Unternehmen können nur begrenzte Ressourcen in den Schutz ihrer Daten investieren. Wenn Sie genau wissen, welche Daten geschützt werden müssen, können Sie Prioritäten für Ihre Sicherheitsmaßnahmen festlegen und diese gezielt planen. So sind Sie in der Lage, Ihr Budget und andere Ressourcen effektiv einzusetzen sowie die Sicherheits- und Compliance-Kosten zu minimieren.
Zunächst sollten Sie deshalb eine Klassifizierung Ihrer Daten vornehmen. Die Datenklassifizierung bildet die Grundlage einer Datensicherheitsstrategie, da Sie mithilfe einer Klassifizierung ermitteln können, welche Daten im lokalen Netzwerk und in der Cloud gefährdet sind. Zudem können Sie bessere Entscheidungen treffen und durch Löschen nicht benötigter Daten die Speicherkosten senken.
In diesem Artikel definieren wir, was eine Datenklassifizierung beinhaltet, und erläutern die einzelnen Schritte.
Definition der Datenklassifizierung
Was bedeutet das Klassifizieren von Daten? Die Klassifizierung von Daten umfasst die Organisation sowohl strukturierter als auch unstrukturierter Daten in zuvor festgelegten Kategorien. Die Datenklassifizierung ermöglicht eine effizientere Nutzung und einen besseren Schutz geschäftskritischer Daten im gesamten Unternehmen und unterstützt unter anderem das Risikomanagement, die Einhaltung der Offenlegungspflicht und Compliance-Prozesse.
Lange Zeit war es Sache der Benutzer, die von ihnen erstellten, gesendeten, geänderten oder in sonstiger Weise genutzten Daten zu klassifizieren. Heute stehen Unternehmen verschiedene Möglichkeiten für die automatische Klassifizierung neuer Daten zur Verfügung, die von Benutzern erstellt oder vom Unternehmen erfasst werden. Sie können mit den entsprechenden Tools auch ältere Daten auffinden und klassifizieren oder diese Daten nach und nach ohne Klassifizierung ausmustern.
Was bedeutet das Auffinden von Daten? Beim Auffinden von Daten werden Daten auf Speichersystemen lokalisiert. Das Auffinden von Daten kann verschiedenen Zwecken dienen, beispielsweise der Suche von Unternehmensinhalten, der Data Governance sowie der Datenanalyse und -visualisierung. In Kombination mit der Datenklassifizierung unterstützt sie Unternehmen bei der Identifizierung von Systemen, auf denen sensible Informationen gespeichert sein können. So können sie fundierte Entscheidungen treffen, wie diese Daten angemessen geschützt werden können.
Vorteile der Datenklassifizierung
Durch die Klassifizierung Ihrer Daten können Sie sowohl die Datensicherheit als auch die Einhaltung von Vorschriften verbessern.
Datensicherheit
Um für einen angemessenen Schutz sensibler Geschäfts- und Kundendaten zu sorgen, müssen Sie Ihre Daten kennen und verstehen. Insbesondere müssen Sie in der Lage sein, die folgenden Fragen zu beantworten:
- Welche sensiblen Daten (zum Beispiel geistiges Eigentum, geschützte Gesundheitsinformationen, personenbezogene Informationen und Kreditkartennummern) speichert Ihr Unternehmen?
- Wo befinden sich diese sensiblen Daten?
- Wer kann auf diese Daten zugreifen, sie ändern und löschen?
- Welche Auswirkungen hätte die Preisgabe, die Zerstörung oder die unerlaubte Änderung dieser Daten für Ihr Unternehmen?
Die Antworten auf diese Fragen und Informationen zur Bedrohungslandschaft ermöglichen Ihnen den Schutz sensibler Daten, indem Sie den Risikograd bewerten, Prioritäten für Ihre Sicherheitsvorkehrungen festlegen sowie geeignete Maßnahmen für den Datenschutz und die Bedrohungserkennung planen und umsetzen.
Einhaltung von Vorschriften
Zur Einhaltung von Compliance-Standards müssen Unternehmen bestimmte Daten wie Informationen von Karteninhabern (PCI DSS), Patientenakten (HIPAA), Finanzdaten (SOX) oder personenbezogene Informationen von EU-Bürgern (DSGVO) schützen. Durch das Auffinden und Klassifizieren von Daten können Sie ermitteln, wo die zu schützenden Daten gespeichert sind. So können Sie dafür sorgen, dass die entsprechenden Sicherheitskontrollen implementiert sind und Daten vorschriftsgemäß auffindbar sind und durchsucht werden können. Indem Sie Ihre Compliance-Maßnahmen gezielt auf die Daten ausrichten, die unter die für Sie geltenden Vorschriften fallen, können Sie die Compliance im Geschäftsalltag verbessern und Audits erfolgreich bestehen.
Richtlinien für die Datenklassifizierung
Für die Datenklassifizierung gibt es keine einheitliche Vorgehensweise, die für alle Unternehmen gleichermaßen geeignet ist. Der Prozess der Klassifizierung lässt sich jedoch in vier Schritte gliedern, die Sie an die individuellen Anforderungen Ihres Unternehmens anpassen und als Ausgangspunkt für eine allgemeine Datensicherungsstrategie nutzen können.
1. Schritt: Definieren einer Richtlinie für die Datenklassifizierung
Zunächst müssen Sie eine Richtlinie für die Datenklassifizierung definieren und an alle Mitarbeiter kommunizieren, die mit sensiblen Daten arbeiten. Die Richtlinie sollte kurz und klar verständlich sein und die folgenden Grundelemente beinhalten:
- Ziele – die Gründe für die Datenklassifizierung und die Ziele, die das Unternehmen damit erreichen möchte
- Workflows – Ablauf des Datenklassifizierungsprozesses und Auswirkungen auf Mitarbeiter, die mit sensiblen Daten unterschiedlicher Kategorien arbeiten
- Datenklassifizierungsschema – Kategorien, nach denen die Daten klassifiziert werden (mehr dazu weiter unten)
- Datenbesitzer – Rollen und Verantwortlichkeiten der Geschäftsbereiche, einschließlich Vorgaben für die Klassifizierung sensibler Daten und die Vergabe von Zugriffsrechten
- Anweisungen zur Datenverarbeitung – Sicherheitsstandards, die definieren, wie Daten der einzelnen Kategorien verarbeitet werden (z. B. wie sie gespeichert werden müssen, welche Zugriffsrechte dafür erteilt werden, wie sie freigegeben werden können, wann sie verschlüsselt werden müssen und nach welchen Bedingungen und Prozessen sie aufbewahrt werden). Da sich diese Richtlinien ändern können, sollten sie in einem separaten Dokument erfasst werden.
2. Schritt: Identifizieren bereits gespeicherter sensibler Daten
Sie können die Klassifizierungsrichtlinien nun auf Ihre Daten anwenden. Wahlweise könnten Sie auch ausschließlich neue Daten klassifizieren, doch in diesem Fall wären bereits vorhandene geschäftskritische oder vertrauliche Daten möglicherweise nicht ausreichend geschützt.
Anstatt Datenbanken, Dateifreigaben und andere Systeme mit sensiblen Informationen manuell zu identifizieren, ist unter Umständen auch die Anschaffung einer Lösung für das automatische Auffinden von Daten sinnvoll. Manche Tools geben nicht nur Aufschluss über die Menge der sensiblen Daten, sondern zeigen auch an, welcher Kategorie sie sehr wahrscheinlich angehören.
3. Schritt: Kennzeichnen Ihrer Daten
Sensible Daten müssen gemäß Ihrem Datenklassifizierungsschema gekennzeichnet werden. Diese Kennzeichnung hilft Ihnen, Ihre Datenklassifizierungsrichtlinie durchzusetzen. Die Kennzeichnung kann automatisch erfolgen oder manuell von den Datenbesitzern vorgenommen werden.
4. Schritt: Verbessern der Sicherheit und Compliance mithilfe der Ergebnisse
Sobald Sie wissen, welche sensiblen Daten es in Ihrem Unternehmen gibt und wo diese gespeichert sind, können Sie Ihre Sicherheits- und Datenschutzrichtlinien und -maßnahmen darauf überprüfen, ob für alle Daten auf die jeweiligen Risiken abgestimmte Sicherheitsvorkehrungen getroffen wurden. Durch die Kategorisierung Ihrer sensiblen Daten können Sie Prioritäten für Maßnahmen festlegen, die Kosten kontrollieren und die Datenverwaltung verbessern.
5. Schritt: Wiederholen Sie die Schritte 1 bis 4.
Daten sind dynamisch: Tag für Tag werden Dateien erstellt, kopiert, verschoben und gelöscht. Deshalb ist es wichtig, dass die Datenklassifizierung ein kontinuierlicher Prozess ist. Durch eine ordnungsgemäße Verwaltung dieses Prozesses sorgen Sie dafür, dass alle sensiblen Daten zuverlässig geschützt sind.
Kategorien der Datenklassifizierung
Bei der Definition Ihres Datenklassifizierungsmodells und der entsprechenden Kategorien müssen Sie die individuellen Anforderungen Ihres Unternehmens berücksichtigen. US-Behörden definieren beispielsweise meist die drei Datentypen „Public“ (Öffentlich), „Secret“ (Geheim) und „Top Secret“ (Streng geheim), während die NATO beim Manhattan-Projekt mit einem fünfstufigen Schema arbeitete.
Eine Möglichkeit besteht darin, mit einer einfachen dreistufigen Datenklassifizierung zu beginnen:
- Öffentliche Daten: Daten, die öffentlich zugänglich gemacht werden dürfen, beispielsweise E-Mail-Adressen und Telefonnummern des Kundenservice
- Interne Daten: Daten mit geringen Sicherheitsanforderungen, die jedoch nicht öffentlich zugänglich sein sollten. Beispiele hierfür sind Geschäftsdaten wie Marktforschungsergebnisse und Leitfäden für Verkaufsgespräche.
- Vertrauliche Daten: Hochgradig sensible Daten, deren Weitergabe sich negativ auf den Geschäftsbetrieb auswirken und das Unternehmen finanziellen oder rechtlichen Risiken aussetzen könnte. Für vertrauliche Daten sind höchste Sicherheitsvorkehrungen erforderlich. Beispiele sind Daten, die gesetzlich oder durch Geheimhaltungsvereinbarungen geschützt sind, etwa Gesundheitsinformationen, personenbezogene Informationen von Kunden oder Mitarbeitern (z. B. Sozialversicherungsnummern) sowie Authentifizierungsdaten (Benutzerkennungen und Kennwörter).
Mit diesen drei Kategorien für die Datenklassifizierung kann Ihr Unternehmen ein erstes Datenklassifizierungsmodell definieren und später um zusätzliche Ebenen erweitern, die auf Ihre spezifischen Daten, Compliance-Anforderungen und sonstigen Bedürfnisse ausgerichtet sind.
Zusammenfassung
Wie Sie sehen konnten, ist die Datenklassifizierung keine Zauberformel, mit der die Datensicherheit oder Einhaltung von Vorschriften automatisch gewährleistet wird. Vielmehr unterstützt sie Unternehmen dabei, ihre geschäftskritischen Daten zu identifizieren. So können sie ihre Zeit und ihre begrenzten Ressourcen gezielt dafür einsetzen, einen angemessenen Datenschutz und die zuverlässige Einhaltung von Sicherheitsrichtlinien und -vorschriften sicherzustellen.