2026-03-07
By Orbiq TeamDatenklassifizierung: Was sie ist, Stufen, Frameworks und Implementierung
Ein praxisnaher Leitfaden zur Datenklassifizierung — was sie ist, Klassifizierungsstufen, wie man ein Klassifizierungsschema aufbaut, regulatorische Anforderungen unter ISO 27001, SOC 2, NIS2, DSGVO und DORA, und wie B2B-Unternehmen Datenklassifizierung zur Verbesserung der Sicherheit und zum Compliance-Nachweis nutzen können.
Datenklassifizierung
Datenschutz
Informationssicherheit
ISO 27001
DSGVO
Compliance
Datenklassifizierung: Was sie ist, Stufen, Frameworks und Implementierung
Datenklassifizierung ist der Prozess der Kategorisierung von Daten basierend auf ihrer Sensitivität, ihrem Wert und regulatorischen Anforderungen, um das angemessene Schutzniveau zu bestimmen. Sie ist eine grundlegende Informationssicherheitspraxis, die es Organisationen ermöglicht, die richtigen Sicherheitskontrollen auf die richtigen Daten anzuwenden.
Für B2B-Unternehmen ist Datenklassifizierung sowohl eine Compliance-Anforderung als auch ein Vertrauenssignal. ISO 27001, SOC 2, DSGVO, NIS2 und DORA verlangen alle von Organisationen, ihre Informationswerte zu identifizieren, zu klassifizieren und angemessen zu schützen. Enterprise-Käufer erwarten von Anbietern, dass sie ein klares Klassifizierungsschema und konsistente Datenhandhabungspraktiken nachweisen.
Dieser Leitfaden behandelt, was Datenklassifizierung ist, Standard-Klassifizierungsstufen, wie man ein Klassifizierungsschema implementiert, regulatorische Anforderungen und wie Klassifizierung breitere Sicherheits- und Compliance-Ziele unterstützt.
Klassifizierungsstufen
Standard-Vier-Stufen-Schema
| Stufe | Beschreibung | Beispiele | Handhabungsanforderungen |
|---|---|---|---|
| Öffentlich | Informationen für den öffentlichen Gebrauch bestimmt | Marketingmaterialien, Blogbeiträge, Pressemitteilungen | Nur Integritätskontrollen; keine Vertraulichkeitsanforderungen |
| Intern | Informationen für den internen Gebrauch, nicht zur Veröffentlichung | Interne Richtlinien, Organigramme, Besprechungsnotizen | Authentifizierter Zugang, grundlegende Verschlüsselung bei Übertragung |
| Vertraulich | Sensible Informationen, deren Offenlegung erheblichen Schaden verursachen könnte | Kundendaten, Finanzunterlagen, Quellcode, Verträge | Need-to-know-Zugang, Verschlüsselung im Ruhezustand und bei Übertragung, Audit-Logging |
| Streng Vertraulich | Die sensibelsten Informationen mit höchstem Schutzbedarf | Verschlüsselungsschlüssel, Zugangsdaten, regulierte PII, Geschäftsgeheimnisse | MFA, vollständige Audit-Trails, verschlüsselte Speicherung, strenge Handhabungsverfahren |
Entscheidungskriterien für die Klassifizierung
| Kriterium | Zu stellende Frage |
|---|---|
| Vertraulichkeitsauswirkung | Welcher Schaden würde entstehen, wenn diese Daten an Unbefugte offengelegt würden? |
| Integritätsauswirkung | Welcher Schaden würde entstehen, wenn diese Daten unbefugt verändert würden? |
| Verfügbarkeitsauswirkung | Welcher Schaden würde entstehen, wenn diese Daten nicht verfügbar wären? |
| Regulatorische Anforderungen | Unterliegen diese Daten spezifischem regulatorischem Schutz (DSGVO, DORA, NIS2)? |
| Vertragliche Pflichten | Legen Kundenverträge spezifische Handhabungsanforderungen fest? |
| Geschäftswert | Wie kritisch sind diese Daten für den Geschäftsbetrieb und Wettbewerbsvorteil? |
Datentypen und Klassifizierung
Gängige Datenkategorien
| Datentyp | Typische Klassifizierung | Regulatorischer Kontext |
|---|---|---|
| Personenbezogene Daten (Standard) | Vertraulich | DSGVO Artikel 6 |
| Besondere Kategorien personenbezogener Daten | Streng Vertraulich | DSGVO Artikel 9 |
| Finanzunterlagen | Vertraulich | DORA, lokale Vorschriften |
| Kundenverträge | Vertraulich | Vertragliche Pflichten |
| Quellcode | Vertraulich | IP-Schutz |
| Verschlüsselungsschlüssel und Zugangsdaten | Streng Vertraulich | ISO 27001 A.8.24 |
| Audit-Protokolle | Vertraulich | ISO 27001, SOC 2, DORA |
| Marketingmaterialien | Öffentlich | N/A |
| Interne Richtlinien | Intern | ISO 27001 Dokumentenkontrolle |
| Vorfallsberichte | Vertraulich | NIS2 Art. 23, DORA Art. 19 |
| Risikobewertungen | Vertraulich | ISO 27001, NIS2, DORA |
| Mitarbeiter-HR-Daten | Vertraulich/Streng Vertraulich | DSGVO, lokales Arbeitsrecht |
Sicherheitskontrollen nach Klassifizierungsstufe
Kontrollmatrix
| Kontrolle | Öffentlich | Intern | Vertraulich | Streng Vertraulich |
|---|---|---|---|---|
| Zugangskontrolle | Keine | Authentifizierte Benutzer | Need-to-know, rollenbasiert | Need-to-know, MFA erforderlich |
| Verschlüsselung bei Übertragung | Optional (HTTPS) | Erforderlich (TLS) | Erforderlich (TLS 1.2+) | Erforderlich (TLS 1.3, Mutual TLS) |
| Verschlüsselung im Ruhezustand | Nicht erforderlich | Empfohlen | Erforderlich (AES-256) | Erforderlich (AES-256, HSM-Schlüsselmanagement) |
| Audit-Logging | Nicht erforderlich | Grundlegendes Zugriffslogging | Vollständiges Zugriffs- und Änderungslogging | Vollständiges Logging mit Manipulationsschutz |
| Data Loss Prevention | Nicht erforderlich | Monitoring | Aktives Blockieren | Aktives Blockieren mit Warnungen |
| Backup | Standard | Standard | Verschlüsselte Backups | Verschlüsselte Backups, separates Schlüsselmanagement |
| Entsorgung | Standardlöschung | Sichere Löschung | Zertifizierte Vernichtung | Zertifizierte Vernichtung mit Zeuge |
| Weitergabe | Uneingeschränkt | Nur intern | Genehmigte Empfänger mit NDA | Namentlich benannte Personen mit expliziter Genehmigung |
Implementierung der Datenklassifizierung
Schrittweiser Ansatz
- Klassifizierungsschema definieren — Klare Klassifizierungsstufen mit Definitionen, Beispielen und Handhabungsanforderungen festlegen
- Dateninventar erstellen — Alle Datenbestände über Systeme, Datenbanken, Dateispeicher und SaaS-Anwendungen hinweg identifizieren
- Vorhandene Daten klassifizieren — Klassifizierungsstufen basierend auf den definierten Kriterien zuweisen
- Kennzeichnung implementieren — Klassifizierungslabels durch Metadaten, visuelle Markierungen und Systemkonfigurationen anwenden
- Handhabungsverfahren definieren — Dokumentieren, wie jede Stufe erstellt, gespeichert, übertragen, geteilt und entsorgt werden soll
- Kontrollen konfigurieren — Technische Kontrollen (Zugangskontrolle, Verschlüsselung, DLP) an Klassifizierungsstufen ausrichten
- Mitarbeiter schulen — Sicherstellen, dass alle Mitarbeiter das Schema und ihre Verantwortlichkeiten verstehen
- Überwachen und überprüfen — Klassifizierungen regelmäßig überprüfen, Compliance überwachen und bei Bedarf aktualisieren
Methoden der Datenkennzeichnung
| Methode | Anwendung | Automatisierung |
|---|---|---|
| Metadaten-Tagging | Dokumenteneigenschaften, Dateimetadaten | Semi-automatisiert (DLP-Tools, Dokumentenmanagementsysteme) |
| Visuelle Markierung | Kopf-/Fußzeilen, Wasserzeichen auf Dokumenten | Automatisiert (Vorlagen, Dokumentenmanagement) |
| E-Mail-Header | Klassifizierungslabels in E-Mail-Headern oder Betreffzeilen | Automatisiert (E-Mail-Sicherheitstools) |
| Datenbankschemata | Klassifizierungsspalten in Datenbanktabellen | Manuell oder automatisiert (Datenkataloge) |
| DLP-Inhaltsanalyse | Automatische Klassifizierung basierend auf Inhaltsmustern | Automatisiert (DLP, KI-basierte Klassifizierung) |
| API-Response-Header | Klassifizierungsmetadaten in API-Antworten | Automatisiert (API-Gateway-Konfiguration) |
Compliance-Anforderungen
Regulatorische Zuordnung
| Framework | Anforderung | Datenklassifizierungs-Alignment |
|---|---|---|
| ISO 27001 | A.5.12 | Klassifizierung von Informationen basierend auf Sicherheitsbedürfnissen |
| ISO 27001 | A.5.13 | Kennzeichnung von Informationen gemäß Klassifizierung |
| ISO 27001 | A.5.10 | Regeln für akzeptable Nutzung basierend auf Klassifizierung |
| ISO 27001 | A.5.14 | Sichere Übertragung basierend auf Klassifizierung |
| SOC 2 | CC6.1 | Logische Zugangskontrollen basierend auf Datensensitivität |
| SOC 2 | CC6.7 | Einschränkung von Daten basierend auf Klassifizierung |
| DSGVO | Art. 5, 9, 32 | Datenschutz proportional zur Sensitivität |
| NIS2 | Art. 21(2)(d) | Lieferkettensicherheit einschließlich Datenklassifizierung |
| DORA | Art. 9 | Klassifizierung von IKT-Assets und Informationen |
Audit-Nachweise
| Nachweis | Beschreibung |
|---|---|
| Klassifizierungsrichtlinie | Dokumentierte Richtlinie mit Klassifizierungsstufen, Kriterien und Handhabungsanforderungen |
| Dateninventar | Register der Datenbestände mit zugewiesenen Klassifizierungsstufen |
| Kennzeichnungsverfahren | Dokumentation, wie Daten gekennzeichnet und markiert werden |
| Handhabungsverfahren | Dokumentierte Verfahren für jede Klassifizierungsstufe |
| Schulungsnachweise | Nachweis, dass Mitarbeiter im Klassifizierungsschema geschult sind |
| Zugangskontrollen | Konfigurationsnachweise für an Klassifizierung ausgerichtete Zugangskontrollen |
| DLP-Konfiguration | Data-Loss-Prevention-Regeln konfiguriert nach Klassifizierungsstufe |
| Überprüfungsnachweise | Nachweis periodischer Klassifizierungsüberprüfungen und Aktualisierungen |
Häufige Fehler
| Fehler | Konsequenz | Besserer Ansatz |
|---|---|---|
| Zu viele Stufen | Verwirrung, inkonsistente Anwendung | Mit 3-4 Stufen beginnen; Granularität nur bei Bedarf hinzufügen |
| Kein Dateninventar | Kann nicht klassifizieren, was man nicht kennt | Vollständiges Dateninventar vor der Klassifizierung erstellen |
| Klassifizierung ohne Kontrollen | Labels existieren, aber Schutz folgt nicht | Kontrollen jeder Klassifizierungsstufe zuordnen |
| Einmalige Übung | Klassifizierung veraltet schnell | In Data-Governance-Prozesse integrieren |
| Über-Klassifizierung | Alles als Vertraulich markiert; Kontrollen verlieren Bedeutung | Klassifizierung basierend auf tatsächlichem Risiko anwenden |
| Keine Schulung | Mitarbeiter verstehen das Schema nicht | Klassifizierung in Security-Awareness-Training einbeziehen |
| Unstrukturierte Daten ignorieren | Dateien, E-Mails und Dokumente unklassifiziert | Alle Datentypen im Klassifizierungsprogramm berücksichtigen |
Wie Orbiq Datenklassifizierung unterstützt
- Trust Center: Veröffentlichen Sie Ihren Datenklassifizierungsstatus — Klassifizierungsschema, Handhabungsverfahren und Schutzmaßnahmen für Käufer-Self-Service
- Kontinuierliches Monitoring: Verfolgen Sie die Datenklassifizierungs-Compliance über ISO 27001, SOC 2, DSGVO und DORA-Anforderungen
- KI-gestützte Fragebögen: Beantworten Sie Fragen zu Datenklassifizierung und -handhabung von Enterprise-Käufern automatisch
- Evidenz-Management: Zentralisieren Sie Klassifizierungsrichtlinien, Dateninventare und Handhabungsverfahren für Auditoren
Weiterführende Lektüre
- Informationssicherheitsleitlinie — Richtlinien, die Klassifizierungsanforderungen definieren
- Zugangskontrolle — Zugriffsmanagement gesteuert durch Klassifizierungsstufen
- DSGVO-Compliance — DSGVO-Datenschutz- und Klassifizierungsanforderungen
- Datensouveränität — Datenresidenz- und Souveränitätsaspekte für klassifizierte Daten
- Compliance-Automatisierung — Automatisierung klassifizierungsbasierter Kontrollen
Dieser Leitfaden wird vom Orbiq-Team gepflegt. Letzte Aktualisierung: März 2026.