Skip to content

Erklären Sie die Rolle der Datenklassifizierung und die Verantwortlichkeiten des Dateneigentümers gegenüber dem Datenverwalter.

Kurzantwort

Die Klassifizierung kennzeichnet Daten nach Sensibilität, damit die Organisation Kontrollen anwendet, die zu Wert und Risiko verhältnismäßig sind, und so sowohl Unterschutz als auch verschwenderischen Überschutz vermeidet. Der Dateneigentümer (eine Geschäftsrolle) legt die Klassifizierung fest und akzeptiert das Risiko, während der Datenverwalter (oft die IT) die Schutzkontrollen umsetzt und pflegt.

Die Klassifizierung ist das Fundament der Asset-Security-Domäne, denn man kann Daten nicht verhältnismäßig schützen, wenn man nicht weiß, wie sensibel sie sind. Interviewer nutzen sie, um zu prüfen, ob Sie sowohl die Begründung als auch die Rollentrennung verstehen.

Warum klassifizieren

Die Klassifizierung weist eine Sensibilitätsstufe zu — etwa Öffentlich, Intern, Vertraulich, Eingeschränkt (kommerziell) oder Nicht klassifiziert, Vertraulich, Geheim, Streng geheim (staatlich) — damit die Kontrollen zu Wert und Risiko passen. Ohne sie wird man entweder besonders wertvolle Daten unterschützen oder durch das Absichern trivialer Informationen zu viel ausgeben. Das Label steuert dann jede nachgelagerte Handhabungsregel: Verschlüsselung, Zugriffsbeschränkungen, Aufbewahrungsfristen, Übertragungsregeln und sichere Entsorgung.

Eigentümer versus Verwalter

Diese Rollentrennung ist der Kern der Frage:

  • Dateneigentümer — eine Geschäfts-/Managementrolle, die für die Daten verantwortlich ist. Der Eigentümer bestimmt ihre Klassifizierung, legt fest, wer darauf zugreifen darf, und akzeptiert letztlich das Restrisiko. Eigentum dreht sich um Autorität und Verantwortung, nicht um den täglichen Betrieb.
  • Datenverwalter — typischerweise eine IT-/Betriebsrolle, die die vom Eigentümer angeordneten Schutzmaßnahmen umsetzt und pflegt: Sicherungen, Zugriffsbereitstellung, Patching und Durchsetzung der Kontrollen. Der Verwalter führt aus; er entscheidet nicht über die Klassifizierung.

Diese Trennung beizubehalten verhindert, dass die IT stillschweigend Geschäftsrisikoentscheidungen trifft, zu denen sie nicht befugt ist.

Der Lebenszyklus-Aspekt

Klassifizierung ist nichts Einmaliges. Während Daten ihren Lebenszyklus durchlaufen — Erstellung, Speicherung, Nutzung, Weitergabe, Archivierung, Vernichtung — bestimmt ihr Label die Handhabung in jeder Phase, einschließlich der sicheren Entsorgung, damit sensible Daten nicht über ausgemusterte Datenträger nach außen gelangen.

Worauf Interviewer achten

Eine klare Begründung „Labels ermöglichen verhältnismäßige Kontrollen", die Trennung von Eigentümer und Verwalter (geschäftliche Verantwortung versus technische Umsetzung) und die Einsicht, dass die Klassifizierung über den gesamten Datenlebenszyklus hinweg in Handhabung, Aufbewahrung und Vernichtung einfließt.

Wahrscheinliche Anschlussfragen

  • Wie steuert die Klassifizierung Anforderungen an Handhabung, Aufbewahrung und Entsorgung?
  • Was ist der Unterschied zwischen staatlichen und kommerziellen Klassifizierungsschemata?
  • Wie unterstützt die Datenklassifizierung das Prinzip der geringsten Rechte und DLP?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.