Ein vertrauliches Strategiedokument liegt auf dem Druckerausgabefach. Keine Kennzeichnung, kein Absendervermerk. Jeder, der am Drucker vorbeigeht, könnte es mitnehmen — und keiner wüsste, dass es vertraulich ist. A.5.13 fordert, dass die Klassifizierung einer Information erkennbar ist — auf jedem Medium, in jedem Format.
Was verlangt die Norm?
- Kennzeichnungsverfahren definieren. Für jedes Informationsmedium (Papier, digital, E-Mail, physische Datenträger) muss ein Kennzeichnungsverfahren festgelegt werden.
- Klassifizierung sichtbar machen. Die Kennzeichnung muss für die nutzende Person leicht erkennbar sein und die Klassifizierungsstufe eindeutig kommunizieren.
- Konsistenz sicherstellen. Alle Bereiche der Organisation verwenden dieselben Kennzeichnungsverfahren.
- Automatisierung nutzen. Wo möglich, werden technische Lösungen eingesetzt (DLP-Labels, Dokumentenvorlagen, Metadaten), um die Kennzeichnung zu automatisieren und menschliche Fehler zu reduzieren.
In der Praxis
Kennzeichnungsmatrix erstellen. Definiere pro Medium und Klassifizierungsstufe die Kennzeichnungsmethode: Papier → Kopfzeile/Stempel; E-Mail → Betreff-Prefix oder MIP-Label; Dateien → Metadaten + Kopfzeile; Datenträger → Aufkleber; mündlich → Hinweis zu Beginn des Gesprächs.
DLP-Lösung evaluieren. Data Loss Prevention (DLP) Lösungen wie Microsoft Information Protection (MIP) automatisieren die Kennzeichnung und erzwingen Handhabungsregeln. Eine DLP-Lösung verknüpft Klassifizierung, Kennzeichnung und Zugriffskontrolle in einem System.
Schulung mit Praxisbeispielen. Zeige anhand konkreter Dokumente, wie die Kennzeichnung aussieht. Typische Fragen: Was mache ich, wenn ein Dokument keine Kennzeichnung hat? Was mache ich, wenn ich die Klassifizierung für falsch halte? An wen wende ich mich?
Stichprobenkontrollen durchführen. Prüfe regelmäßig, ob Kennzeichnungen korrekt angebracht werden — auf dem Dateiserver, in der E-Mail-Kommunikation, auf Druckerausgaben. Stichproben decken systematische Lücken auf.
Typische Audit-Nachweise
Auditoren erwarten bei A.5.13 typischerweise diese Nachweise:
- Kennzeichnungsverfahren — dokumentierte Regeln pro Medium (→ Informationsklassifizierung im Starter Kit)
- Dokumentenvorlagen — Vorlagen mit integrierten Klassifizierungslabels
- DLP-Konfiguration — Nachweis technischer Kennzeichnungslösungen (falls eingesetzt)
- Stichproben — korrekt gekennzeichnete Dokumente verschiedener Medien
- Schulungsmaterial — Nachweis, dass das Kennzeichnungsverfahren geschult wird
KPI
% der klassifizierten Informationswerte, die gemäß der Klassifizierungsrichtlinie gekennzeichnet sind
Gemessen über Stichproben: Wie viele der klassifizierten Informationen tragen tatsächlich eine korrekte Kennzeichnung? Ziel: über 90%. Die 100% sind in der Praxis schwer erreichbar, da informelle Kommunikation (Chats, Telefonate) kaum systematisch kennzeichnet werden kann.
Ergänzende KPIs:
- Anteil der Dokumentenvorlagen mit integrierten Klassifizierungslabels
- Anteil der E-Mails mit Klassifizierungslabel (falls DLP im Einsatz)
- Anzahl der bei Stichproben gefundenen Kennzeichnungsfehler
BSI IT-Grundschutz
A.5.13 mappt auf die BSI-Anforderungen zur Informationskennzeichnung:
- BSI-Standard 200-2 Kapitel 5.1 (Klassifizierungsschema) — verlangt, dass das Klassifizierungsschema auch die Kennzeichnungsverfahren umfasst. BSI unterscheidet zwischen der Einstufung (inhaltliche Bewertung) und der Kennzeichnung (sichtbare Markierung).
Verwandte Kontrollen
A.5.13 ist die operative Umsetzung der Klassifizierung:
- A.5.12 — Klassifizierung von Informationen: Definiert das Schema, das A.5.13 sichtbar macht.
- A.5.14 — Informationsübertragung: Kennzeichnungen steuern die Handhabung bei der Übertragung.
- A.5.15 — Zugriffskontrolle: Kennzeichnungen helfen bei der Durchsetzung von Zugriffsregeln.
Quellen
- ISO/IEC 27001:2022 Annex A, Control A.5.13 — Kennzeichnung von Informationen
- ISO/IEC 27002:2022 Abschnitt 5.13 — Umsetzungshinweise
- BSI IT-Grundschutz, BSI-Standard 200-2 — IT-Grundschutz-Methodik