Schutzbedarf

Vertraulichkeit

Kenntnisnahme von Informationen durch Dritte

KlasseBezeichnungBeschreibung
1öffentlichkein Zugriffschutz.
2internKenntnisnahme für alle Unternehmensinterne zulässig.
3vertraulichKenntnisnahme nur für bestimmte Unternehmensinterne zulässig (Need-to-Know – Prinzip); Zugriff auf Informationen erfordert ein (rollenbasiertes) Berechtigungskonzept.
4streng vertraulichKenntnisnahme nur für dedizierte genannte Personen oder Funktionen (z.B. Geschäftsführung, Leitung Personal).

Integriät

Stimmigkeit / Konsistenz und Vollständigkeit von Daten

KlasseBezeichnungBeschreibung
1niedrigVeränderungen wären offenkundig und können bei Bedarf mit vertretbarem Aufwand rückgängig gemacht werden; kein nennenswerter Schaden zu erwarten.
2normalVeränderungen der Daten können zu Fehlern mit nennenswerten aber nicht substantiellen Schäden führen; angemessene Maßnahme: Mindestens Schutz vor versehentlicher / schleichender Veränderung.
3hochVeränderungen haben hohes / substantielles Schadenpotential; Maßnahme: Schutz vor versehentlicher und vor mutwilliger Veränderung (idR. Verschlüsselung).