Anzeige

Serverraum

Unstrukturierte Daten, personenbezogene Informationen, sensible, gar kritische Daten: Sind bestimmte Datenkategorien schützenswerter als andere? Sind die von der Datenschutz-Grundverordnung stark ins Augenmerk gefassten Daten nicht der sprichwörtliche Baum, hinter dem sich der Wald verbirgt?

Seit ihrem Inkrafttreten im Mai 2018 in Europa hat die Datenschutz-Grundverordnung (DSGVO) zur Verbreitung neuer Begriffe beigetragen: personenbezogene und/oder sensible Daten. Bei näherer Betrachtung ist allerdings der Umfang sensibler Daten laut der von der Europäischen Kommission veröffentlichten Liste eher begrenzt. Und dennoch: Die Verarbeitung dieser Daten, einschließlich ihrer Erhebung und Verwendung, ist gesetzlich streng geregelt. Aber sind sie tatsächlich die einzigen, die besonderen Schutz benötigen?
 

Im Dschungel der Datenvielfalt

Die in einem Unternehmen produzierten Daten sind weitaus vielfältiger als nur „sensible Daten“. Durch die NIS-Richtlinie für als „Kritis“ zu betrachtende Organisationen sorgte ein neuer Begriff, ergo „kritische Daten“, für Diskussion. Anders als bei personenbezogenen Informationen handelt es sich bei letzteren grundsätzlich um Daten, die wesentlich für das reibungslose Funktionieren eines Unternehmens sind: Produktionsdaten, Finanzdaten, Patente, Daten aus der Forschung und Entwicklung (z. B. das Geheimrezept für ein Getränk oder der Algorithmus einer Suchmaschine). Also Daten, die das Kerngeschäft eines Unternehmens betreffen – oder das, was es ausmacht. Deren Weitergabe, Manipulation, Diebstahl oder Verlust hätte kritische Auswirkungen auf das Unternehmen, etwa den Wegfall eines Wettbewerbsvorteils oder gar der Daseinsberechtigung der Firma. In der Praxis führt der durch eine Cyberattacke verweigerte Zugriff auf Auftragsbücher oder auf andere für die korrekte Durchführung von Unternehmensprozessen wesentliche Informationen dazu, dass die gesamte Tätigkeit eines Klein- oder mittelständischen Unternehmens zumindest zeitweise ins Stocken gerät. Das ist der Grund, warum genau diese Daten zunehmend ins Visier von Cyberkriminellen gelangen und weshalb immer öfter auch kleinere Organisationen Angriffen ausgesetzt sind, deren Ziel es ist, diese Daten unzugänglich und dadurch das Unternehmen erpressbar zu machen.

Welche Daten sind nun schützenswert? „Alle Daten eines Unternehmens sind wichtig und nützlich“, so Uwe Gries, Country-Manager DACH bei Stormshield. „Oft denkt man zuerst an strategische Daten, von Personal- und Finanz- bis hin zu Produktionsdaten. Doch haben alle vom Unternehmen generierten Daten einen Wert. Dies gilt auch für unstrukturierte Daten“, deren jährliche Wachstumsrate laut Gartners „Magic Quadrant for Distributed File Systems and Object Storage“ jährlich zwischen 30 und 60 Prozent liegt.
 

Identifizierung und Klassifizierung von Daten zum optimalen Schutz

Die erste Herausforderung bei der Absicherung der Daten besteht darin, dass man die eigenen Datenbestände kennt. Und da man nur das gut schützt, was man kennt, ist es erforderlich, Daten, die sowohl automatisch als auch nicht automatisiert erstellt und verarbeitet werden, die Datenträger, auf denen sie sich befinden, die Hardware (z. B. Server, Laptops, Festplatten), die Software (z. B. Betriebssystem, Unternehmensanwendungen), aber auch die Kommunikationskanäle (z. B. Internetanschluss, WLAN) zu identifizieren und klassifizieren.

„Dazu ist eine Bestandsaufnahme notwendig. Dabei sind nicht nur die Nutzdaten, sondern auch die verfeinerten, mit Querverweisen versehenen Daten relevant“, so Gries. In welcher Beziehung stehen diese Daten mit den anderen? Nach welchem Kriterium schreibt man diesen Daten einen Wert zu? Diese Prüfung ermöglicht erst eine Klassifizierung der Daten nach Kritikalität und damit die Bestimmung des Vertraulichkeitsniveaus und der erforderlichen Freigaben, um darauf zugreifen zu können. Es gibt jedoch keine einheitliche Nomenklatur. „Jede Organisation hat ihre eigene Klassifizierung: C1, C2, C3 (Vertraulichkeitsstufe 1 usw.); D1, D2, D3 (Datensatzrelevanz 1 usw.), intern oder extern – und sogar nach Farbe (Gelb/Rot usw.). Dies ist, wie so oft, eine Frage der 'Cyberreife' vom Unternehmen selbst“, erklärt Gries.
 

Der Reifegrad von Organisationen in Bezug auf Daten

Für die Klassifizierung von Daten gibt es ebenfalls verschiedene Lösungen: Kleinere Unternehmen bieten oft eine E-Mail-Vorlage an, bei der Nutzer durch Ankreuzen des jeweiligen Kästchens die Klassifizierung selbst vornehmen. Großunternehmen verfügen hingegen oft über Tools, die automatisch Schlüsselwörter in der Datei erkennen, die Daten gegebenenfalls automatisch verschlüsseln, damit verhindert wird, dass Externe sie lesen können.

Das Einstufungsverfahren kann von einer Organisation zur anderen variieren. Wo es ein solches gibt, legt der Datenschutzbeauftragte in der Regel den Einstufungsrahmen fest, und dann ist es Sache der Hersteller solcher Daten zu entscheiden, ob diese vertraulich sind oder nicht. Dies wirft allerdings Fragen bezüglich der digitalen Hygiene auf. Um Daten zu klassifizieren und zu schützen bzw. ihre Weitergabe einzuschränken, muss sich ihr Eigentümer oder Erzeuger über ihren Wert bewusst sein. Es geht darum, vorsichtig damit zu sein, was man mit wem über welchen Kanal teilt. Die „digitale Hygiene“ setzt einen gewissen Reifegrad des Unternehmens in Bezug auf Datensicherheit und Schulungen des Personals in diesem Bereich voraus. Da das Cybersicherheitsthema noch nicht alltäglich geworden ist, sollten Datenschutzbeauftragte das Personal jährlich bezüglich grundsätzlicher Datenschutzregeln schulen. Das ist zwar zeitaufwendig, aber unverzichtbar.

Die Frage des Reifegrads stellt sich nicht nur bei der Wahrnehmung des Wertes von bestimmten Daten, sondern auch bei deren Absicherung. Diese Verantwortung wird sowohl von der IT-Abteilung als auch vom Unternehmen selbst getragen. Das Unternehmen muss feststellen, ob es über Daten verfügt, die für die Weiterführung der Geschäftstätigkeit wertvoll sind – und wie problematisch deren Zerstörung, Verlust oder Diebstahl sein könnte. Demnach muss es sich stark für deren Schutz engagieren. Die IT-Abteilung muss sich dieser Daten bewusst sein, um die richtigen Tools und die richtige Infrastruktur zu deren Schutz bereitzustellen und zu garantieren, dass sich die Daten im Bedarfsfall nahtlos wiederherstellen lassen. Das sieht auf dem Papier einfach aus, ist aber in der Realität dramatisch komplex, besonders wenn Mitarbeiter öfter auf Schatten-IT -Infrastrukturen zurückgreifen, um „bequemer“ auf die Daten zurückgreifen zu können.

Zusammenfassend lässt sich sagen, dass wirksame Datensicherheit auf einem globalen Ansatz beruht, der den Schutz der Arbeitsumgebung, der Arbeitsplätze und der Daten miteinander verbindet. „Aufgrund der Vielfalt an produzierten Daten besteht Bedarf an Sicherheitskonzepten, die verschiedene Schutzschichten miteinbeziehen: Firewalls für Netzwerke, Endpunktlösungen für Workstations, Verschlüsselungs- oder Data-Loss-Prevention-Lösungen für die Daten selbst“, so Gries. Und man muss unternehmensweit strenge Datenschutzrichtlinien umsetzen. Zu guter Letzt müsste man auch einen „Disaster Recovery Plan“ (DRP) bzw. einen „Business Continuity Plan“ (BCP) haben. Diese sollten sowohl auf Papier an einem sicheren Ort als auch in digitaler Form auf einem vom Rest des Netzes isolierten Server aufbewahrt werden, wenn sie nicht auch Chiffrierungs-Malware zum Opfer fallen sollen.

 
Uwe Gries, Country Manager DACH
Uwe Gries
Country Manager DACH, Stormshield
Als Country Manager DACH bei Stormshield verantwortet Uwe Gries seit Januar 2018 die Aktivitäten des Unternehmens im gesamtdeutschen Sprachgebiet. Dank der über zwanzigjährigen berufliche Laufbahn in Führungs- und Managementfunktionen im Vertrieb von Soft- und Hardware mit disziplinarischer Verantwortung für bis zu knapp 60 Mitarbeitern bei Unternehmen wie G DATA Software AG, Avira, Computacenter u.v.m. verfügt Gries über umfangreiche Erfahrung im direkten und indirekten Vertrieb und ausgezeichnete Kenntnisse der IT/ITC-Märkte.

Artikel zu diesem Thema

Cyber Attack
Jun 22, 2021

Social Engineering, Ransomware und gezielte Angriffe an der Tagesordnung

In den ersten Monaten des Jahres 2021 ritten Cyber-Kriminelle immer noch auf der…

Weitere Artikel

Home Office

Home-Office-Pflicht? Der Datenschutz bleibt beim Unternehmen

Die Corona-Pandemie hat weitreichende Folgen für Gesellschaft und Wirtschaftsleben. Das öffentliche Leben ist stark eingeschränkt, viele Verwaltungen begrenzen den Besucherverkehr, zahlreiche Unternehmen werden für ihre Arbeitskräfte auf das Instrument der…
2022 Security

Das sind die wichtigsten Datenschutz-Trends 2022

Im Hinblick auf die Datenverwaltung und den Datenschutz werden laut Florian Malecki, Vice President International Marketing bei Arcserve, im nächsten Jahr vier wesentliche Trends auf die Unternehmen zukommen.
Data Privacy

70 Prozent würden umfangreiche Daten zur Pandemiebekämpfung zur Verfügung stellen

Zur besseren Bekämpfung der Pandemie wären 71 Prozent bereit, dem Staat umfangreiche personenbezogene Daten zur Verfügung zu stellen. 48 Prozent wären bereit, detaillierte Gesundheitsinformationen inklusive Vorerkrankungen freizugeben. Ein Viertel würde die…
Cookie-Banner

Cookie-Banner – was ab 1.Dezember 2021 zu beachten ist

Jeder kennt das nervige Cookie-Banner. Mit dem Öffnen einer Webseite ploppt sofort ein Fenster auf, bevor es zu den eigentlichen Informationen weiter geht. Es gibt einen fetten Button, um in die Speicherung von Cookies einzuwilligen. Das Ablehnen wird…
Data Breach

Die 5 häufigsten Datenschutzverletzungen

Meldungen von Unternehmen, die von Datenschutzverletzungen und Daten-Leaks betroffen sind, haben in letzter Zeit stark zugenommen. Im Durchschnitt kosten solche Datenschutzverletzungen deutsche Unternehmen stolze 4,11 Millionen Euro – damit liegt Deutschland…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.