IT SecurityPublic SectorVPN
Lesezeit: min
Autor: VPN Haus

Welche relevanten Geheimhaltungsstufen es für Unternehmen gibt

Die korrekte Klassifizierung sensibler Daten ist ein wesentlicher Bestandteil eines modernen Informationssicherheitsmanagements. Wir stellen alle in Deutschland relevanten Geheimhaltungsstufen vor, erläutern ihre Bedeutung und erklären, wie Unternehmen die Übermittlung hochsensibler Daten schützen können.

Fast jeder kennt das Bonmot „Daten sind der Rohstoff des 21. Jahrhunderts“. Doch welche Informationen sind damit gemeint, gibt es da keine Unterschiede? Die gibt es durchaus. Die meisten Firmen kennen und nutzen viele verschiedene Typen von Daten, die sie nach ihrer Art, den für sie geltenden Vorgaben und ihrer Bedeutung im Unternehmen unterschiedlich klassifizieren.

Welche allgemeinen Geheimhaltungsstufen Unternehmen nutzen

Eine derartige Klassifizierung von Daten hat direkte Auswirkungen auf die jeweils erforderliche Geheimhaltungsstufe. Folgende vier Geheimhaltungsgrade kommen beispielsweise in vielen Firmen zum Einsatz:

  • Öffentlich: Dabei handelt es sich um Informationen, die prinzipiell für jedermann zugänglich sein können. Ihre Veröffentlichung stellt für Unternehmen kein Risiko dar, sondern ist in den meisten Fällen sogar ausdrücklich erwünscht.
  • Intern: Diese Daten sind innerhalb des Unternehmens in der Regel frei verfügbar, sollen aber nicht nach außen dringen. Beispiele für interne Daten sind Handbücher für Mitarbeiter oder die innerbetriebliche Kommunikation.
  • Vertraulich: Diese Informationen gelten bereits als wesentlich sensibler und dürfen auch innerhalb des Unternehmens nur mit einer begrenzten Anzahl von Personen geteilt werden, die sie zur Erfüllung ihrer Aufgaben benötigen. Zum Beispiel Kundendaten, Personalinformationen und andere Arten von Geschäftsgeheimnissen.
  • Streng vertraulich: Diese Daten haben höchste Wichtigkeit und benötigen maximalen Schutz. Der Zugang zu solchen Informationen ist deshalb stark eingeschränkt und muss protokolliert werden. Beispiele für di­­ese Art von Informationen sind hochsensible personenbezogene Daten, kritische Geschäftsdaten oder vertrauliche Regierungsinformationen, die das Unternehmen zum Beispiel für einen bestimmten Auftrag erhalten hat.

Die korrekte und sorgfält­­­ige Klassifizierung von Daten gilt als wesentlicher Bestandteil des Informationssicherheitsmanagements und des Datenschutzes in Firmen. Diese Klassifizierungen können jedoch variieren ­– je nach Land, Unternehmen oder Branche.

Erst die Einstufung von Daten ermöglicht es Unternehmen, angemessene Sicherheitsmaßnahmen zu ergreifen. Diese stellen dann sicher, dass sensible Informationen nur diejenigen Personen einsehen können, die dazu berechtigt sind und diese Informationen zur Erfüllung ihrer Aufgaben auch benötigen. In der Vergangenheit gab es jedoch zahlreiche Beispiele für die Nichteinhaltung dieser Prinzipien. Zu den jüngsten Vorfällen zählen etwa die sogenannten „Pentagon Leaks“ im Frühjahr 2023. Sie haben erneut gezeigt, wie schnell es zu schwerwiegenden Fehlern bei der Geheimhaltung von Daten kommen kann.

Welche offiziellen Geheimhaltungsgrade in Deutschland existieren

In Deutschland enthält das Sicherheitsüberprüfungsgesetz (SÜG) in Paragraf 4 „Allgemeine Grundsätze zum Schutz von Verschlusssachen“, die für den Bund und seine nachgeordneten Behörden gelten. Sie geben in Absatz 2 wiederum vier Geheimhaltungsgrade vor. Diese lauten in aufsteigender Reihenfolge:

  • VS-Nur für den Dienstgebrauch, wenn die Kenntnisnahme durch Unbefugte den Interessen der Bundesrepublik Deutschland oder eines ihrer Länder Nachteile bereiten kann.
  • VS-Vertraulich, wenn die Kenntnisnahme durch Unbefugte für die Interessen des Bundes oder seiner Länder schädlich sein kann.
  • Geheim, wenn die Kenntnisnahme durch Unbefugte die Sicherheit der Bundesrepublik Deutschland oder eines ihrer Länder gefährden oder ihren Interessen schweren Schaden zufügen kann.
  • Streng geheim, wenn ihre Kenntnisnahme durch Unbefugte den Bestand oder lebenswichtige Interessen der Bundesrepublik Deutschland oder eines ihrer Länder gefährden kann.

Welche Vorgaben in der EU, der NATO und anderen Ländern gelten

Fast alle Länder und internationale Organisationen verwenden ebenfalls ein vierstufiges Klassifizierungssystem für vertrauliche Verschlusssachen.

  • In der EU reichen diese von EU Restricted über EU Confidential bis hin zu EU Secret und EU Top Secret.
  • Die NATO verwendet die Stufen NATO Restricted, NATO Confidential sowie NATO Secret und NATO Top Secret.
  • Eine Ausnahme bilden die USA, die keine Stufe VS-Nur für den Dienstgebrauch kennen. Diese Art von Daten wird daher wie die hiesige Stufe VS-Vertraulich behandelt. Die USA verwenden also nur die Stufen Confidential, Secret und Top Secret. In Großbritannien gibt es ebenfalls nur drei Geheimhaltungsgrade. Sie lauten UK Official-Sensitive, UK Secret und UK Top Secret.

Das Bundesinnenministerium hat eine umfangreiche Liste (PDF) weiterer Nationen auf seiner Webseite veröffentlicht.

Welche Branchen von Geheimhaltungsstufen betroffen sind

Es gibt einige besonders betroffene Branchen, die mit sensiblen oder vertraulichen Daten umgehen und ebenfalls Geheimhaltungsstufen verwenden. Die wichtigsten Bereiche sind nachstehend aufgeführt.

  • Gesundheitswesen: Medizinische Daten von Patienten gelten als äußerst sensibel und unterliegen deshalb strengen Datenschutzbestimmungen. Hier stellen Vertraulichkeitsstufen sicher, dass diese Informationen nur diejenigen erhalten, die sie benötigen.
  • Finanzdienstleistungen: Banken und andere Finanzinstitute verwalten in der Regel ebenfalls sehr sensible Kundeninformationen und Finanzdaten, die strengen Schutz benötigen.
  • Technologie und IT: Unternehmen in diesen Sektoren arbeiten ebenfalls häufig mit sensiblen Daten. Beispiele sind personenbezogene Daten, proprietäre Software oder geistige Eigentumsrechte.
  • Recht: Anwälte und Rechtsberater gehen oft mit sensiblen und vertraulichen Informationen um, die besonders geschützt werden müssen. Sie garantieren die Privatsphäre ihrer Mandanten und gewährleisten die Integrität der von ihnen betreuten Fälle.
  • Energie und Infrastruktur: Firmen in diesen Sektoren arbeiten häufig mit Informationen, die die nationale Sicherheit betreffen (Stichwort: KRITIS).
  • Regierung und Militär: Diese Bereiche setzen auf strenge Geheimhaltungsstufen, um für die nationale Sicherheit relevante Informationen, militärische Geheimnisse und andere hochsensible Daten vor unbefugten Zugriffen zu bewahren.

Welche VPN-Software sich für Verschlusssachen eignet

Viele Behörden, Ämter und auch Unternehmen arbeiten also mit Daten, die Geheimhaltung erfordern und deshalb zum Beispiel nach VS-NfD eingestuft sind. Dafür benötigen sie in Deutschland VPN-Lösungen, die den Vorgaben und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) entsprechen.

Die NCP engineering GmbH mit Sitz in Nürnberg hat eine breite Palette zertifizierter VPN-Software entwickelt, die sich für den Einsatz in hochsensiblen Bereichen eignet. So verfügt der NCP VS GovNet Connector 2.x über eine BSI-Zulassung für VS-NfD (BSI-VSA-10599). Darüber hinaus ist er für den Schutz von EU-Informationen bis zum Geheimhaltungsgrad EU Restricted für den nationalen Einsatz und für den Schutz von NATO-Informationen bis zum Geheimhaltungsgrad NATO Restricted zugelassen.

Ebenso hat auch der NCP-Secure-VPN-GovNet-Server die BSI-Zulassung für VS-NfD (BSI-VSA-10427) erhalten. Als zentrale Administrationskomponente dient dabei die NCP-Secure-Enterprise-Management-Plattform. Sie sorgt für die Vernetzung verteilter Standorte, die Anbindung mobiler Mitarbeiter und die Einhaltung der Sicherheitsrichtlinien.

Jetzt VS-NfD-Whitepaper herunterladen!

Zurück zur Übersicht

Blog abonnieren

CAPTCHA-Bild zum Spam-Schutz Wenn Sie das Wort nicht lesen können, bitte hier klicken.

Das könnte Sie auch interessieren: