Herausforderung Informationsklassifizierung

top-secret-2054429_1920 (1)

Die Einteilung von Informationen in Vertraulichkeitsklassen, auch Informationsklassifizierung genannt, ist eine der grundlegendsten Aktivitäten bei der Einführung eines Information Security Management Systems (ISMS) und Basis für eine erfolgreiche Zertifizierung nach ISO/IEC 27001. Doch eine sinnvolle Umsetzung der Klassifizierung ist in der Praxis nicht immer einfach, vor allem, wenn Vertraulichkeitsklasse und Leserkreis vermischt werden, wie Amir Salkic, Principal Security Consultant bei SEC Consult, im Folgenden erläutert:

Um eine angemessene Risikobeurteilung durchführen und entsprechende Sicherheitsmaßnahmen definieren zu können, ist eine Kategorisierung von Information nach ihrem Wert bzw. dem Grad ihrer Vertraulichkeit notwendig. Üblicherweise kommt hierfür ein drei- bis vierstufiges Klassifizierungsschema zum Einsatz, welches die Vertraulichkeitsklassen “Öffentlich”, “Intern”, “Vertraulich“ und “Streng Vertraulich” umfasst.  Basierend hierauf legen die Verantwortlichen anschließend fest, wie die jeweiligen Informationen gespeichert, übertragen oder gelöscht werden müssen. Komplexere Unternehmensstrukturen erfordern selbstverständlich komplexere Klassifizierungsschemen, wobei der Fantasie keine Grenzen gesetzt sind. So gehen Unternehmen durchaus auch soweit festzulegen, auf welchen Druckern Informationen ausgedruckt werden dürfen.

So einfach das zunächst klingt, so problematisch kann das Arbeiten mit den Vertraulichkeitsklassen im Alltag eines Unternehmens jedoch sein. Folgende drei Szenarien zeigen typische Probleme bei der Umsetzung der Informationsklassifizierung:

Fall 1: Lisa arbeitet in der Buchhaltung. Sie erstellt einen Bericht über offene Rechnungen aus dem Vormonat. Aus der bereitgestellten Vorlage entnimmt sie die Klasse “Intern”. Tom arbeitet im Vertrieb und möchte den Bericht gerne lesen. Da das Dokument als “Intern” klassifiziert wurde, gewährt Lisa ihm fälschlicherweise den Einblick. Konsequenz: Lisa verursacht einen Sicherheitsvorfall (Verlust der Vertraulichkeit). Denn eine Klassifizierung als „Intern“ bedeutet nicht, dass grundsätzlich jedem Mitarbeiter Zugriff zu gewähren ist, wie weiter unten erklärt werden wird.

Fall 2: Tom erstellt eine Liste mit den Verkaufszahlen des letzten Quartals. Da nur er und sein Vorgesetzter die Liste lesen dürfen, klassifiziert er sie als “Streng Vertraulich”. Konsequenzen: Aufgrund der Vertraulichkeitsklasse sind kostspielige Sicherheitsmaßnahmen notwendig. Auch der tägliche Umgang mit der Liste wird aufwendiger, da etwa eine verschlüsselte Übermittlung notwendig ist.

Fall 3: Lisa muss eine Vielzahl von Verträgen an einen externen Partner übermitteln. Sie sieht in der Richtlinie nach, welche Klassifizierung angemessen ist. Sie findet aber nichts Passendes, da die Klassifizierung nur firmeninterne Personen adressiert. Konsequenzen: Die Richtlinie wird als unangemessen empfunden und in diesem Fall ignoriert.

 

Der Fehler: Die Vermischung von Vertraulichkeitsklasse und Leserkreis

Gleich das erste Beispiel zeigt einen typischen Fehler im Umgang mit der Klassifizierung: Die Klasse “Intern” wird von Unternehmen fälschlicherweise folgendermaßen verstanden: Jeder interne Mitarbeiter darf diese Information einsehen. Die Stufen “Vertraulich” und “Streng Vertraulich” werden dann nach dem gleichen Schema weitergeführt, d.h. die Informationen sind einsehbar für bestimmte Gruppen (in der Regel Abteilungen) bzw. für namentlich genannte Personen. Oft ist das auch genauso in der Richtlinie beschrieben. Diese Vermischung von Vertraulichkeitsklasse und dem Leserkreis ist jedoch falsch und kann schwerwiegende Compliance-Verstöße nach sich ziehen.

Um den Grund hierfür zu verstehen, gilt es einen Schritt zurück zu gehen und sich die Frage zu stellen, warum Informationen überhaupt klassifiziert werden? Antwort: Das Ziel jeder Informationsklassifizierung ist Wirtschaftlichkeit. Unternehmen wollen nur dort Ressourcen für Sicherheitsmaßnahmen investieren, wo sie auch (große) Schäden zu erwarten haben. Demnach sollten Informationen nur dann als “Streng vertraulich” klassifiziert werden, wenn der falsche Umgang mit ihnen hohe bzw. existenz-bedrohliche Schäden nach sich ziehen kann. Als notwendige Konsequenz werden solche Informationen dann beispielsweise verschlüsselt übertragen. In Szenario 2 hat Tom die Klasse “Streng vertraulich” allerdings nur wegen dem eingeschränkten Leserkreis (nämlich er selbst und sein Vorgesetzter) gewählt. Nicht jedoch aufgrund der möglichen Schäden. Wie kann man das nun besser machen?

 

Strikte Trennung zwischen der Vertraulichkeitsklasse und der Verteilerliste

Um diesem Problem entgegenzuwirken, sollte eine strikte Trennung zwischen der Vertraulichkeitsklasse und der Verteilerliste erfolgen. Die Vertraulichkeitsklasse gibt den Schutzbedarf der Information an, während die Verteilerliste regelt, wer berechtigt ist, die Information einzusehen (und zwar nach dem Need-to-know Prinzip). Unter diesem Aspekt sehen die oben erwähnten Szenarien dann wie folgt aus:

Fall 1: Lisa klassifiziert das Dokument mit den offenen Rechnungen nach wie vor als “Intern” (wie von der Vorlage bereitgestellt). Sie definiert jedoch zusätzlich die Verteilerliste ausschließlich für Mitarbeiter der Buchhaltung. Eine erneute Anfrage von Tom wird deshalb richtigerweise abgelehnt.

Fall 2: Tom bestimmt den Schutzbedarf der Verkaufszahlen und leitet die Klasse “Intern” als angemessen ab. Als Verteilerliste definiert er seinen Vorgesetzten und sich selbst. Basierend auf der Verteilerliste werden die Berechtigungen auf dem Netzlaufwerk gesetzt. Die Verkaufszahlen werden somit angemessen geschützt. Eine Verschlüsselung ist nun nicht mehr notwendig.

Fall 3: Lisa bestimmt zuerst den Schutzbedarf für die Verträge. Als Ergebnis wird die Klasse “Vertraulich” festgelegt. Dies macht Lisa klar, welche Schäden für ihr Unternehmen bei einer unerlaubten Veröffentlichung der Dokumente entstehen könnten. Sie definiert die Verteilerliste deshalb besonders sorgfältig (die Buchhaltung und den externen Partner).

Amir Salkic, Principal Security Consultant, SEC Consult

Drei Tipps für eine erfolgreiche Implementierung von Vertraulichkeitsklassen:

  • Die Vertraulichkeitsklasse muss ausschließlich von dem potenziellen Schaden abgeleitet werden und ist unabhängig vom Leserkreis.
  • Die Verteilerliste bestimmt den erlaubten und notwendigen Leserkreis, ist unabhängig von der Vertraulichkeitsklasse und wird zusätzlich zur Vertraulichkeitsklasse angegeben.
  • Die Klasse “Intern” sollte – falls möglich – vermieden werden. Besser wäre es, die entsprechenden Informationen als “Eingeschränkt” zu markieren. Diese Bezeichnung führt zu weniger Verwirrung.