Data Classification

[ˈdeɪtə ˌklæsɪfɪˈkeɪʃn] · auch: Datenklassifizierung, Informationsklassifizierung

Data Classification ist der Prozess der systematischen Kategorisierung von Daten nach Sensitivitaet, Schutzbedarf und regulatorischer Relevanz -- als Grundlage fuer abgestufte Schutzmaassnahmen, Zugriffsrechte und Aufbewahrungsfristen.

Warum Data Classification wichtig ist

Ohne Datenklassifizierung gibt es keine risikobasierte Sicherheit: Wer nicht weiss, welche Daten schutzenswert sind, kann keinen angemessenen Schutz implementieren. Alle massgeblichen Frameworks -- von ISO 27001 bis DSGVO -- setzen eine Klassifizierung voraus. Im Audit scheitern Organisationen haeufig nicht an der fehlenden Massnahme, sondern am fehlenden Nachweis, dass die Klassifizierung systematisch und vollstaendig durchgefuehrt wurde.

Wo Data Classification gefordert wird

Framework	Referenz	Anforderung
ISO 27001:2022	A.5.12	Klassifizierung von Informationen: Alle Informationsassets muessen nach Vertraulichkeit, Integritaet und Verfuegbarkeit klassifiziert werden.
NIS-2 / BSIG	§ 30 Abs. 2	Risikobasierter Schutz setzt Kenntnis des Schutzbedarfs voraus -- ohne Klassifizierung keine nachweisbare Risikobewertung.
DSGVO	Art. 9	Besondere Kategorien personenbezogener Daten (Gesundheit, Biometrie, politische Meinungen) erfordern verstaerkten Schutz.
DORA	Art. 8	IKT-Assets muessen nach Kritikalitaet klassifiziert werden -- Grundlage fuer das IKT-Risikomanagement.
BSI IT-Grundschutz	SYS.1.1	Schutzbedarfsfeststellung als Pflichtschritt vor jeder Sicherheitsmassnahme.

BAM-Objektreferenz

BAM-Objekt CROSS-DC-01

BeschreibungCompliance-Objekt mit Framework-Mapping und Evidence-Anforderungen

GitHubBAM Core →

Haeufige Audit-Fehler

Klassifizierungsschema existiert, wird aber nicht auf alle Daten angewandt
Keine Unterscheidung zwischen personenbezogenen und sonstigen Daten
Klassifizierung veraltet -- neue Datenkategorien nicht erfasst
Mitarbeiter kennen das Schema nicht oder wenden es falsch an

Klassifizierungsstufen in der Praxis

Das BSI IT-Grundschutz unterscheidet vier Schutzstufen: oeffentlich (keine Einschraenkung), intern (nur fuer Mitarbeiter), vertraulich (eingeschraenkter Personenkreis) und streng vertraulich (Need-to-know-Prinzip). ISO 27001 laesst das Schema organisationsspezifisch definieren. In der Praxis hat sich ein viergliedriges Schema bewaehrt, das mit den DSGVO-Anforderungen fuer besondere Datenkategorien kombiniert wird: Standarddaten, interne Daten, personenbezogene Daten, besondere personenbezogene Daten (Art. 9 DSGVO).

Automatisierte Klassifizierung

Manuelle Klassifizierung durch Endnutzer ist fehleranfaellig und schwer skalierbar. Moderne Ansaetze kombinieren regelbasierte Klassifizierung (Muster wie IBAN, E-Mail-Adressen, Geburtsdaten) mit maschinellem Lernen. Microsoft Purview Information Protection, Varonis oder open-source-Ansaetze mit Apache Tika und Regex-Regeln sind gaengige Werkzeuge. Fuer NIS-2 und DORA wird eine Klassifizierung von IKT-Assets zusaetzlich zur Datenklassifizierung erwartet.

Naechste Ebene

Data Classification in der Praxis: Audit-Anforderungen und Evidence

Was Auditoren konkret pruefen -- Schema, Abdeckung, Nachweis und Evidence-Checkliste.

Ebene 2 lesen → NIS-2-Stresstest starten →