kontakt

Vertraulichkeit

Kurzdefinition

Vertraulichkeit ist das Schutzziel, Informationen vor unbefugter Offenlegung zu bewahren – unabhängig von Format, Medium oder Speicherort. Sie setzt organisatorische, technische und physische Maßnahmen um, damit nur autorisierte Rollen nach dem Need-to-know-Prinzip Zugang erhalten.

Einordnung auf einen Blick

Kategorie Governance (Schutzziel der Informationssicherheit)
Zweck Verhinderung unbefugter Einsichtnahme, Weitergabe oder Veröffentlichung von Informationen
Typische Artefakte/Nachweise im ISMS Richtlinie zur Informationsklassifizierung und -handhabung; Berechtigungskonzept/IAM-Richtlinie; Kryptographie- und Schlüsselmanagementkonzept; Protokolle/Logs; SoA (Erklärung zur Anwendbarkeit); Lieferanten-/NDA-Vereinbarungen; Schulungsnachweise; DLP-Regeln
Häufige Stakeholder-Rollen Geschäftsführung/C-Level; CISO/Informationssicherheitsbeauftragte; IT/IAM; Fachbereichsverantwortliche; HR; Datenschutz; Rechtsabteilung; Einkauf/Lieferantenmanagement
Verwandte Begriffe Integrität, Verfügbarkeit, Datenschutz, Geheimhaltung, Informationsklassifizierung

Detaillierte Erklärung

Vertraulichkeit ist Teil der bekannten CIA-Triade (Confidentiality, Integrity, Availability). Während Integrität die Unverfälschtheit und Verfügbarkeit die rechtzeitige Nutzbarkeit adressiert, zielt Vertraulichkeit auf die Vermeidung unbefugter Einsichtnahme. Das Schutzziel gilt für digitale Daten, physische Dokumente und mündliche Informationen.

Im ISMS-Kontext umfasst Vertraulichkeit den gesamten Informationslebenszyklus: Entstehung, Klassifizierung, Speicherung, Verarbeitung, Übertragung, Weitergabe an Dritte, Archivierung und Löschung. Der Schutzbedarf leitet sich aus Risiken ab, die sich aus Bedrohungen (z. B. Social Engineering, Fehlkonfigurationen, Malware, Fehlversand) und Schwachstellen (z. B. überbreite Berechtigungen) ergeben.

Vertraulichkeit wird durch ein Zusammenspiel organisatorischer, technischer und physischer Maßnahmen erreicht. Organisatorisch dominieren Richtlinien, Verantwortlichkeiten, Prozesse zur Rollen- und Berechtigungsvergabe, Geheimhaltungsvereinbarungen (NDAs) und klare Regeln zur Informationsweitergabe. Technisch stehen Identitäts- und Berechtigungsmanagement (IAM), starke Authentisierung (z. B. MFA), Verschlüsselung in Ruhe und Übertragung, Netzwerksegmentierung, DLP-Mechanismen, sichere Konfigurationen der Plattformen sowie Protokollierung im Mittelpunkt. Physische Vertraulichkeit umfasst Zutrittskontrolle, Begleitregelungen und sichere Aufbewahrung.

Besonderes Augenmerk erfordert der Cloud-Kontext. Die Verantwortung für Vertraulichkeit verteilt sich je nach Service-Modell (IaaS/PaaS/SaaS) zwischen Anbieter und Organisation („Shared Responsibility“). Klassifizierung, Verschlüsselungs- und Schlüsselmanagement, Berechtigungen und Monitoring müssen explizit für Cloud-Workloads definiert, geprüft und nachweisbar gemacht werden.

Schließlich berührt Vertraulichkeit auch rechtliche Themen, etwa Berufsgeheimnisse oder vertragliche Vertraulichkeitsklauseln. Eine juristische Bewertung erfolgt außerhalb des ISMS; das ISMS stellt jedoch die systematische Steuerung der damit verbundenen Risiken sicher.

Relevanz für ISO 27001

ISO 27001 fordert, dass Informationssicherheitsziele – darunter Vertraulichkeit – auf den Kontext der Organisation und die Ergebnisse der Risikobewertung abgestimmt werden. Vertraulichkeit prägt mehrere ISMS-Prozesse:

  • Risikobewertung und -behandlung: Identifizierung von Risiken der unbefugten Offenlegung; Auswahl geeigneter Maßnahmen und Dokumentation in der Erklärung zur Anwendbarkeit (SoA).
  • Richtlinienlandschaft: Vorgaben zur Klassifizierung, Handhabung, Zugriffsteuerung, Kryptographie, Logging, Lieferanten- und Asset-Management.
  • Betrieb/Unterstützung: IAM-Prozesse, Change-Management mit Fokus auf Berechtigungen und Konfiguration, sichere Übergaben an Lieferanten.
  • Leistungsbewertung: Überwachung, Messung und Reporting relevanter Kennzahlen (z. B. Ausnahmen von Berechtigungsprüfungen, DLP-Treffer, Sensibilisierungsquote).
  • Verbesserung: Behandlung von Ereignissen/Incidents mit Vertraulichkeitsbezug, Ursachenanalyse, Korrektur- und Verbesserungsmaßnahmen.

Im Annex A der Norm finden sich Themenfelder, aus denen Organisationen üblicherweise Maßnahmen für Vertraulichkeit auswählen, z. B. Zugriffsteuerung und Identitätsmanagement, Kryptographie, physische Sicherheit, sichere Konfiguration und Härtung, Informationsklassifizierung und -handhabung, Monitoring/Protokollierung sowie Lieferanten- und Cloud-Nutzung. Nummern werden organisationsspezifisch zugeordnet; eine pauschale Benennung wird vermieden.

Umsetzung in der Praxis

Schritt-für-Schritt:

  1. Kontext & Assets erfassen: Informationswerte und Speicherorte (Systeme, Anwendungen, Papier, Cloud-Dienste) identifizieren; Eigentümer festlegen.
  2. Schutzbedarf & Klassifizierung definieren: Stufen (z. B. öffentlich, intern, vertraulich, streng vertraulich) mit Handhabungsregeln beschreiben.
  3. Richtlinie & Rollenmodell etablieren: Verantwortlichkeiten (Eigentümer, Verwalter, Nutzer), Genehmigungswege und Rezertifizierungstakt definieren.
  4. IAM & Zugriffsteuerung umsetzen: Least-Privilege, Rollenprofile, Joiner-Mover-Leaver-Prozess, MFA, Break-Glass-Regeln; regelmäßige Berechtigungsreviews.
  5. Kryptographie & Schlüsselmanagement regeln: Verfahren auswählen, Schlüssellebenszyklus festlegen, Verantwortlichkeiten und Notfallzugriffe dokumentieren.
  6. Technische Plattformhärtung: Sichere Standard-Konfigurationen, Segmentierung, Geheimnisverwaltung (Secrets), sichere Freigabemechanismen für Daten.
  7. DLP & sichere Übertragung: E-Mail-/Web-DLP-Regeln, Warnungen/Blocken, sichere Kanäle (TLS/VPN), Richtlinien für Dateifreigaben und externe Kollaboration.
  8. Physische Sicherheit & Dokumentenschutz: Zutrittskontrollen, Clean-Desk, sichere Aufbewahrung/Entsorgung, Besuchermanagement.
  9. Lieferanten & Cloud absichern: Vertragliche Mindestanforderungen (inkl. Vertraulichkeit), technische Kontrollen, Nachweise/Reports, Exit-Szenarien.
  10. Awareness & Schulungen: Klassifizierungs- und Umgangsregeln, Phishing-Schulungen, „Need-to-know“ in der Praxis.
  11. Monitoring, Metriken & Audits: Logs, DLP-Treffer, Rezertifizierungsraten, Ausnahmegenehmigungen; interne Audits und Management-Reviews.

Mindestumfang (Checkliste):

  • Klassifizierungsrichtlinie mit klaren Stufen und Handhabungsregeln.
  • Berechtigungskonzept (Rollen, Genehmigung, Rezertifizierung).
  • MFA für administrative und sensible Zugriffe.
  • Verschlüsselung in Ruhe und Übertragung für vertrauliche Daten.
  • DLP-Basisset (Warnen/Blocken) für E-Mail/Cloud-Freigaben.
  • NDAs und Vertraulichkeitsklauseln mit Mitarbeitenden und Lieferanten.
  • Logging und regelmäßige Auswertung mit definierten Schwellenwerten.
  • Awareness-Programm mit Pflichtmodulen und Nachweisen.

Beispiel aus der Praxis

Ausgangslage:
Ein mittelständisches Entwicklungsunternehmen speichert Konstruktionsdaten in einer SaaS-Kollaborationsplattform. Mehrere externe Partner arbeiten an Projekten mit. Datenabflüsse über versehentliche Freigaben führen zu erhöhtem Risiko für Vertraulichkeitsverletzungen.

Entscheidung/Umsetzung:
Die Organisation führt eine vierstufige Klassifizierung ein, verankert „Need-to-know“ im Rollenmodell und ergänzt MFA für alle Benutzer. Berechtigungen werden über Rollen gebündelt, vierteljährlich rezertifiziert und für Partner mandantenspezifisch eingeschränkt. Dateien mit Stufe „vertraulich“ werden client- und serverseitig verschlüsselt; DLP-Regeln blockieren externe Freigaben ohne Genehmigung. Für E-Mail wird Sensitivity-Labeling eingeführt, das Betreffzeilen markiert und wahlweise automatisch verschlüsselt.

Dokumentation/Nachweise (im ISMS):
Richtlinie zur Klassifizierung und Handhabung, IAM-Prozessbeschreibung, SoA mit Auswahl der einschlägigen Maßnahmen, Protokolle der Berechtigungsreviews, DLP-Reportings, Schulungsnachweise, Lieferantenanforderungen inklusive Vertraulichkeitsklauseln.

Typische Audit-Fragen:

  • Wie ist „Need-to-know“ konkret umgesetzt und überprüfbar?
  • Welche Kriterien entscheiden über die Klassifizierungsstufe einer Information?
  • Wie erfolgt die Rezertifizierung von Berechtigungen und wer genehmigt?
  • Welche Nachweise belegen Verschlüsselung und Schlüsselverwaltung?
  • Wie werden externe Freigaben kontrolliert, protokolliert und nachträglich bewertet?

Häufige Fehler & Missverständnisse

  • Vertraulichkeit = Datenschutz. Problem: Datenschutz bezieht sich auf personenbezogene Daten; Vertraulichkeit umfasst alle Informationen. Besser: Abdeckung beider Sichten, getrennte Verantwortlichkeiten, abgestimmte Maßnahmen.
  • Überklassifizierung ohne Handhabung. Problem: Alles „vertraulich“ lähmt den Betrieb. Besser: Wenige klare Stufen, praxistaugliche Regeln, regelmäßige Überprüfung.
  • Breite Standardrechte. Problem: „Default allow“ führt zu Datenabfluss. Besser: Least-Privilege und verpflichtende Genehmigungen.
  • Nur Technik statt Prozess. Problem: Verschlüsselung allein genügt nicht. Besser: End-to-end-Prozesse, Rollen, Schulung, Monitoring kombinieren.
  • Keine Rezertifizierung. Problem: Altlasten bleiben bestehen. Besser: Zyklische Review-Termine und automatisierte Reports.
  • Cloud-Verantwortung unklar. Problem: Lücken im Shared-Responsibility-Modell. Besser: Vertragliche, technische und operative Zuständigkeiten festhalten.
  • Fehlende Nachweise. Problem: Audit-Risiko. Besser: Artefakte, Logs, Reports und Entscheidungen revisionssicher dokumentieren.
  • Awareness als einmalige Maßnahme. Problem: Wissen veraltet. Besser: Wiederkehrende Trainings mit Praxisbezug und Tests.

Abgrenzung zu ähnlichen Begriffen

Abgrenzung: Vertraulichkeit vs. Integrität

Vertraulichkeit schützt vor unbefugter Einsichtnahme; Integrität schützt vor unbefugter oder unbeabsichtigter Veränderung. Ein System kann vertraulich, aber nicht integer sein – und umgekehrt. Maßnahmen überschneiden sich teilweise (z. B. IAM), verfolgen jedoch unterschiedliche Zielgrößen.

Abgrenzung: Vertraulichkeit vs. Verfügbarkeit

Verfügbarkeit stellt sicher, dass Informationen und Systeme rechtzeitig nutzbar sind. Maßnahmen wie Redundanz oder Notfallverfahren erhöhen Verfügbarkeit, beeinflussen aber Vertraulichkeit nur indirekt. Zielkonflikte sind möglich (z. B. Notfallzugänge).

Abgrenzung: Vertraulichkeit vs. Datenschutz

Datenschutz adressiert die rechtmäßige Verarbeitung personenbezogener Daten. Vertraulichkeit ist weiter gefasst und betrifft sämtliche Informationen. Überschneidungen bestehen bei Zugriffsbeschränkung, Verschlüsselung und Protokollierung.

Abgrenzung: Vertraulichkeit vs. Geheimhaltung

Geheimhaltung ist häufig vertraglich definiert (z. B. NDA) und beschreibt Pflichten zur Nichtweitergabe. Vertraulichkeit ist das übergeordnete Schutzziel, das technische, organisatorische und physische Maßnahmen umfasst – unabhängig von vertraglichen Pflichten.

Abgrenzung: Vertraulichkeit vs. Informationsklassifizierung

Klassifizierung ist ein Hilfsmittel, um Vertraulichkeit operationalisierbar zu machen. Sie ordnet Informationen Schutzstufen zu und leitet Handhabungsregeln ab. Ohne Klassifizierung bleibt Vertraulichkeit schwer messbar und inkonsistent.

FAQ

Was bedeutet Vertraulichkeit im ISMS-Kontext?
Vertraulichkeit bezeichnet die Eigenschaft, dass Informationen nur befugten Rollen zugänglich sind. Im ISMS wird Vertraulichkeit mit Richtlinien, Prozessen und technischen Maßnahmen systematisch gesteuert. Ziel ist die verlässliche Verhinderung unbefugter Offenlegung über den gesamten Informationslebenszyklus.

Wie wird Vertraulichkeit nachgewiesen oder dokumentiert?
Typische Nachweise sind Richtlinien, Rollen- und Berechtigungskonzepte, Protokolle von Berechtigungsprüfungen, DLP- und Logging-Reports, Schlüsselmanagement-Dokumentation, Schulungsnachweise sowie vertragliche Regelungen mit Lieferanten. Entscheidungen und Abweichungen werden nachvollziehbar dokumentiert.

Wie hängt Vertraulichkeit mit Risiko zusammen?
Der erforderliche Schutz richtet sich nach dem Risiko der Offenlegung. Die Risikobewertung bewertet Eintrittswahrscheinlichkeit und Auswirkung, woraus Maßnahmen abgeleitet werden. Rest- und Akzeptanzrisiken werden transparent gemacht und durch Monitoring überwacht.

Welche Maßnahmen sind besonders wirksam?
Ein bewährter Kern umfasst strikte Zugriffsteuerung (Least-Privilege), MFA für sensible Zugriffe, saubere Rollenprozesse (Joiner-Mover-Leaver), Verschlüsselung in Ruhe und Übertragung, DLP-Regeln, sichere Konfigurationen sowie regelmäßige Rezertifizierungen und Schulungen. Die Kombination ist entscheidend.

Welche Kennzahlen eignen sich zur Steuerung?
Geeignet sind u. a. Anzahl überfälliger Berechtigungsreviews, Anteil bestandener Awareness-Tests, DLP-Treffer nach Schweregrad, Zeit bis zur Entziehung von Rechten nach Austritt, Quote genehmigter Ausnahmen, Anteile verschlüsselter Speicherorte und die Abdeckungsrate starker Authentisierung.

Wie wird mit Cloud-Diensten umgegangen?
Zuständigkeiten werden im Shared-Responsibility-Modell festgehalten. Wichtige Punkte sind Verschlüsselung und Schlüsselverwaltung, Mandantentrennung, Audit-Logs, externe Freigaben, Konfigurations-Baselines und Lieferantennachweise. Verträge enthalten Vertraulichkeitsregelungen und Mindestanforderungen.

Was ist bei einem Verstoß zu tun?
Ein Vertraulichkeitsvorfall wird über das Incident-Management behandelt: Eindämmung (z. B. Entzug von Rechten), Untersuchung (Logs, Forensik), Information Betroffener gemäß interner/gesetzlicher Vorgaben, Ursachenanalyse und Korrekturmaßnahmen. Erkenntnisse fließen in Richtlinien und Schulungen ein.

Zurück zum Glossar