Vertrauliche Daten schützen: Das neue Klassifikationssystem der ETH

Um den Austausch, die Nutzung sowie den Schutz von Forschungs- und Verwaltungsdaten an der ETH zu erleichtern, wurde am 12. Juli 2021 ein neues Klassifizierungssystem für die Vertraulichkeit von Informationen eingeführt. Gleichzeitig wurde das bisherige Klassifizierungssystem in der Weisung «Informationssicherheit an der ETH Zürich» angepasst. Einen Überblick über die Neuerungen findet sich in dem Intern aktuell-Artikel «Cloud-Nutzung und Klassifizierung von Informationen: Das wird neu».

Warum eine Klassifizierung notwendig ist

Manche Daten in Forschung, Lehre oder Administration der ETH sind vertraulich und weisen deshalb einen hohen Schutzbedarf auf, um entweder die Sicherheit von Personen, Forschungsergebnissen oder Prozessen zu gewährleisten. Die Klassifizierung der Vertraulichkeit von Daten ermöglicht es den klassifizierenden Stellen (z.B. Urheber, Informationseignerinnen und -eigner) für andere zu signalisieren, welchen Schutzbedarf ihre Daten (z.B. ein Dokument) benötigen bzw. welche Schutz­massnahmen zu ergreifen sind.

Die Informationseignerinnen und -eigner sind verantwortlich für die Klassifizierung aller Informatio­nen, die durch sie oder in ihrem Auftrag erhoben und bearbeitet werden. Das können beispielsweise Professoren/Professorinnen, Stabs- oder Abteilungsleitende sein. Mithilfe der Klassifizierung legt der oder die Informationseignerin bzw. -eigner fest, welche Schutzmassnahmen für ihre Informationen verbindlich gelten (vgl. Anhang 2 der Weisung «Informationssicherheit an der ETH Zürich»).

Vier Klassifizierungs-Stufen

In der Weisung «Informationssicherheit» sind in Art. 22 diese vier Stufen für Vertraulichkeit definiert:

1. ÖFFENTLICH: Als «öffentlich» gelten Informationen, die von der zuständigen Stelle zur Veröffentlichung freigegeben werden. Das sind beispielsweise die Websites der ETH, Medienmitteilungen, veröffentliche Dissertationen oder bereits veröffentlichte Forschungsdaten. Hier sind keine besonderen Schutzmassnahmen nötig.

2. INTERN: Als «intern» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich beeinträchtigen kann. Demzufolge sind diese Informationen in der Regel nur für Angehörige der ETH Zürich bestimmt. Darunter fallen z.B. Vorlesungsskripte, das interne Adressverzeichnis der ETH oder Townhall-Meetings. «Interne» Informationen sind für Angehörige der ETH zugänglich (nur an Berechtigte); für diese Daten gilt z.B. die sogenannte Clear Desk Policy. Das bedeutet, dass diese Daten nicht offen am Arbeitsplatz liegen dürfen, wenn der oder die Mitarbeitende nicht am Arbeitsplatz ist; und der Computer bei Abwesenheit natürlich immer gesperrt sein muss. Alle Informationen in der ETH, falls nicht anders gekennzeichnet, gelten als «intern».

3. VERTRAULICH: Als «vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich erheblich beeinträchtigen kann. Diese Daten sollten nur einem bestimmten Personenkreis, einer Funktion oder Rolle zugänglich sein. Dazu gehören zum Beispiel Leistungsbeurteilungen jedweder Art, Personaldossiers, Finanz- oder Risikoberichte, besonders schützenswerte Personendaten oder Forschungsdaten vor ihrer Veröffentlichung. Diese Art von Daten muss unter Verschluss gehalten bzw. elektronisch entsprechend gesichert werden. VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

4. STRENG VERTRAULICH: Als «streng vertraulich» gelten Informationen, deren Kenntnisnahme durch Unberechtigte die Interessen der ETH Zürich schwerwiegend beeinträchtigen kann. Diese Art von Daten zieht die höchste Form der Sicherheit nach sich. Sie dürfen nicht in externe Cloud-Dienste, sind nur für einen namentlich genannten Personenkreis zugänglich (Genehmigung für Weitergabe nur durch Informationseignenden) und können nur unter den höchsten Sicherheitsvorkehrungen weitergegeben werden, z.B. unter Geheimhaltungsvereinbarungen, Dokumentation der Zugriffsberechtigungen für elektronische Dokumente, Empfangsbestätigungen und Speicherung nur auf verschlüsselten Datenträgern. Zu diesen Daten können gehören:

• Forschungsergebnisse, die bei vorzeitiger Veröffentlichung schwerwiegendsten Schaden verursachen können
• Besondere Daten bei Industriekooperationen, für die vertraglich die höchsten Sicherheitsvorkehrungen festgelegt wurden
• medizinische Daten, die unter das Humanforschungsgesetz fallen.

STRENG VERTRAULICHE Daten müssen eindeutig so gekennzeichnet sein (in Grossbuchstaben).

Klassifikation aufgrund des Risiko-Potenzials

Die Klassifikation erfolgt in erster Linie risikobasiert (vgl. Anhang 1b, Weisung «Informationssicherheit an der ETH Zürich»), was auch die oben angegebenen Definitionen der vier Klassifizierungsstufen verdeutlichen. Die Stufe der Vertraulichkeit leitet sich also von dem Risiko her, das für die ETH eintritt, sollte die entsprechende Information in die Hände von Unberechtigten gelangen. Das Risiko gibt damit den Rahmen für die Schutzmassnahmen vor, die notwendig sind, um die Vertraulichkeit zu gewährleisten.

Weitere gängige Beispiele, wie welcher Typ von Daten klassifiziert werden sollte, sowie Vorgaben zum Schutz entsprechend gekennzeichneter Daten sind in den Anhängen der Weisung Informationssicherheit aufgelistet. In Anhang 1a befindet sich eine Liste mit Beispielen für die Klassifizierung von Informationsbeständen. Anhang 1c zeigt auf, wie die Kennzeichnung der Informationsbestände auf unterschiedlichen Informationsträgern erfolgen kann.

Der Umgang mit klassifizierten Informationen, und damit die anzuwendenden notwendigen Schutzmassnahmen, werden in Anhang 2 detailliert dargestellt.

Vorteile des neuen Systems

Das erweiterte Klassifizierungssystem bietet viele Vorteile, insbesondere, weil die technischen Herausforderungen in der digital vernetzten Welt, und vor allem bei der Nutzung von Cloud-Diensten, einen differenzierteren Umgang mit Informationen vonnöten machen.

In Bezug auf die Nutzung von Cloud-Services wird damit die Möglichkeit geschaffen, Daten, die in die neuen Klassifizierungsstufen «vertraulich» und «intern» eingestuft sind, in streng geprüften externen Cloud-Diensten mit entsprechenden Sicherheits- und Datenschutz-Standards zu speichern und zu bearbeiten. Die Verantwortung für die Auslagerung der Daten in die Cloud verbleibt dabei bei den Informationseignenden. Die Regelungen dafür finden sich in den «IT-Richtlinien und IT-Grundschutzvorgaben der ETH Zürich».

Übergangsbestimmungen

Für die Anwendung des neuen Klassifizierungssystems gelten folgende Übergangbestimmungen:

• Ab 1. Dezember 2021 sollen die Klassifizierungsstufen verbindlich für alle neu entstehenden Dokumente eingesetzt werden. Es werden Templates für gängige Office-Dokumente zur Verfügung gestellt (z.B. Berichte, Briefe, Traktandenliste, Präsentationen).

• Für bereits bestehende Informationsbestände sollen ab 1. Dezember 2023 auch alte Dokumente durch die Informationseignerinnen und -eigner an das neue Klassifizierungssystem angepasst sein. Es obliegt diesen Personen zu prüfen, ob insbesondere Informationen, die bereits als «VERTRAULICH» klassifiziert wurden, für den Klassifizierungsvermerk «STRENG VERTRAULICH» qualifizieren.