confidential"	72
"Samsung confidential"	50
"Capgemini confidential"	8
"Andersen confidential"	4

 

Natürlich sind längst nicht alle Suchtreffer tatsächlich vertrauliche Dokumente. Manche enthalten lediglich den Text, jedoch nicht als Klassifizierung. Andere verweisen auf eingestufte Dokumente. Bei einigen ist anzunehmen, dass die Einstufung bereits aufgehoben ist. Doch der Anteil echter Treffer ist in einigen Fällen recht beträchtlich.

 

Typische Fehler

Hier einige Hinweise zu typischen Fehlern bei der Planung, der Umsetzung und bei der Nutzung von Klassifizierungssystemen. Wer sich mit der Behandlung von Verschlusssachen auskennt, dem wird dies bekannt vorkommen - die Vermeidung dieser Fehler ist dort Vorschrift.

• Undeutliche Kennzeichnung
  Bei zahlreichen gefundenen Dokumenten war die Kennzeichnung als vertrauliches Dokument kaum sichtbar, in einem Fall sogar für das Auge unsichtbar (Technik "ostfriesische Flagge" - weißer Adler auf weißem Grund). Auch die Farbwahl ist teilweise recht kreativ (hellgraue Schrift auf mittelgrauem Grund). Die Gestaltung der Kennzeichnung muss vorgegeben werden, sofortige Sichtbarkeit ist oberstes Gebot.
   
• Auf Seite ...
  Wird einem Dokument ein als vertraulich eingestufter Inhalt beigegeben, so ist das ganze Dokument als vertraulich einzustufen und auf der Titelseite entsprechend zu kennzeichnen.
   
• Selber suchen!
  Zur Unfallerkennung sollten Sicherheitsverantwortliche das Internet regelmäßig nach dem Auftauchen der eigenen Vertraulichkeitskennzeichnung durchsuchen. Ein einfacher Weg: richten Sie bei Google einen Suchagenten (Alert)ein. Sie erhalten eine E-Mail, sobald sich neue Suchtreffer ergeben. Möglichst verwechselungsarme Begriffe für die Kennzeichnung sind dabei sehr hilfreich.
   
• Deklassifizierung
  Wird ein ursprünglich als vertraulich gekennzeichnetes Dokument regulär veröffentlicht, so muss die Kennzeichnung vor der Veröffentlichung entfernt werden.
   
• Unklare Anweisungslage
  Viele Anweisungen zur Dokumentenklassifizierung sind eher schwammig formuliert. Die Vorgaben müssen klar und verständlich sein, andernfalls wird die Kreativität mancher Mitarbeiter die Sicherheitsbemühungen ad absurdum führen
   
• Abstimmung mit Kunden und Partnern
  So manches per Google gefundene Dokument, dass vom Ersteller eingestuft wurde, ist von Dritten (Kunden, Partnern) veröffentlicht worden. Abstimmung mit den Empfängern eines vertraulichen Dokumentes ist sinnvoll und erforderlich, damit solche Unfälle vermieden werden.
   
• Durchführbarkeit
  Anweisungen müssen durchführbar sein. Es nützt nichts, von den Mitarbeitern die wirkungsvolle Verschlüsselung beim Internet-Versand zu fordern, wenn ihnen kein Werkzeug zur wirkungsvollen Verschlüsselung zur Verfügung gestellt wird.
   
• Mangelnde Kontrolle und Konsequenz
  Wird ein Klassifizierungssystem eingeführt, so muss seine Einhaltung wirkungsvoll kontrolliert und Verstöße gegen die Anweisungen geahndet werden.