Datenklassifizierung als Fundament für KI-Einsatz und Voraussetzung für NIS2, DORA & KRITIS

Während viele Organisationen aktuell über KI-Strategien, Automatisierung und digitale Transformation sprechen, bleibt ein essenzieller Baustein häufig unterbelichtet: Datenklassifizierung.

Sie ist nicht nur ein Werkzeug der IT-Abteilung, sondern die strukturelle Grundlage dafür, Daten sicher, effizient und regelkonform zu verarbeiten. Gleichzeitig ist sie die Voraussetzung dafür, dass KI-Anwendungen sinnvoll und compliant genutzt werden können – insbesondere vor dem Hintergrund verschärfter Anforderungen durch NIS2, DORA und KRITIS.

In diesem Blog zeigen wir, warum Datenklassifizierung heute unverzichtbar ist, wie wir sie strategisch aufbauen und welche Rollen dabei aus unserer Sicht erfolgskritisch sind.

Warum Datenklassifizierung heute so entscheidend ist

Datenklassifizierung bedeutet, Informationen anhand ihres Schutzbedarfs systematisch in Kategorien einzuordnen. Dabei geht es nicht nur um Sicherheit, sondern um Ordnung, Nachvollziehbarkeit und Automatisierbarkeit.

Ihre Relevanz erstreckt sich über mehrere Dimensionen:

1. Schutz sensibler Informationen

Nicht alle Daten sind gleich kritisch. Klassifizierung ermöglicht es, personenbezogene Daten, Geschäftsgeheimnisse oder vertrauliche Dokumente gezielt zu schützen – etwa durch Verschlüsselung, Zugriffsbeschränkungen oder Monitoring.

2. Einhaltung regulatorischer Vorgaben

Regulatoren fordern explizit eine klare Kontrolle über sensible Informationen:

• NIS2: Informationssicherheit & Risikomanagement
• DORA: Nachvollziehbarkeit, Governance & Resilienz
• KRITIS: Schutz kritischer Informationen & Prozesse
• DSGVO: Zweckbindung, Löschung, Dokumentation

Ohne strukturierte Klassifizierung lassen sich diese Anforderungen kaum erfüllen.

3. Risikominimierung

Die Klassifizierung der Daten dient als ein Label bzw. eine Kennzeichnung der Daten. Unklassifizierte oder falsch klassifizierte Daten bergen daher Risiken, wenn durch falsche Klassifizierung z.B. gewünschte Schutzmechanismen nicht greifen. Das kann zu Datenpannen, unbefugten Zugriffen führen.

4. Effizientes Datenmanagement

Klassifizierte Daten können automatisiert:

• archiviert (über Retention Label),
• geschützt,
• gelöscht (über Retention Label) oder
• weiterbearbeitet werden.

Das spart Ressourcen und schafft Ordnung im stetig wachsenden Datenvolumen.

5. Grundlage für automatisierte Schutzmaßnahmen

Technologien wie:

• Data Loss Prevention (DLP)
• automatisierte Verschlüsselung
• Zugriffskontrollsysteme
• Information Protection

Automatisierte Schutzmaßnahmen wie DLP, Verschlüsselung oder Zugriffskontrollen entfalten ihre volle Wirksamkeit erst auf Basis von klar definierten und organisatorisch verankerten Klassifikation von Informationen.

6. Basis für KI-gestützte Systeme, wie z.B. Microsoft Copilot

KI kann nur mit klar gekennzeichneten Daten sicher arbeiten. Unklassifizierte Daten führen zu:

• unkontrollierten Zugriffen
• fehlerhaften Modellen
• Datenschutzverstößen
• unzuverlässiger Automatisierung

Die häufigste Schwachstelle: Gut gemeinte, aber nicht gelebte Datenklassifizierung

In vielen Organisationen treffen wir auf erste Ansätze zur Informationsklassifizierung, etwa in Form grober Datenanalysen oder vorhandener Rollenbeschreibungen. Doch häufig fehlt der entscheidende Schritt: die konsequente Umsetzung in einem technischen System und die Verankerung im operativen Alltag, die für alle Mitarbeitenden sinnvoll umsetzbar ist.

Ein typisches Beispiel ist Microsoft Purview: Die Plattform bietet mit Vertraulichkeitsbezeichnern (Sensitivity Labels) die Möglichkeit, Klassifizierungen direkt in Office-Anwendungen wie Word, Excel, PowerPoint oder Outlook sichtbar und nutzbar zu machen. Doch dafür muss die grundlegende Klassifikationslogik im Unternehmen erst sauber definiert und zugewiesen sein.

Das Ergebnis: Klassifizierung ist vorhanden, findet aber nicht statt.

Herausforderung: Verantwortung und Zuständigkeit

Wer entscheidet eigentlich über den Schutzbedarf?

Eine aus unserer Sicht größten Herausforderungen ist die Frage nach der Verantwortung.

Wir sind der Überzeugung, dass die Schutzbedarfsklassifizierung nicht in der Verantwortung der einzelnen Mitarbeitenden liegen darf.

Sondern: Sie muss dort verankert sein, wo Überblick über Risiken und Prozesse besteht. Also bei Fachbereichsleitern, Prozesseignern oder Informationsverantwortlichen.

Beispiele:

• Buchhaltung definiert Schutzbedarf für Rechnungen
• HR für Bewerbungsunterlagen
• Entwicklung für R&D-Dokumente
• Geschäftsführung für vertrauliche Kommunikation

Erst wenn diese Entscheidungen zentral abgestimmt und verbindlich getroffen wurden, können sie technisch abgebildet werden.

Lösungsansatz: strukturierte Begleitung und Informationscluster-Methodik

Wir begleiten Organisationen in diesem Prozess gezielt. Durch Interviews mit den Fachbereichen, moderierte Workshops und methodische Unterstützung helfen wir dabei, Klarheit zu schaffen:

• Welche Informationen existieren?
• Wer ist deren Eigentümer?
• Wie schützenswert sind sie?
• Welche Schutzbedarfsklassen gelten unternehmensweit?

Dabei etablieren wir sogenannte Informationscluster. Das sind strukturierte Gruppierungen von Informationen, die sich mit konkreten und verständlichen Vertraulichkeitsbezeichnern abbilden lassen. Das erleichtert die technische Umsetzung erheblich und sorgt für Konsistenz und Skalierbarkeit.

Ein Informationscluster könnte z. B. lauten:

• „Finanzdokumente extern“
• „Personalstammdaten“
• „Projektunterlagen vertraulich“

So entsteht ein Modell, das fachlich sinnvoll UND technisch implementierbar ist.

Vom Schutzbedarf zur gelebten Klassifizierung: wie Kennzeichnung im Alltag funktioniert

Die Klassifizierung von Daten richtet sich grundsätzlich nach deren Qualität; dementsprechend werden sie durch den Besitzer der Information (z. B. Abteilungsleiter) einer bestimmten Klasse zugeordnet. Die eigentliche Vergabe der Kennzeichnung, also das Labeln, erfolgt jedoch durch die Benutzer, es sei denn, moderne Technologien übernehmen diesen Schritt automatisch.

Das übergeordnete Ziel besteht darin, alle Mitarbeitenden dazu zu befähigen, Dokumente innerhalb weniger Sekunden korrekt zu kennzeichnen. Dafür müssen sie sowohl wissen, welche technischen Schritte notwendig sind (z. B. welche Schaltflächen sie in Office-Anwendungen klicken müssen) als auch ein intuitives Verständnis für die Kennzeichnung jener Dokumente entwickeln, mit denen sie täglich arbeiten.

Besonders bei regelmäßig genutzten Dokumenten ist es entscheidend, dass Mitarbeitende gezielt darin geschult werden, wie diese korrekt zu kennzeichnen sind. So können sie die erforderlichen Schritte ohne Verzögerung ausführen und wissen stets, welche Kennzeichnung anzuwenden ist.

Für alle Arten von Informationen sollte darüber hinaus ein zentral zugängliches Verzeichnis bereitgestellt werden, in dem Mitarbeitende jederzeit die passende Kennzeichnung nachschlagen können. Dies hilft insbesondere bei Dokumenten, die seltener genutzt werden oder bei denen Unsicherheiten bestehen. So wird gewährleistet, dass auch weniger vertraute Inhalte schnell und korrekt gekennzeichnet werden.

Falls dennoch Unsicherheiten auftreten, gibt es in jeder Abteilung einen Ansprechpartner – den sogenannten Caretaker –, der bei Fragen und Herausforderungen rund um die Kennzeichnung unterstützend zur Seite steht.
Damit wird Klassifizierung nicht nur definiert, sondern gelebter Bestandteil des Arbeitsalltags.

Die neue Rolle im Unternehmen: Information Classification Care Taker

Eine Klassifizierung wird erst erfolgreich, wenn sie im Alltag funktioniert. Dafür braucht es Menschen, die zwischen Fachbereich und IT vermitteln: Information Classification Care Taker.

Ihre Aufgaben:

• erste Ansprechpartner bei Klassifizierungsfragen
• Unterstützung der Teams im Alltag
• Sensibilisierung & Akzeptanzförderung
• Weitergabe von Fachbereichsentscheidungen
• Deeskalation bei Sonderfällen
• Verankerung der Klassifizierung in Prozesse und Arbeitskultur

Typischerweise sind Care Taker engagierte Power User, Multiplikatoren oder Key User aus den Fachbereichen – gezielt geschult und vorbereitet.

Einführung: strukturiert, praxisnah, nachhaltig

Provectus begleitet Organisationen entlang des gesamten Lebenszyklus:

1. Analysephase

• Interviews & Workshops
• Identifikation vorhandener Datenarten
• Klärung von Verantwortlichkeiten
• Sichtung vorhandener Strukturen

2. Strukturierung

• Definition unternehmensweiter Schutzbedarfsklassen
• Aufbau der Informationscluster
• Ableitung der Klassifikationslogik

3. Technische Umsetzung

• Einrichtung von Microsoft Purview Sensitivity Labels
• Konfiguration automatisierter Schutzmaßnahmen
• Integration in Office- und Cloud-Workflows

4. Befähigung

• Schulung von Care Takern
• Schulungsmaterial für Mitarbeitende
• Begleitende Dokumentation (NIS2-/DORA-konform)

Das Ergebnis: eine Klassifizierung, die nicht nur existiert, sondern gelebt wird, technische umsetzbar ist und den Weg für Microsoft Copilot und Co. ebnet.

Fazit: Datenklassifizierung ist kein Hindernis, sondern Enabler für hohe Datenqualität

Datenklassifizierung richtig umgesetzt ist:

• der Schlüssel zu Compliance (NIS2, DORA, KRITIS, DSGVO)
• die Basis für sichere KI-Implementierungen
• der Ausgangspunkt effizienter Datenorganisation
• der Schutzschirm für sensible Informationen
• die Orientierung für Mitarbeitende im Arbeitsalltag

Sie benötigen Unterstützung bei der nachhaltigen Einführung von Datenklassifizierung. Wir unterstützen Sie gerne auf dem Weg!