Werte & Klassifizierung (5.9–5.14)

Werte (Assets) im Mittelpunkt

Man kann nur schützen, was man kennt. Die Maßnahmen 5.9–5.14 sorgen dafür, dass die Organisation ihre Informationswerte kennt, einordnet und richtig behandelt.

5.9 Inventar der Informationen und damit verbundenen Werte

Ein gepflegtes Asset-Inventar listet Informationen und zugehörige Werte (Hardware, Software, Dienste, Personen) – jeweils mit einem Eigentümer (Owner). Der Owner ist verantwortlich für Schutz und Klassifizierung „seines" Wertes. Ohne Inventar gibt es blinde Flecken.

5.10 Zulässiger Gebrauch von Werten

Regeln und Verfahren, wie Informationen und Werte genutzt werden dürfen – die klassische „Acceptable Use Policy". Beispiel: Darf man Firmendaten auf privaten USB-Sticks speichern? Dienst-Notebooks privat nutzen?

5.11 Rückgabe von Werten

Bei Austritt oder Vertragsende geben Personen alle Werte zurück: Laptops, Ausweise, Tokens, Dokumente – und es werden Zugänge entzogen. Eng verknüpft mit dem Offboarding-Prozess (6.5).

5.12 Klassifizierung von Informationen

Informationen werden nach Schutzbedarf klassifiziert – auf Basis von Vertraulichkeit, Integrität und Verfügbarkeit sowie rechtlichen Anforderungen. Ein typisches, einfaches Schema:

Wichtig: Das Schema muss konsistent und nicht zu komplex sein – vier Stufen reichen meist.

5.13 Kennzeichnung von Informationen

Klassifizierte Informationen werden auch gekennzeichnet (Labels) – z. B. „Vertraulich" in Kopf-/Fußzeile, Metadaten oder Dateinamen. Erst die Kennzeichnung macht die Klassifizierung im Alltag sichtbar und handhabbar.

5.14 Informationsübermittlung

Für die Übertragung von Informationen – elektronisch, physisch oder mündlich – gelten Regeln und Vereinbarungen: verschlüsselte E-Mail, sichere Dateifreigabe, NDAs beim Austausch mit Dritten. Verschlüsselung im Transit ist hier ein Schlüsselthema (siehe Kryptographie und der SSL-Check).