Anzeige

Datenmanagement

Die Datenmengen in Unternehmen wachsen heute exponentiell. Für Sicherheitsteams besteht dabei die Herausforderung, diese Daten im Rahmen der verfügbaren Zeit-, Budget- und Personalressourcen ordnungsgemäß vor potenziellen Cyberangriffen zu schützen.

Der beste Weg, diese Aufgabe zu meistern, ist die richtige Priorisierung der Daten. Hier fällt der Datenklassifizierung eine entscheidende Rolle zu, da diese Technologie Unternehmen dabei hilft, ihre Anforderungen an Risikomanagement, Compliance und Datensicherheit effektiv durchzusetzen.

Grundlagen zur Datenklassifizierung

Datenklassifizierung wird allgemein als der Prozess der Organisation von Daten nach relevanten Kategorien definiert, damit sie effizienter genutzt und geschützt werden können. Beim Klassifizierungsprozess werden Daten mit Tags versehen, um sie leichter auffindbar und nachvollziehbar zu machen. Außerdem werden mehrfache Duplikate von Daten eliminiert, was die Kosten für Speicherung und Backup reduzieren und gleichzeitig den Suchprozess beschleunigen kann.

Die Möglichkeiten der Datenklassifizierung haben sich im Laufe der Zeit erheblich verbessert. Heute wird die Technologie für eine Vielzahl von Zwecken eingesetzt, oft zur Unterstützung von Datensicherheitsinitiativen. Daten können jedoch aus verschiedenen Gründen klassifiziert werden, etwa zur Vereinfachung des Zugriffs, zur Einhaltung gesetzlicher Vorschriften oder zur Erfüllung verschiedener anderer geschäftlicher Ziele. In einigen Fällen ist die Datenklassifizierung eine gesetzliche Anforderung, da Daten innerhalb bestimmter Zeiträume durchsuchbar und abrufbar sein müssen. Für die Zwecke der Datensicherheit ist die Datenklassifizierung eine nützliche Methode, um angemessene Sicherheitsmaßnahmen auf der Grundlage der Art der abgerufenen, übertragenen oder kopierten Daten zu ermöglichen.

Datenklassifizierung vor dem Hintergrund der DSGVO

Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ist die Datenklassifizierung für Unternehmen, die Daten von EU-Bürgern speichern, übertragen oder verarbeiten, zwingender denn je. Für diese Unternehmen ist es entscheidend, Daten zu klassifizieren, damit alles, was unter die DSGVO fällt, leicht identifizierbar ist und die entsprechenden Sicherheitsvorkehrungen getroffen werden können.

Zusätzlich fordert die DSGVO einen erhöhten Schutz für bestimmte Kategorien von personenbezogenen Daten. Zum Beispiel verbietet die Verordnung ausdrücklich die Verarbeitung von Daten, die sich auf die ethnische Herkunft, politische Meinungen und religiöse oder philosophische Überzeugungen beziehen. Eine entsprechende Klassifizierung solcher Daten kann das Risiko von Compliance-Problemen erheblich reduzieren.

Arten der Datenklassifizierung

Datenklassifizierung umfasst oft eine Vielzahl von Tags und Etiketten, die den Typ der Daten, ihre Vertraulichkeit und ihre Integrität definieren. Auch die Verfügbarkeit kann in Datenklassifizierungsprozessen berücksichtigt werden. Die Sensibilitätsstufe von Daten wird oft auf der Grundlage unterschiedlicher Wichtigkeits- oder Vertraulichkeitsstufen klassifiziert, welche dann mit den Sicherheitsmaßnahmen korrelieren, die zum Schutz jeder Klassifizierungsstufe eingesetzt werden.

Es gibt drei Hauptarten der Datenklassifizierung, die als Industriestandard gelten:

• Die kontextbasierte Klassifizierung untersucht und interpretiert Dateien auf Basis ihres Kontexts, während sie nach sensiblen Informationen sucht
• Die inhaltsbasierte Klassifizierung betrachtet Anwendung, Speicherort oder Ersteller neben anderen Variablen als indirekte Indikatoren für sensible Informationen
• Die benutzerbasierte Klassifizierung beruht auf einer manuellen Auswahl jedes Dokuments durch den Endbenutzer. Sie verlässt sich auf das Wissen und den Ermessensspielraum des Benutzers bei der Erstellung, Bearbeitung, Überprüfung oder Weitergabe, um sensible Dokumente zu kennzeichnen.
 

Ein Beispiel für Datenklassifizierung

Eine Organisation kann Daten beispielsweise als „eingeschränkt“, „privat“ oder „öffentlich“ klassifizieren. In diesem Fall stellen öffentliche Daten die am wenigsten sensiblen Daten mit den geringsten Sicherheitsanforderungen dar, während eingeschränkte Daten der höchsten Sicherheitsklassifizierung angehören. Diese Art der Datenklassifizierung ist oft der Ausgangspunkt für viele Unternehmen, gefolgt von zusätzlichen Identifizierungs- und Kennzeichnungsverfahren, die Daten auf der Grundlage ihrer Relevanz für das Unternehmen, ihrer Qualität und anderer Klassifizierungen kennzeichnen.

Der Datenklassifizierungsprozess: Unterstützung durch Automatisierung

Die Datenklassifizierung kann ein komplexer Prozess sein. Automatisierte Systeme können jedoch dabei helfen, den Prozess zu rationalisieren. Allerdings muss ein Unternehmen die Kategorien und Kriterien festlegen, die zur Klassifizierung von Daten verwendet werden, seine Ziele verstehen und definieren, die Rollen und Verantwortlichkeiten der Mitarbeiter bei der Aufrechterhaltung ordnungsgemäßer Datenklassifizierungsprotokolle umreißen sowie Sicherheitsstandards implementieren, die mit den Datenkategorien und Tags übereinstimmen. Wenn dieser Prozess richtig durchgeführt wird, bietet er Mitarbeitern und Dritten, die an der Speicherung, Übertragung oder Abfrage von Daten beteiligt sind, einen operativen Rahmen.

Schritte für eine effektive Datenklassifizierung

1. Data Discovery: Ein detaillierter Blick auf den Standort der aktuellen Daten und alle Vorschriften, die für das Unternehmen gelten, ist der beste Ausgangspunkt für eine effektive Datenklassifizierung. 

Um alle sensiblen Daten zu identifizieren, die klassifiziert und geschützt werden sollen, muss das Unternehmen zunächst wissen, nach welchen Daten gesucht wird – beispielsweise personenbezogene Daten, Kreditkarteninformationen oder geistiges Eigentum. Verantwortliche sollten sich auf die Orte konzentrieren, an denen diese Daten vermutlich zu finden sind, von Endpunkten und Servern bis hin zu Datenbanken On-Premises und der Cloud. Dabei ist die Data Discovery kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess, wobei Daten im Ruhezustand, in der Übertragung und Nutzung im gesamten Unternehmen berücksichtigt werden sollten.

2. Erstellung einer Richtlinie zur Datenklassifizierung: Die Einhaltung der Datenschutzprinzipien in einer Organisation ist ohne eine entsprechende Richtlinie fast unmöglich. Das Erstellen einer Richtlinie sollte daher oberste Priorität sein.

Unternehmen sollten klar intern kommunizieren, wie die Klassifizierung zur Umsatzsteigerung, Kostenreduzierung und Risikominderung beitragen kann. Es muss sichergestellt werden, dass die Benutzer die Richtlinien kennen und nachvollziehen können, weshalb das Programm eingeführt wird. Eine wirksame Richtlinie sorgt für ein Gleichgewicht zwischen der Vertraulichkeit und Privatsphäre von Mitarbeitern und Anwendern sowie der Integrität und Verfügbarkeit der zu schützenden Daten.

3. Priorisieren und Organisieren von Daten: Nachdem Unternehmen eine Richtlinie erstellt und einen Überblick über ihre aktuellen Daten haben, folgt deren Klassifizierung, basierend auf ihrer Sensibilität und den notwendigen Schutzvorkehrungen.

Viele Verantwortliche verzetteln sich bei Datenklassifizierungsprojekten aufgrund zu komplexer Klassifizierungsschemata. Typischerweise erhöht das Hinzufügen weiterer Sets die Komplexität, aber nicht die Qualität. Unternehmen sollten deshalb mit drei Kategorien beginnen, um den Einstieg drastisch zu vereinfachen.

Viele der heutigen Datenklassifizierungs-Tools sind automatisiert und die Klassifizierung kann auf Basis von Kontext (z. B. Dateityp) und Inhalt (z. B. Fingerabdruck) erfolgen. Diese Option kann teuer sein und ein hohes Maß an Feinabstimmung erfordern, aber wenn sie einmal läuft, ist sie extrem schnell und die Klassifizierung kann beliebig oft wiederholt werden.

Es ist auch möglich, die Klassifizierung einer Datei manuell zu wählen. Dieser Ansatz beruht auf einem Datenexperten, der den Klassifizierungsprozess leitet, und kann zeitintensiv sein. In Unternehmen, in denen der Klassifizierungsprozess kompliziert und subjektiv ist, kann jedoch ein manueller Ansatz bevorzugt werden.

Manche Unternehmen entscheiden sich auch dafür, den Klassifizierungsprozess an einen Dienstleister auszulagern. Obwohl dies in der Regel nicht die effizienteste oder kostengünstigste Option ist, kann es eine einmalige Klassifizierung von Daten liefern, um eine Momentaufnahme zu erhalten, wo das Unternehmen in Bezug auf Compliance und Risiko aktuell steht.

Datenschätze sinnvoll nutzen und schützen

Die Klassifizierung von Daten erleichtert nicht nur deren Auffindbarkeit. Sie ist eine notwendige Maßnahme, damit moderne Unternehmen ihre steigenden Datenmengen sinnvoll nutzen und vor potenziellen Sicherheitsrisiken schützen können. Einmal implementiert, bietet die Datenklassifizierung einen organisierten Rahmen, der Datenschutzmaßnahmen erleichtert und die Einhaltung der Sicherheitsrichtlinien durch die Mitarbeiter effektiv unterstützt.

Tim Bandos, Chief Information Security Officer
Tim Bandos
Chief Information Security Officer, Digital Guardian

Weitere Artikel

Data protection

Der Data Protection Day und die Zukunft der Datensicherheit

Das neue Jahr ist noch jung und wir alle sehen den kommenden Chancen mit Zuversicht entgegen. Betrachten wir jedoch das Thema Security, steht bereits jetzt fest, dass 2022 keine Erleichterung in Sachen Cyberbedrohungen mit sich bringen wird. Der Data…
2022 Datenschutztag

Das Home Office wird immer öfter zum Cyber-Angriffsziel

Ganz Deutschland bleibt derzeit zuhause - und wird dadurch zum Angriffsziel für Hacker:innen. Nicht nur am Europäischen Datenschutztag, der jedes Jahr am 28. Januar gefeiert wird, sollten die Deutschen für dieses Risiko sensibilisiert sein.
EU Datenschutz

So sehen IT-Experten die aktuelle Datenschutzlage in Europa

Am 28. Januar ist Europäischer Datenschutztag. Bereits seit 2007 macht der Aktionstag jedes Jahr auf den hohen Stellenwert des Datenschutzes innerhalb der EU aufmerksam.
EU Flagge

Was beim TIA (Transfer Impact Assessment) beachtet werden muss

Am 04.06.2021 wurden die neuen Standardvertragsklauseln (SCC) für den Datentransfer von personenbezogenen Daten in Drittländer ohne Angemessenheitsbeschluss verabschiedet.
Justitia

Die wichtigsten IT-Gesetze 2022

Die Gesetzgebung kommt in der digitalen Gegenwart an: 2022 treten zahlreiche gesetzliche Änderungen in Kraft, die den IT-Bereich betreffen. Diese beziehen sich sowohl auf Unternehmen als auch auf öffentliche Einrichtungen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.