Die Geheimhaltungsstufen
Geheimhaltungsstufen dienen der Klassifizierung von Informationen entsprechend ihrer Schutzbedürftigkeit. Weiter kann für die einzelnen Geheimhaltungsstufen festgelegt werden, wie Informationen der jeweiligen Geheimhaltungsstufe verarbeitet (gespeichert bzw. kommuniziert) werden sollen bzw. müssen.
öffentlich
Informationen, die zu diesem Zeitpunkt der Öffentlichkeit zugänglich sein sollen oder sich explizit an die Öffentlichkeit richten.
intern
Informationen, die zumindest zu diesem Zeitpunkt nicht für die Öffentlichkeit bestimmt sind, deren Veröffentlichung zum jetzigen Zeitpunkt aber keine oder nur sehr geringe negative Auswirkungen für die Organisation oder Einzelne hätte.
vertraulich
Informationen, deren Veröffentlichung die Organisation oder Einzelne gefährden können.
streng-vertraulich
Informationen, deren Veröffentlichung die Organisation oder Einzelne schwer schädigen oder gar in ihrer Existenz bedrohen können.
Klassifizierung von Information
Klassifizierung ist der Vorgang einer Information eine Geheimhaltungsstufe zuzuweisen. Für die Klassifizierung ist derjenige verantwortlich, der die Information erzeugt. Nicht-klassifizierte Informationen sind als vertraulich zu behandeln.
Klassifizierung der Tools zur Übermittlung von Informationen
Bei der Klassifizierung der Tools wurden im Wesentlichen folgende Kriterien angelegt. Mindestvoraussetzung für die Kommunikation von als intern klassifizierten Informationen ist die sogenannte Transportverschlüsselung.
Für die Kommunikation von vertraulichen Informationen sollte eine Ende-zu-Ende Verschlüsselung gegeben sein. Das bedeutet, dass nur die Kommunikationspartner Zugriff auf die kommunizierten Informationen haben.
Streng-vertrauliche Informationen sollten wenn möglich ausschließlich im persönlichen Gespräch übermittelt werden.
Generell spielen immer auch die Vertrauenswürdigkeit des Softwareherstellers bzw. des Betreibers im Falle von Onlinetools eine wichtige Rolle. Auch deshalb ist Opensource Software fast immer zu bevorzugen. Opensource Software bzw. Free/Libre Open Source Software (FOSS/FLOSS) ermöglicht die Überprüfbarkeit der Software auf der Ebene des Quelltextes. Frei ist hier vor allem i.S.v. Freiheit und nur bedingt i.S.v. kostenlos zu verstehen. Dennoch ist bei Opensource Software häufig zumindest keine unmittelbare Gewinnerzielungsabsicht gegeben.
Bei Kommunikationsdiensten spielt außerdem eine Rolle, in welchem Umfang Metadaten zur Kommunikation (z.B. wer mit wem kommuniziert hat) erhoben werden.
Klassifizierung der Tools zur Speicherung von Informationen
Bei der Klassifizierung in Bezug auf die Speicherung von Informationen spielen insbesondere zwei Faktoren eine wichtige Rolle. Das ist der physikalische Verlust der Information z.B. der Verlust eines USB-Sticks und andererseits der Aufwand, der beim Zugriff auf verschlüsselt vorliegende Informationen erbracht werden muss, um die Informationen zu entschlüsseln. Ebenso wie bei der Datenübertragung spielt hier eine wichtige Rolle, wie vertrauenswürdig der Hersteller der Software ist.
Wie bei den Tools zur Datenübertragung und aus denselben Gründen, gilt auch bei Software zur sicheren Speicherung von Daten: Opensource Software bzw. Free/Libre Open Source Software (FOSS/FLOSS) ist in aller Regel zu bevorzugen.
Verletzung der Geheimhaltung
Die Verletzung oder der Verdacht einer Verletzung der Geheimhaltung ist unverzüglich nach Bekanntwerden dem Ersteller der Information mitzuteilen.
Datenspeicherung
Der Begriff der Datenspeicherung umfasst hier jegliche Aufbewahrung von Informationen digitaler und analoger Art. Die Tabelle enthält lediglich einige Beispiele zur Orientierung.
|
öffentlich |
intern |
vertraulich |
streng-vertraulich |
|
|---|---|---|---|---|
| Unverschlüsselte Festplatte | X | X | ||
| Verschlüsselte Festplatte fest verbaut (Veracrypt / LUKS) | X | X | X | (X) |
| Sicher verwahrte, nicht digitale Aufzeichnungen (z.B. Safe) | X | X | X | X |
| USB-Stick / -Festplatte | X | X | ||
| USB-Stick / -Festplatte (verschlüsselt, Veracrypt / LUKS) | X | X | (X) |
(X) bedeutet die jeweilige Art der Speicherung ist nur bedingt geeignet und sollte nur in Ausnahmefällen für die jeweilige Geheimhaltungsstufe verwendet werden.
Festplatteverschlüsselung
- Microsoft BitLocker wird nicht als alleinige Methode zur Verschlüsselung empfohlen.
- Als betriebssystemübergreifendes Programm zur Verschlüsselung wird VeraCrypt empfohlen.
Entsorgung von Festplatten
Festplatten und USB-Sticks sollten vor der Entsorgung oder der Weitergabe (z.B. Verkauf) zehnmal (10x) mit Zufallszahlen überschrieben werden. Für Unterstützung und weitere Informationen genügt eine E-Mail an datenschutz@dkp-bw.de
Kommunikation
Unter Kommunikation wird hier jegliche Datenübermittlung verstanden. Dies beinhaltet die digitale Datenübertragung mithilfe von analogen oder digitalen Kommunikationsnetzen bis hin zur Übermittlung von Daten im persönlichen Gespräch. Im folgenden ist dokumentiert, für welche Geheimhaltungsstufen welche Kommunikationswege geeignet sind. Die Tabelle enthält lediglich einige Beispiele zur Orientierung.
|
öffentlich |
intern |
vertraulich |
streng-vertraulich |
|
|---|---|---|---|---|
| X | X | |||
| E-Mail (GPG) | X | X | X | |
| Telefon | X | |||
| Skype, Microsoft Teams | X | |||
| X | (X) | |||
| Signal | X | X | (X) | |
| Jitsi (Empfohlene Instanz eines Drittanbieters) | X | X | ||
| Persönliche, mündliche oder schriftliche Übergabe | X | X | X | X |
(X) bedeutet Informationen der jeweiligen Geheimhaltungsstufe sollten nur in Ausnahmefällen über dieses Tool kommuniziert werden.
Passwörter
Abschließend sind hier einige Empfehlungen zum Umgang mit Passwörtern zusammengefasst.
- Es wird empfohlen, zur sicheren Verwahrung von Passwörtern, einen Passwort-Safe (empfohlen KeepassXC) zu verwenden.
- Ein Passwort sollte nur für einen Zweck verwendet werden.
- Zur Erzeugung von sicheren Passwörtern eignet sich das sogenannte Diceware-Verfahren (engl. Dice: Würfel). KeepassXC ermöglicht es, sichere Passwörter basierend auf diesem Verfahren zu generieren.