Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.12 — Klassifizierung von Informationen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.12 ISO 27001ISO 27002BSI BSI-Standard 200-2

Vier Stufen, drei Farben, zwei Definitionen, null Konsistenz. So sieht die Informationsklassifizierung in vielen Organisationen aus: ein Schema existiert auf dem Papier, wird aber nicht gelebt. A.5.12 fordert ein Klassifizierungsschema, das den Schutzbedarf von Informationen abbildet und als Grundlage für konkrete Schutzmaßnahmen dient.

Die Klassifizierung ist der Hebel, der alle nachfolgenden Kontrollen steuert: Wer darf zugreifen? Wie wird übertragen? Wie lange wird aufbewahrt? Wie wird entsorgt? Ohne Klassifizierung fehlt die Grundlage für alle diese Entscheidungen.

Was verlangt die Norm?

  • Klassifizierungsschema definieren. Die Organisation legt ein Schema mit klaren Stufen fest, das den Schutzbedarf hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit abbildet.
  • Einheitliche Kriterien vorgeben. Die Kriterien für die Einstufung müssen eindeutig sein, damit verschiedene Personen zum gleichen Ergebnis kommen.
  • Alle Informationstypen abdecken. Das Schema gilt für alle Informationen der Organisation — digital und physisch.
  • Regelmäßig überprüfen. Die Klassifizierung wird bei Änderungen (neue Geschäftsbereiche, neue Vorschriften) und in regelmäßigen Abständen überprüft.

In der Praxis

Schema einfach halten. Vier Stufen sind ein bewährter Standard: Öffentlich (keine Einschränkungen), Intern (nur für Organisation), Vertraulich (eingeschränkter Personenkreis), Streng Vertraulich (nur benannte Personen). Jede Stufe braucht eine klare Definition und Beispiele.

Handhabungsregeln pro Stufe definieren. Für jede Klassifizierungsstufe: Wie wird gespeichert? Wie wird übertragen? Wer darf zugreifen? Wie wird entsorgt? Diese Handhabungsmatrix ist das Bindeglied zwischen Klassifizierung und operativem Schutz.

Informationstypen statt Einzeldokumente klassifizieren. Erstelle eine Tabelle der Informationstypen deiner Organisation (Kundendaten, Finanzdaten, Personaldaten, technische Dokumentation, Marketing-Material) und ordne jeder Kategorie eine Standardklassifizierung zu. Das reduziert den Aufwand massiv.

Schulung für alle Beschäftigten. Jede Person, die Informationen verarbeitet, muss das Schema kennen und anwenden können. Praxisbeispiele helfen: „Diese E-Mail mit Gehaltsdaten ist streng vertraulich — was bedeutet das für den Versand?”

Typische Audit-Nachweise

Auditoren erwarten bei A.5.12 typischerweise diese Nachweise:

  • Klassifizierungsrichtlinie — Schema mit Stufendefinitionen und Kriterien (→ Informationsklassifizierung im Starter Kit)
  • Handhabungsmatrix — Schutzmaßnahmen je Klassifizierungsstufe
  • Klassifizierte Informationstypen — Zuordnung von Informationstypen zu Stufen
  • Schulungsnachweise — Nachweis, dass Beschäftigte das Schema kennen
  • Stichproben — korrekt gekennzeichnete Dokumente als Beispiel

KPI

% der Informationswerte, die gemäß dem definierten Klassifizierungsschema eingestuft sind

Gemessen am Asset-Register: Wie viele der erfassten Informationswerte haben eine dokumentierte Klassifizierung? Ziel: 100%. In der Praxis starten die meisten Organisationen bei 30–50%, da Cloud-Dienste und unstrukturierte Daten häufig nicht klassifiziert sind.

Ergänzende KPIs:

  • Verteilung der Informationswerte über die Klassifizierungsstufen (Schieflage deutet auf Über-/Unterklassifizierung)
  • Anteil der Informationstypen mit dokumentierter Standardklassifizierung
  • Anzahl der Reklassifizierungen pro Jahr

BSI IT-Grundschutz

A.5.12 korrespondiert mit der Schutzbedarfsfeststellung des BSI:

  • BSI-Standard 200-2 Kapitel 5.1 (Klassifizierungsschema) — definiert die Grundkategorien Normal, Hoch, Sehr Hoch.
  • BSI-Standard 200-2 Kapitel 8.2 (Schutzbedarfsfeststellung) — der Schutzbedarf wird pro Geschäftsprozess und Asset ermittelt und dokumentiert.
  • ISMS.1.A10 (Erstellung einer Sicherheitskonzeption) — die Klassifizierung fließt in die Sicherheitskonzeption ein.

Verwandte Kontrollen

A.5.12 bildet die Basis für den gesamten Informationsschutz:

Quellen

Häufig gestellte Fragen

Wie viele Klassifizierungsstufen sind sinnvoll?

Drei bis vier Stufen sind der Standard: Öffentlich, Intern, Vertraulich, Streng Vertraulich. Mehr Stufen erzeugen Unsicherheit bei der Einstufung und werden in der Praxis nicht konsequent angewendet. Weniger als drei unterscheiden zu wenig. Die Stufenbezeichnungen müssen für alle verständlich sein.

Wer klassifiziert die Informationen?

Der Informationseigentümer (in der Regel die zuständige Fachabteilungsleitung). Der ISB gibt das Schema und die Kriterien vor, die Einstufung selbst erfolgt durch die Person, die den Schutzbedarf der Information am besten kennt.

Muss jedes einzelne Dokument klassifiziert werden?

Kategorisiere nach Informationstypen: Kundendaten sind vertraulich, Marketingmaterial ist öffentlich, Gehaltsabrechnungen sind streng vertraulich. So musst du nicht jedes Dokument einzeln einstufen, sondern wendest die Klassifizierung auf Kategorien an. Ausnahmen werden individuell behandelt.