Brauche ich wirklich vier Vertraulichkeitsstufen?

Vier Stufen sind der Standard, den die meisten Organisationen verwenden: Öffentlich, Intern, Vertraulich, Streng Vertraulich. Weniger als drei Stufen machen keine sinnvolle Differenzierung möglich. Mehr als fünf führen dazu, dass Beschäftigte im Alltag nicht mehr wissen, welche Stufe sie wählen sollen. Vier ist der Sweetspot.

Wer legt die Klassifizierung fest?

Der Asset-Eigentümer — also die Person, die für die Information verantwortlich ist. Das ist typischerweise die Fachabteilung, die die Information erstellt oder verwaltet. Die IT-Abteilung setzt die technischen Schutzmaßnahmen um, aber die Klassifizierungsentscheidung liegt bei den Fachverantwortlichen.

Was passiert mit ungekennzeichneten Informationen?

Die Vorlage definiert eine klare Regel: Informationen, die nicht gekennzeichnet werden können (z.B. mündliche Informationen, Altsysteme), werden als VERTRAULICH behandelt, bis der Asset-Eigentümer eine Klassifizierung zuweist. Das vermeidet die Lücke, in der ungekennzeichnete Information ohne Schutz bleibt.

Muss ich auch Integrität und Verfügbarkeit klassifizieren?

Ja. Die Vorlage klassifiziert entlang von drei Dimensionen: Vertraulichkeit (vier Stufen), Integrität (Normal/Hoch/Sehr hoch) und Verfügbarkeit (Normal/Hoch/Sehr hoch). Das BSI-Grundschutz nennt das „Schutzbedarfsfeststellung“ und verlangt es explizit. Ein Dokument kann öffentlich, aber hoch verfügbar sein — z.B. deine öffentliche API-Dokumentation.

Wie hängt das mit der Zugriffskontrolle zusammen?

Direkt. Die Klassifizierungsstufe bestimmt, wer Zugriff bekommt: Je höher die Stufe, desto restriktiver die Zugriffskontrollen. Die Vorlage verweist explizit auf die Zugriffskontrollrichtlinie und verlangt, dass Zugriffsentscheidungen sich auf die vom Asset-Eigentümer zugewiesene Klassifizierungsstufe beziehen.

Wie kennzeichne ich mündliche Informationen?

Die Vorlage behandelt das explizit: Vor der mündlichen Besprechung klassifizierter Informationen (Meetings, Telefonate, Videokonferenzen) nennt die sprechende Person die Klassifizierungsstufe und stellt sicher, dass nur autorisierte Personen anwesend sind. Das ist eine der am häufigsten vergessenen Kennzeichnungsregeln.

Richtlinie zur Informationsklassifizierung

Die Informationsklassifizierung ist das Koordinatensystem deiner gesamten Informationssicherheit. Jede Zugriffsentscheidung, jede Verschlüsselungspflicht, jede Entsorgungsregel und jede Aufbewahrungsfrist hängt davon ab, welche Klassifizierungsstufe eine Information trägt. Ohne ein funktionierendes Klassifizierungsschema fehlt deinem ISMS die gemeinsame Sprache.

ISO 27001 regelt das Thema über zwei Controls: A 5.12 (Klassifizierung von Informationen) und A 5.13 (Kennzeichnung von Informationen). BSI IT-Grundschutz behandelt es unter dem Begriff „Schutzbedarfsfeststellung“ (BSI-Standard 200-2, Kapitel 8.2). Weiter unten findest du die vollständige Vorlage mit vier Vertraulichkeitsstufen, drei Integritätsstufen, drei Verfügbarkeitsstufen und konkreten Handhabungsregeln pro Stufe.

Was ist Informationsklassifizierung?

Jede Organisation hat Informationen, die unterschiedlich sensibel sind. Die Speisekarte in der Kantine ist öffentlich. Der Quartalsbericht vor Veröffentlichung ist vertraulich. Personaldaten sind streng vertraulich. Das Klassifizierungsschema macht diese Unterschiede explizit und gibt jeder Stufe klare Handhabungsregeln.

In der Vorlage steckt mehr als nur Vertraulichkeit. Informationen werden entlang von drei Dimensionen klassifiziert:

Vertraulichkeit — Was passiert, wenn diese Information öffentlich wird?
Integrität — Was passiert, wenn diese Information verfälscht wird?
Verfügbarkeit — Was passiert, wenn auf diese Information nicht zugegriffen werden kann?

Ein Finanzreport kann vertraulich sein (Vertraulichkeit: hoch), muss korrekt sein (Integrität: sehr hoch) und wird nur monatlich benötigt (Verfügbarkeit: normal). Die API-Dokumentation ist öffentlich (Vertraulichkeit: öffentlich), muss korrekt sein (Integrität: hoch) und muss rund um die Uhr erreichbar sein (Verfügbarkeit: sehr hoch). Erst die Kombination aller drei Dimensionen ergibt das richtige Schutzniveau.

Die vier Vertraulichkeitsstufen

Die Vorlage definiert vier Stufen mit konkreten Handhabungsregeln:

ÖFFENTLICH — Keine Zugriffsbeschränkungen, keine besonderen Speicher- oder Entsorgungsanforderungen. Kennzeichnung optional.

INTERN — Zugriff auf Beschäftigte und autorisiertes externes Personal beschränkt. Verschlüsselung bei interner Übertragung empfohlen. Standardlöschung ausreichend.

VERTRAULICH — Zugriff strikt nach Need-to-know, genehmigt durch den Informationseigentümer. Verschlüsselte Speicherung und Übertragung. Kreuzschnittvernichtung ab DIN 66399 P-4. Alle Dokumente tragen die Kennzeichnung.

STRENG VERTRAULICH — Zugriff nur für namentlich benannte Personen mit Genehmigung durch Informationseigentümer und Geschäftsleitung. Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Zugangskontrolle, bezeugte Vernichtung ab P-5. Jede einzelne Seite trägt die Kennzeichnung.

Kennzeichnung in der Praxis

Die Vorlage beschreibt sechs konkrete Kennzeichnungsmethoden:

Papierdokumente — Klassifizierung in Kopf-/Fußzeile jeder Seite, Ordner und Mappen auf Rücken und Vorderseite
Elektronische Dokumente — Kopf-/Fußzeile, Dateiname mit Präfix (z.B. VERTRAULICH_Bericht_2025.pdf), Dokumenten-Metadaten
E-Mail — Klassifizierung am Anfang der Betreffzeile, z.B. [VERTRAULICH]. Anhänge tragen eigene Kennzeichnung.
Speichermedien — USB-Sticks, Festplatten und Bänder werden mit der höchsten enthaltenen Stufe gekennzeichnet
Datenbanken und Anwendungen — Metadaten auf Feld-, Datensatz- oder Container-Ebene, wo technisch möglich
Mündliche Kommunikation — Vor dem Gespräch wird die Stufe genannt und sichergestellt, dass nur Autorisierte anwesend sind

Die Vorlage enthält auch drei explizite Ausnahmen: Öffentliche Informationen müssen nicht gekennzeichnet werden, Routine-E-Mails unter INTERN-Niveau brauchen kein Label, und vollautomatisierte Datenflüsse können systemweit statt pro Datensatz klassifiziert werden.

So führst du das Schema ein

01

Asset-Inventar als Grundlage

Bevor du klassifizierst, brauchst du eine Liste der Informationswerte, die du schützen willst. Das muss kein vollständiges Asset-Inventar sein — starte mit den 20 bis 30 wichtigsten Informationstypen (Kundendaten, Finanzdaten, Verträge, Quellcode, Personaldaten). Die Klassifizierung lässt sich später erweitern.
02

Klassifizierungsstufen festlegen

Die Vorlage bietet vier Vertraulichkeitsstufen und je drei Stufen für Integrität und Verfügbarkeit. Prüfe, ob diese Stufen zu deiner Organisation passen. In der Praxis reichen vier Vertraulichkeitsstufen für die allermeisten Organisationen aus. Wichtiger als die Anzahl: Jede Stufe muss klare, umsetzbare Handhabungsregeln haben.
03

Asset-Eigentümer bestimmen und einweisen

Die Klassifizierung ist Aufgabe der Fachabteilungen, nicht der IT. Der Asset-Eigentümer weist die Stufe zu und überprüft sie regelmäßig. Achte darauf, dass jeder Asset-Eigentümer weiß, was die Stufen konkret bedeuten und welche Handhabungsregeln gelten — eine kurze Schulung spart später viel Nacharbeit.
04

Kennzeichnungstools bereitstellen

Mach es den Beschäftigten einfach. Dokumentvorlagen mit vorformatierten Klassifizierungslabels, E-Mail-Signaturen mit Standardkennzeichnung, DLP-Tools für automatische Erkennung sensibler Inhalte. Je weniger manuelle Arbeit die Kennzeichnung erfordert, desto zuverlässiger wird sie angewendet.
05

Stichproben und Review-Zyklus

Die Vorlage verlangt mindestens jährliche Überprüfung der Klassifizierung plus Anlass-Reviews (z.B. bei Weitergabe an neue Partner). Der ISB führt zusätzlich Stichproben durch. Starte mit einer Stichprobe pro Quartal — zehn zufällige Dokumente prüfen, ob die Klassifizierung korrekt und die Kennzeichnung vorhanden ist.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Schema existiert, aber niemand wendet es an. Die Richtlinie definiert vier Stufen, aber im Alltag klassifiziert niemand. Dokumente tragen keine Labels, E-Mails keine Betreffzeilen-Präfixe. Das passiert, wenn die Einführung ohne Schulung und ohne Tooling stattfindet.

2. Alle Informationen sind „Vertraulich“. Die häufigste Form der Überklassifizierung. Wenn 90% der Dokumente als VERTRAULICH gekennzeichnet sind, verliert die Stufe ihre Bedeutung. Beschäftigte behandeln alles gleich — und „Streng Vertraulich“ bekommt nicht die zusätzliche Aufmerksamkeit, die es verdient.

3. Kein Zusammenhang mit Zugriffsrechten. Das Schema steht in der Richtlinie, aber die Zugriffskontrolle referenziert es nicht. Ergebnis: Informationen sind als STRENG VERTRAULICH klassifiziert, aber auf einem Netzwerklaufwerk gespeichert, auf das die halbe Abteilung Zugriff hat.

4. Mündliche Informationen vergessen. Die Kennzeichnungsregeln gelten für Papier und E-Mail, aber niemand denkt daran, vor einem vertraulichen Meeting die Klassifizierungsstufe zu nennen und die Teilnehmerliste zu prüfen.

5. Keine regelmäßige Überprüfung. Informationen werden einmal klassifiziert und danach nie wieder angepasst. Drei Jahre später ist der „Streng Vertraulich“-Finanzbericht längst veröffentlicht, trägt aber noch die alte Stufe. Das verwirrt und unterminiert das gesamte Schema.

Vorlage: Informationsklassifizierung und -kennzeichnung

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:

A 5.12 — Klassifizierung von Informationen
A 5.13 — Kennzeichnung von Informationen

BSI IT-Grundschutz:

ISMS.1.A10 (Sicherheitskonzept)
BSI-Standard 200-2 Kapitel 5.1 (Klassifikation von Geschäftsprozessen und Informationen)
BSI-Standard 200-2 Kapitel 8.2 (Schutzbedarfsfeststellung)

Weitere jurisdiktionsspezifische Gesetze und Vorschriften — insbesondere Datenschutzrecht (DSGVO), Geschäftsgeheimnisschutz und branchenspezifische Vertraulichkeitsanforderungen — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt ein einheitliches Klassifizierungs- und Kennzeichnungsschema für Informationen und andere zugehörige Assets bei [IHR_ORGANISATIONSNAME] fest. Sie stellt sicher, dass Informationen ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erhalten, unter Berücksichtigung von Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit.

Diese Richtlinie gilt für:

Alle Informationswerte, unabhängig vom Format (digital, Papier, mündlich)
Alle zugehörigen Assets (Systeme, Speichermedien, Anwendungen), die klassifizierte Informationen verarbeiten, speichern oder übertragen
Alle Beschäftigten, Auftragnehmer und Dritten, die Informationen der Organisation oder ihr anvertraute Informationen handhaben

Das Klassifizierungsschema bildet die Grundlage für Zugriffskontrollentscheidungen, Handhabungsregeln und Schutzmaßnahmen bei [IHR_ORGANISATIONSNAME].

3. Klassifizierung von Informationen (A 5.12)

Die Eigentümer von Informationen (Asset-Eigentümer) sind für deren Klassifizierung verantwortlich. Klassifizierungen und zugehörige Schutzmaßnahmen berücksichtigen geschäftliche Anforderungen an die gemeinsame Nutzung oder Beschränkung von Informationen, den Schutz der Integrität und die Gewährleistung der Verfügbarkeit sowie rechtliche Anforderungen. Assets, die keine Informationen sind, werden in Übereinstimmung mit der Klassifizierung der Informationen klassifiziert, die von ihnen gespeichert, verarbeitet, anderweitig gehandhabt oder geschützt werden.

Informationen können nach einer bestimmten Zeit ihre Sensibilität oder Kritikalität verlieren. Überklassifizierung führt zu unnötigen Kontrollen und zusätzlichem Aufwand; Unterklassifizierung führt zu unzureichendem Schutz. Klassifizierungsstufen werden regelmäßig überprüft und angepasst, wenn sich geschäftliche Anforderungen oder die Bedrohungslandschaft ändern.

3.1 Klassifizierungskonventionen & Überprüfung

[IHR_ORGANISATIONSNAME] klassifiziert Informationen entlang von drei Schutzdimensionen: Vertraulichkeit, Integrität und Verfügbarkeit. Jede Dimension verwendet eine definierte Menge von Stufen. Der Asset-Eigentümer weist bei Erstellung des Informationswerts pro Dimension eine Klassifizierungsstufe zu. Die Klassifizierung wird überprüft:

Mindestens jährlich im Rahmen der Überprüfung des Asset-Inventars.
Immer dann, wenn sich Inhalt, Kontext oder Nutzung der Informationen wesentlich ändern.
Wenn die Informationen mit neuen Parteien geteilt oder in neuen Geschäftsprozessen verwendet werden.
Wenn die Informationen das Ende einer definierten Aufbewahrungsfrist erreichen oder veröffentlicht werden.

3.2 Vertraulichkeitsstufen

[IHR_ORGANISATIONSNAME] verwendet die folgenden vier Vertraulichkeitsstufen. Jede Stufe spiegelt die Auswirkungen wider, die eine unbefugte Offenlegung für die Organisation hätte:

ÖFFENTLICH

Informationen für uneingeschränkte Verbreitung. Die Offenlegung verursacht keinen Schaden für die Organisation.

Zugriff: Keine Zugriffsbeschränkungen. Verfügbar für die allgemeine Öffentlichkeit.
Speicherung: Keine besonderen Speicheranforderungen. Standard-Speicherung der Organisation ist ausreichend.
Übertragung: Keine Beschränkungen der Übertragungsmethode. Kann frei geteilt werden.
Entsorgung: Standardentsorgungsverfahren (Papierrecycling, normale Löschung digitaler Dateien).
Kennzeichnung: Die Kennzeichnung als ÖFFENTLICH ist optional. Nicht gekennzeichnete Informationen gelten nicht automatisch als öffentlich.

INTERN

Informationen nur zur internen Nutzung. Unbefugte Offenlegung könnte geringfügige Unannehmlichkeiten, aber keinen erheblichen Schaden verursachen.

Zugriff: Zugriff auf Beschäftigte und autorisiertes externes Personal beschränkt. Need-to-know-Prinzip empfohlen, aber nicht zwingend.
Speicherung: Speicherung auf organisatorischen Systemen mit Standard-Zugriffskontrollen. Physische Dokumente in Standard-Büroflächen (keine publikumsnahen Bereiche).
Übertragung: Nutzung von organisatorischer E-Mail oder genehmigten Dateifreigabeplattformen. Verschlüsselung für interne Übertragung empfohlen, aber nicht zwingend.
Entsorgung: Papier: Entsorgung über Bürocontainer oder Behälter für vertrauliche Abfälle. Digital: Standard-Löschung aus organisatorischen Systemen.
Kennzeichnung: Kennzeichnung von Dokumenten, E-Mails und Dateifreigaben als INTERN. Kopfzeilen-/Fußzeilen-Markierungen auf Dokumenten nutzen.

VERTRAULICH

Sensible Geschäftsinformationen. Unbefugte Offenlegung könnte erheblichen Schaden für die Organisation, ihre Partner oder Kunden verursachen.

Zugriff: Zugriff auf speziell autorisierte Personen strikt nach dem Need-to-know-Prinzip beschränkt. Zugriff wird vom Informationseigentümer genehmigt.
Speicherung: Digital: Speicherung auf zugriffskontrollierten Systemen mit verschlüsseltem Speicher. Physisch: Aufbewahrung in verschlossenen Schränken oder gesicherten Büroflächen.
Übertragung: Verschlüsselte E-Mail oder sicherer Dateitransfer. Keine Nutzung öffentlicher Cloud-Dienste, außer diese sind genehmigt und verschlüsselt. Physischer Transfer per versiegeltem, blickdichtem Umschlag.
Entsorgung: Papier: Kreuzschnittvernichtung (DIN 66399 Sicherheitsstufe P-4 oder höher). Digital: Sichere Löschung mit genehmigten Werkzeugen; verschlüsselte Medien können nach Schlüsselvernichtung entsorgt werden.
Kennzeichnung: Alle Dokumente, Dateien und Behälter werden eindeutig als VERTRAULICH gekennzeichnet. E-Mail-Betreffzeilen enthalten die Klassifizierungskennzeichnung.

STRENG VERTRAULICH

Hochsensible Informationen (z. B. Geschäftsgeheimnisse, besondere Kategorien personenbezogener Daten). Unbefugte Offenlegung könnte schweren oder existenzbedrohenden Schaden verursachen.

Zugriff: Zugriff strikt auf namentlich benannte Personen mit ausdrücklicher Genehmigung des Informationseigentümers und der Geschäftsleitung beschränkt. Zugriffslisten werden geführt und regelmäßig überprüft.
Speicherung: Digital: Speicherung ausschließlich auf speziell dafür vorgesehenen, verschlüsselten Systemen mit Multi-Faktor-Zugangskontrolle. Physisch: Aufbewahrung in Tresoren oder Hochsicherheitsräumen mit Zugriffsprotokollierung.
Übertragung: Ende-zu-Ende-Verschlüsselung ist zwingend. Nutzung ausschließlich genehmigter sicherer Kanäle. Keine Übertragung per Standard-E-Mail. Physischer Transfer nur durch vertrauenswürdige Kuriere mit Chain-of-Custody-Dokumentation.
Entsorgung: Papier: Kreuzschnittvernichtung (DIN 66399 Sicherheitsstufe P-5 oder höher) mit bezeugter Vernichtung. Digital: Kryptographische Löschung oder physische Vernichtung der Datenträger, dokumentiert und bezeugt.
Kennzeichnung: Alle Dokumente, Dateien und Behälter werden deutlich als STRENG VERTRAULICH gekennzeichnet. Jede Seite trägt die Klassifizierungskennzeichnung. E-Mail-Betreffzeilen enthalten die Klassifizierungskennzeichnung.

3.3 Integritätsstufen

[IHR_ORGANISATIONSNAME] verwendet die folgenden Integritätsstufen. Jede Stufe spiegelt die Auswirkungen wider, die eine unbefugte Änderung oder ein Verlust der Korrektheit für die Organisation hätte:

Normal: Kleinere Ungenauigkeiten sind tolerierbar und können ohne nennenswerten Aufwand korrigiert werden.
Hoch: Ungenauigkeiten könnten nennenswerten Schaden verursachen. Die Korrektheit ist überprüfbar.
Sehr hoch: Informationen sind jederzeit korrekt. Jede Veränderung könnte schweren Schaden verursachen.

3.4 Verfügbarkeitsstufen

[IHR_ORGANISATIONSNAME] verwendet die folgenden Verfügbarkeitsstufen. Jede Stufe spiegelt die Auswirkungen wider, die ein Verlust der Verfügbarkeit für die Organisation hätte:

Normal: Ausfallzeiten von bis zu mehreren Tagen sind tolerierbar.
Hoch: Die maximal tolerierbare Ausfallzeit beträgt wenige Stunden. Längere Ausfälle verursachen erhebliche geschäftliche Auswirkungen.
Sehr hoch: Informationen sind jederzeit verfügbar. Jeder Ausfall verursacht schweren Schaden.

3.5 Abstimmung mit der Zugriffskontrolle

Das Klassifizierungsschema ist mit der Zugriffskontroll-Richtlinie von [IHR_ORGANISATIONSNAME] abgestimmt. Zugriffsrechte werden auf Basis der Klassifizierungsstufe der Informationen vergeben: Je höher die Klassifizierung, desto restriktiver die Zugriffskontrollen. Rollenbasierte Zugriffskontrolle (RBAC) und das Prinzip der minimalen Rechte werden angewendet. Zugriffsentscheidungen beziehen sich auf die vom Asset-Eigentümer zugewiesene Klassifizierungsstufe.

3.6 Organisationsweite Konsistenz

Dieses Klassifizierungsschema ist für alle Abteilungen, Geschäftsbereiche und Standorte von [IHR_ORGANISATIONSNAME] verbindlich. Die folgenden Maßnahmen gewährleisten eine einheitliche Anwendung:

Diese Richtlinie wird allen Beschäftigten während des Onboardings und über regelmäßige Sensibilisierungsschulungen kommuniziert.
Klassifizierungsverfahren werden in Dokumentenmanagement-, Projektmanagement- und IT-Service-Management-Prozesse integriert.
Vorlagen für gängige Dokumenttypen enthalten vorformatierte Klassifizierungskennzeichnungen.
Die/der Informationssicherheitsbeauftragte führt regelmäßige Stichproben zur Überprüfung der korrekten Klassifizierung durch.

3.7 Organisationsübergreifende Klassifizierung

Das von [IHR_ORGANISATIONSNAME] verwendete Klassifizierungsschema kann von den Schemata von Partnerorganisationen abweichen, auch wenn die Stufenbezeichnungen ähnlich erscheinen. Wenn Vereinbarungen mit anderen Organisationen den Informationsaustausch umfassen, spezifizieren die Vereinbarungen Verfahren zur Identifizierung der Klassifizierung ausgetauschter Informationen und zur Interpretation der Klassifizierungsstufen der anderen Organisation. Die Entsprechung zwischen verschiedenen Schemata wird durch den Vergleich der zugehörigen Handhabungs- und Schutzmethoden bestimmt.

4. Kennzeichnung von Informationen (A 5.13)

Die Kennzeichnungsverfahren decken Informationen und andere zugehörige Assets in allen Formaten ab. Die Kennzeichnung spiegelt das oben etablierte Klassifizierungsschema wider. Kennzeichnungen sind leicht erkennbar und werden einheitlich angewendet, sodass alle Beschäftigten die Klassifizierung jeder Information, auf die sie stoßen, sofort erkennen können.

4.1 Kennzeichnungsmethoden

Asset-Eigentümer stellen sicher, dass Informationen je nach Format und Medium nach den folgenden Methoden gekennzeichnet werden:

Papierdokumente: Klassifizierungskennzeichnung in der Kopf- oder Fußzeile jeder Seite. Deckblätter und erste Seiten tragen eine prominente Kennzeichnung. Ordner und Mappen sind auf Rücken und Vorderseite gekennzeichnet.
Elektronische Dokumente: Klassifizierungskennzeichnung in Kopf-/Fußzeile des Dokuments (für Office-Dokumente), im Dateinamen (mit Präfix wie VERTRAULICH_Bericht_2025.pdf) und/oder über Dokumenten-Metadaten-Eigenschaften.
E-Mail: Klassifizierungskennzeichnung am Anfang der Betreffzeile (z. B. [VERTRAULICH]). Sensible Anhänge tragen ihre eigene Klassifizierungskennzeichnung.
Speichermedien: Physische Medien (USB-Sticks, externe Festplatten, Sicherungsbänder) werden mit der höchsten Klassifizierungsstufe der enthaltenen Informationen gekennzeichnet.
Anwendungen und Datenbanken: Klassifizierungs-Metadaten werden auf Datenfeld-, Datensatz- oder Container-Ebene angewendet, wo dies technisch machbar ist. Systeme, die keine Klassifizierung pro Datensatz unterstützen, schützen alle enthaltenen Informationen auf der höchsten vorkommenden Klassifizierungsstufe.
Mündliche Kommunikation: Vor mündlicher Besprechung klassifizierter Informationen (in Meetings, Telefonaten, Videokonferenzen) nennt die sprechende Person die Klassifizierungsstufe und stellt sicher, dass nur autorisierte Personen anwesend sind.

4.2 Digitale Metadaten

[IHR_ORGANISATIONSNAME] nutzt Metadaten zur Identifikation, Verwaltung und Steuerung von Informationen, insbesondere hinsichtlich der Vertraulichkeit. Metadaten ermöglichen effizientes Suchen und erlauben Systemen, auf Basis von Klassifizierungskennzeichnungen zu interagieren und Entscheidungen zu treffen. Die Kennzeichnungsverfahren beschreiben, wie Metadaten an Informationen angebracht werden, welche Kennzeichnungen zu verwenden sind und wie Daten gehandhabt werden, im Einklang mit dem Informationsmodell und der IKT-Architektur der Organisation. Relevante zusätzliche Metadaten (z. B. welcher Prozess die Information wann erstellt hat) werden von Systemen bei der Verarbeitung hinzugefügt.

4.3 Ausnahmen von der Kennzeichnung

[IHR_ORGANISATIONSNAME] definiert die folgenden Fälle, in denen eine Kennzeichnung entfallen oder vereinfacht werden kann:

ÖFFENTLICHE Informationen: Die Kennzeichnung ist für Informationen der niedrigsten Vertraulichkeitsstufe optional, da das Fehlen einer Kennzeichnung keine höhere Klassifizierung impliziert. Allerdings werden nicht gekennzeichnete Informationen nicht ohne Prüfung als öffentlich angenommen.
Routinemäßige interne Kommunikation: Routinemäßige interne E-Mails und Chat-Nachrichten, die keine Informationen oberhalb der Stufe INTERN enthalten, erfordern keine expliziten Klassifizierungskennzeichnungen, es sei denn, sie werden extern weitergeleitet.
Automatisierte Datenflüsse: Wenn Informationsflüsse zwischen Systemen vollständig automatisiert und zugriffskontrolliert sind, kann die einzelne Kennzeichnung durch eine systemweite Klassifizierung ersetzt werden, sofern das System alle enthaltenen Informationen auf der angemessenen Stufe schützt.

Auch wenn die Kennzeichnung entfällt, bleibt der Asset-Eigentümer dafür verantwortlich, dass die Information entsprechend ihrer Klassifizierungsstufe gehandhabt wird.

4.4 Umgang mit nicht kennzeichenbaren Informationen

In bestimmten Situationen ist eine Kennzeichnung technisch oder praktisch nicht machbar (z. B. mündliche Informationen, Live-Demonstrationen, Altsysteme ohne Metadaten-Unterstützung). In diesen Fällen:

Informationen, die nicht gekennzeichnet werden können, werden als VERTRAULICH behandelt, bis der Asset-Eigentümer eine Klassifizierung zuweist und kommuniziert.
Der Asset-Eigentümer dokumentiert die Klassifizierung im Asset-Inventar und stellt sicher, dass alle mit der Information umgehenden Personen mündlich oder schriftlich über die Klassifizierung informiert werden.
Wenn nicht gekennzeichnete Informationen aus einem System exportiert werden (z. B. durch Ausdruck, Download oder Weiterleitung), bringt die exportierende Person die entsprechende Kennzeichnung am Exportpunkt an.

4.5 Sensibilisierung & Schulung

Alle Beschäftigten werden für Kennzeichnungsverfahren sensibilisiert und erhalten die notwendige Schulung, um sicherzustellen, dass Informationen korrekt gekennzeichnet und gehandhabt werden. Beschäftigte werden auch darauf hingewiesen, dass die Kennzeichnung mitunter unbeabsichtigte negative Auswirkungen haben kann, da klassifizierte Assets für böswillige Akteure leichter identifizierbar sein könnten. Dieses Risiko wird durch ergänzende Zugriffskontrollen und das Prinzip der minimalen Rechte gemindert, nicht durch Verschleierung.

Ausgaben aus Systemen, die als sensibel oder kritisch klassifizierte Informationen enthalten, tragen eine angemessene Klassifizierungskennzeichnung.

5. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt angemessene Ressourcen für die Umsetzung bereit und kommuniziert die organisatorische Erwartung an den korrekten Umgang mit Informationen.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, definiert und überprüft Klassifizierungsstufen, führt Stichproben zur Einhaltung von Klassifizierung und Kennzeichnung durch und berät Asset-Eigentümer.
Asset-Eigentümer (Informationseigentümer): Klassifizieren die ihnen gehörenden Informationen, weisen Klassifizierungsstufen zu und überprüfen sie, genehmigen Zugriffsanträge auf ihre Informationen und stellen sicher, dass Kennzeichnungs- und Handhabungsregeln befolgt werden.
IT-Abteilung: Implementiert technische Maßnahmen zur Kennzeichnung (Metadaten, DLP, Vorlagen), setzt an Klassifizierungsstufen ausgerichtete Zugriffskontrollen durch und stellt sicher, dass Systeme Klassifizierungs-Metadaten unterstützen können.
Alle Beschäftigten: Wenden Klassifizierungskennzeichnungen korrekt an, handhaben Informationen entsprechend ihrer Klassifizierung, melden vermutete Fehlklassifizierungen und nehmen an Sensibilisierungsschulungen zu Klassifizierung und Kennzeichnung teil.

6. Überprüfung & Pflege

Diese Richtlinie wird überprüft:

Mindestens jährlich im Rahmen des ISMS-Managementbewertungszyklus.
Wenn sich geschäftliche Anforderungen an Informationsaustausch oder -schutz wesentlich ändern.
Nach wesentlichen Sicherheitsvorfällen im Zusammenhang mit Fehlklassifizierungen oder Informationsabfluss.
Bei Änderungen am rechtlichen oder regulatorischen Rahmen, die Klassifizierungsanforderungen betreffen (z. B. neue Datenschutzverordnungen, Änderungen des Geschäftsgeheimnisgesetzes).
Wenn die Organisation neue Informationsaustauschvereinbarungen mit externen Parteien eingeht, die eine Abstimmung der Klassifizierungsschemata erfordern.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:

A 5.12 — Classification of Information
A 5.13 — Labelling of Information

BSI IT-Grundschutz:

ISMS.1.A10 (Security Concept)
BSI-Standard 200-2 Chapter 5.1 (Classification of Business Processes and Information)
BSI-Standard 200-2 Chapter 8.2 (Protection Needs Assessment)

Additional jurisdiction-specific laws and regulations — in particular data protection law (GDPR), trade secret protection and sector-specific confidentiality requirements — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes a consistent classification and labelling scheme for information and other associated assets at [YOUR_ORGANISATION_NAME]. It ensures that information receives an appropriate level of protection in accordance with its importance to the organisation, considering requirements for confidentiality, integrity and availability.

This policy applies to:

All information assets, regardless of format (digital, paper, verbal)
All associated assets (systems, storage media, applications) that process, store or transmit classified information
All employees, contractors and third parties who handle information belonging to or entrusted to the organisation

The classification scheme provides the basis for access control decisions, handling rules and protective measures across [YOUR_ORGANISATION_NAME].

3. Classification of Information (A 5.12)

The owners of information (asset owners) are accountable for their classification. Classifications and associated protective controls take account of business needs for sharing or restricting information, for protecting integrity and assuring availability, as well as legal requirements. Assets other than information are classified in compliance with the classification of information that is stored in, processed by, or otherwise handled or protected by the asset.

Information can cease to be sensitive or critical after a certain period of time. Over-classification leads to unnecessary controls and additional expense; under-classification leads to insufficient protection. Classification levels are reviewed periodically and adjusted when business requirements or the threat landscape change.

3.1 Classification Conventions & Review

[YOUR_ORGANISATION_NAME] classifies information along three protection dimensions: confidentiality, integrity and availability. Each dimension uses a defined set of levels. The asset owner assigns a classification level per dimension upon creation of the information asset. The classification is reviewed:

At least annually as part of the asset inventory review.
Whenever the content, context or use of the information changes materially.
When the information is shared with new parties or used in new business processes.
When the information reaches the end of a defined retention period or is made public.

3.2 Confidentiality Levels

[YOUR_ORGANISATION_NAME] uses the following four confidentiality levels. Each level reflects the impact that unauthorised disclosure would have on the organisation:

PUBLIC

Information intended for unrestricted distribution. Disclosure causes no harm to the organisation.

Access: No access restrictions. Available to the general public.
Storage: No special storage requirements. Standard organisational storage is sufficient.
Transmission: No restrictions on transmission method. May be shared freely.
Disposal: Standard disposal procedures (recycling for paper, normal deletion for digital files).
Labelling: Labelling as PUBLIC is optional. Unlabelled information is not automatically considered public.

INTERNAL

Information for internal use only. Unauthorised disclosure could cause minor inconvenience but no significant damage.

Access: Access restricted to employees and authorised external personnel. Need-to-know principle recommended but not mandatory.
Storage: Store on organisational systems with standard access controls. Physical documents in standard office areas (no public-facing locations).
Transmission: Use organisational email or approved file-sharing platforms. Encryption recommended but not mandatory for internal transmission.
Disposal: Paper: dispose via office shredder or confidential waste bin. Digital: standard deletion from organisational systems.
Labelling: Label documents, emails and file shares as INTERNAL. Use header/footer markings on documents.

CONFIDENTIAL

Sensitive business information. Unauthorised disclosure could cause significant damage to the organisation, its partners or its customers.

Access: Access restricted to specifically authorised individuals on a strict need-to-know basis. Access is approved by the information owner.
Storage: Digital: store on access-controlled systems with encrypted storage. Physical: store in locked cabinets or secured office areas.
Transmission: Use encrypted email or secure file transfer. Do not use public cloud services unless approved and encrypted. Physical transfer via sealed, opaque envelope.
Disposal: Paper: cross-cut shredding (DIN 66399 security level P-4 or higher). Digital: secure deletion using approved tools; encrypted media may be disposed of after key destruction.
Labelling: All documents, files and containers are clearly labelled as CONFIDENTIAL. Email subject lines include the classification label.

STRICTLY CONFIDENTIAL

Highly sensitive information (e.g. trade secrets, special categories of personal data). Unauthorised disclosure could cause severe or existential damage.

Access: Access strictly limited to named individuals with explicit authorisation from the information owner and senior management. Access lists are maintained and reviewed regularly.
Storage: Digital: store only on specifically designated, encrypted systems with multi-factor access control. Physical: store in safes or high-security rooms with access logging.
Transmission: End-to-end encryption mandatory. Use only approved secure channels. No transmission via standard email. Physical transfer only by trusted courier with chain-of-custody documentation.
Disposal: Paper: cross-cut shredding (DIN 66399 security level P-5 or higher) with witnessed destruction. Digital: cryptographic erasure or physical destruction of media, documented and witnessed.
Labelling: All documents, files and containers are prominently labelled as STRICTLY CONFIDENTIAL. Every page carries the classification label. Email subject lines include the classification label.

3.3 Integrity Levels

[YOUR_ORGANISATION_NAME] uses the following integrity levels. Each level reflects the impact that unauthorised modification or loss of correctness would have on the organisation:

Normal: Minor inaccuracies are tolerable and can be corrected without significant effort.
High: Inaccuracies could cause notable damage. Correctness is verifiable.
Very High: Information is correct at all times. Any alteration could cause severe harm.

3.4 Availability Levels

[YOUR_ORGANISATION_NAME] uses the following availability levels. Each level reflects the impact that a loss of availability would have on the organisation:

Normal: Downtime of up to several days is tolerable.
High: Maximum tolerable downtime is a few hours. Longer outages cause significant business impact.
Very High: Information is available at all times. Any outage causes severe damage.

3.5 Alignment with Access Control

The classification scheme is aligned with [YOUR_ORGANISATION_NAME]'s access control policy. Access rights are granted based on the classification level of the information: the higher the classification, the more restrictive the access controls. Role-based access control (RBAC) and the principle of least privilege are applied. Access decisions reference the classification level assigned by the asset owner.

3.6 Organisational Consistency

This classification scheme is mandatory across all departments, business units and locations of [YOUR_ORGANISATION_NAME]. The following measures ensure consistent application:

This policy is communicated to all personnel during onboarding and via periodic awareness training.
Classification procedures are integrated into document management, project management and IT service management processes.
Templates for common document types include pre-formatted classification labels.
The Information Security Officer conducts periodic spot checks to verify correct classification.

3.7 Cross-Organisational Classification

The classification scheme used by [YOUR_ORGANISATION_NAME] may differ from schemes used by partner organisations, even when level names appear similar. When agreements with other organisations include information sharing, the agreements specify procedures to identify the classification of exchanged information and to interpret the classification levels of the other organisation. Correspondence between different schemes is determined by comparing the associated handling and protection methods.

4. Labelling of Information (A 5.13)

Labelling procedures cover information and other associated assets in all formats. The labelling reflects the classification scheme established above. Labels are easily recognisable and applied consistently so that all personnel can immediately determine the classification of any information they encounter.

4.1 Labelling Methods

Asset owners ensure that information is labelled according to the following methods, depending on the format and medium:

Paper documents: Classification label in the header or footer of every page. Cover pages and first pages carry a prominent label. Folders and binders are labelled on the spine and front cover.
Electronic documents: Classification label in the document header/footer (for office documents), in the file name (using a prefix such as CONFIDENTIAL_Report_2025.pdf) and/or via document metadata properties.
Email: Classification label at the beginning of the subject line (e.g. [CONFIDENTIAL]). Sensitive attachments carry their own classification labels.
Storage media: Physical media (USB drives, external hard drives, backup tapes) are labelled with the highest classification level of the information they contain.
Applications and databases: Classification metadata is applied at the data field, record or container level where technically feasible. Systems that do not support per-record classification protect all contained information at the highest classification level present.
Verbal communication: Before discussing classified information verbally (in meetings, phone calls, video conferences), the speaker states the classification level and ensures that only authorised individuals are present.

4.2 Digital Metadata

[YOUR_ORGANISATION_NAME] uses metadata to identify, manage and control information, especially with regard to confidentiality. Metadata enables efficient searching and allows systems to interact and make decisions based on classification labels. The labelling procedures describe how to attach metadata to information, what labels to use and how data is handled, in line with the organisation's information model and ICT architecture. Relevant additional metadata (e.g. which process created the information and when) is added by systems when they process information.

4.3 Exceptions from Labelling

[YOUR_ORGANISATION_NAME] defines the following cases where labelling may be omitted or simplified:

PUBLIC information: Labelling is optional for information at the lowest confidentiality level, as the absence of a label does not imply a higher classification. However, unlabelled information is not assumed to be public without verification.
Internal communications of routine nature: Routine internal emails and chat messages that do not contain information above the INTERNAL level do not require explicit classification labels, unless they are forwarded externally.
Automated data flows: Where information flows between systems are fully automated and access-controlled, per-item labelling may be replaced by system-level classification, provided the system protects all contained information at the appropriate level.

Even when labelling is omitted, the asset owner remains responsible for ensuring that the information is handled in accordance with its classification level.

4.4 Handling Unlabellable Information

In certain situations, labelling is technically or practically not feasible (e.g. verbal information, live demonstrations, legacy systems without metadata support). In these cases:

Information that cannot be labelled is treated as CONFIDENTIAL until the asset owner assigns and communicates a classification.
The asset owner documents the classification in the asset inventory and ensures that all individuals handling the information are informed of its classification verbally or in writing.
When unlabelled information is exported from a system (e.g. via printout, download or forwarding), the exporting person applies the appropriate label at the point of export.

4.5 Awareness & Training

All personnel are made aware of labelling procedures and receive the necessary training to ensure information is correctly labelled and handled. Personnel are also informed that labelling can sometimes have unintended negative effects, as classified assets may become easier to identify by malicious actors. This risk is mitigated through complementary access controls and the principle of least privilege rather than through obscurity.

Output from systems containing information classified as sensitive or critical carries an appropriate classification label.

5. Roles & Responsibilities

Top Management: Approves this policy, ensures adequate resources for implementation and sets the organisational expectation for proper information handling.
Information Security Officer (ISO): Maintains this policy, defines and reviews classification levels, conducts spot checks on classification and labelling compliance and provides guidance to asset owners.
Asset Owners (Information Owners): Classify the information they own, assign and review classification levels, approve access requests for their information and ensure that labelling and handling rules are followed.
IT Department: Implements technical controls for labelling (metadata, DLP, templates), enforces access controls aligned with classification levels and ensures systems can support classification metadata.
All Personnel: Apply classification labels correctly, handle information in accordance with its classification, report suspected misclassification and participate in awareness training on classification and labelling.

6. Review & Maintenance

This policy is reviewed:

At least annually as part of the ISMS management review cycle.
When business requirements for information sharing or protection change materially.
After significant security incidents involving misclassification or information leakage.
When changes to the legal or regulatory framework affect classification requirements (e.g. new data protection regulations, trade secret law amendments).
When the organisation enters into new information-sharing agreements with external parties that require alignment of classification schemes.

Quellen

ISO/IEC 27002:2022 Abschnitte 5.12–5.13 — Klassifizierung und Kennzeichnung von Informationen
BSI-Standard 200-2 Kapitel 8.2 — Schutzbedarfsfeststellung
DIN 66399 — Vernichtung von Datenträgern