Alexey Novikov - stock.adobe.com

Warum eine manuelle Datenklassifizierung nicht sinnvoll ist

Zwar verstehen Menschen den Kontext von Dokumenten besser als Maschinen, dennoch ist die manuelle Klassifizierung von Daten ein komplexes und fehleranfälliges Unterfangen.

Was ist Datenklassifizierung und wie schwierig ist sie? Auf den ersten Blick sieht Datenklassifizierung nicht kompliziert aus. Der Prozess umfasst vier Schritte:

  1. Eingabe von Daten, wie E-Mails und elektronische Dokumente, in das Klassifizierungsregister.
  2. Klassifizierung der einzelnen Daten nach ihrem Wert und ihrer Vertraulichkeit.
  3. Kennzeichnung der Daten basierend auf der Art ihrer Klassifizierung.
  4. Bearbeitung der Daten auf Grundlage ihrer Klassifizierung (zum Beispiel verschlüsselte E-Mails, die als „vertraulich” indiziert sind).

Führt man diese Schritte manuell durch, müssen Dateneigner oder andere Nutzer auf die Klassifizierung von Dokumenten gemäß Ihrer Datenklassifizierungsstrategie geschult werden.

Im Vergleich zu Maschinen verstehen Menschen den Kontext von Dokumenten zwar besser, doch wird die Datenklassifizierung schnell kompliziert und manuelle Prozesse versagen, wenn die Anzahl an Daten, Klassifizierungsstufen und -regeln wächst. Hier sind fünf Gründe für die Automatisierung der Datenklassifizierung.

Grund 1. Manuelle Datenklassifizierung ist subjektiv und uneinheitlich

Wie das Sprichwort sagt, liegt die Schönheit im Auge des Betrachters. Ebenso kann die Entscheidung subjektiv sein, welche Informationen vertraulich sind. Selbst wenn zwei Personen darauf geschult sind, Daten zu klassifizieren, kennzeichnen sie bisweilen ähnliche Daten auf unterschiedliche Art. Tatsächlich könnte selbst eine einzelne Person ähnlichen Inhalt uneinheitlich kennzeichnen, insbesondere, wenn aus vielen Kennzeichnungen ausgewählt werden kann. Schließlich hängt die Qualität der Datenklassifizierung auch vom Engagement des Dateneigners ab, was zu Uneinheitlichkeit in der gesamten Organisation führen kann.

Grund 2. Nutzer vernachlässigen Datenklassifizierung, weil sie darin keinerlei Wert sehen

Datenklassifizierung ist selten ein fester Bestandteil von Geschäftsprozessen; sie ist eher eine unangenehme Zusatzaufgabe, in deren Ausführung Nutzer nur einen geringen Wert sehen, so dass sie sie vermeiden, wenn sie können. Fordert die Geschäftsleitung aber die Klassifizierung, führen sie die Umsetzung oft nicht sorgfältig genug aus, indem sie beispielsweise nur die erste Kennzeichnung aus der Liste auswählen. Das führt zu unvollständigen oder falschen Klassifizierungen. Falsche Informationen über Daten zu haben, kann sogar schlechter sein als gar keine Informationen. Denn die IT-Sicherheit könnte sich auf die falschen Daten konzentrieren und wirklich wertvolle Daten deshalb nicht ausreichend schützen.

Grund 3. Daten sind nicht statisch

Dateien werden normalerweise zum Zeitpunkt ihrer Erstellung klassifiziert, doch Daten – insbesondere unstrukturierte Daten – verändern sich ständig. Es gibt keine Garantie, dass die ursprüngliche Klassifizierung einer Datei ihren gesamten Lebenszyklus hindurch korrekt bleibt. Und wie im vorigen Schritt klar wurde, könnten die auf sie angewandten Regeln zur Informationsverarbeitung bei falscher Klassifizierung nicht ausreichend sein, um die Daten zu schützen.

Grund 4. Manuelle Klassifizierung ist komplex und teuer

Die meisten Organisationen besitzen sowohl eine breite Palette an Daten als auch eine große Datenmenge. Daher ist die Klassifizierung von Hand eine komplexe, zeitaufwendige und teure Aufgabe.

Grund 5. Vertrauliche Informationen kann man leicht übersehen

Wenn damit begonnen wird, Daten zu klassifizieren, können natürlich die Nutzer die neuen Dateien bei ihrer Erstellung klassifizieren. Aber was ist mit all den Daten, die bereits auf Ihren Dateiservern gespeichert sind? Werden sie weggelassen, weil Sicherheitsverantwortliche der Meinung sind, sie lägen außerhalb ihres Geltungsbereichs, wächst das Risiko, vertrauliche Daten zu gefährden. Doch zu versuchen, Massen unstrukturierter Daten manuell zu sortieren, wäre ungeheuer zeitaufwendig und extrem fehleranfällig. Das wäre so, als würde man versuchen, die Arbeit einer Suchmaschine, die das Internet durchwühlt, um Daten zu indizieren, manuell zu erledigen.

Juergen Venhorst, Netwrix

„Im Vergleich zu Maschinen verstehen Menschen den Kontext von Dokumenten zwar besser, doch wird die Datenklassifizierung schnell kompliziert und manuelle Prozesse versagen.“

Jürgen Venhorst, Netwrix

Es gibt einige Strategien, mit deren Hilfe es möglich ist, die Herausforderungen der manuellen Datenklassifizierung zu bewältigen. Dazu gehören:

  • Mitarbeiter zusätzlich schulen, damit sich die Einheitlichkeit ihrer Klassifizierungsarbeit verbessert.
  • Das Datenklassifizierungskonzept vereinfachen.
  • Ordner anstelle einzelner Dokumente klassifizieren, um Zeit zu sparen, falls viele Daten gespeichert wurden.
  • Ganze Abteilungen aus der Klassifizierung auszuschließen, wenn deren Daten wahrscheinlich nicht die wichtigsten Unternehmenswerte enthalten, die zuerst bedacht werden müssen.

Fazit

Eine Software zur Datenklassifizierung wird bei viel geringerem Aufwand weitaus bessere Ergebnisse liefern. Gleichzeitig wird sie dafür sorgen, dass Klassifizierungsregeln einheitlich angewandt werden. Auch die Sensibilität von Daten wird neu bewertet, wenn diese sich verändern. Unternehmen müssen sich dann keine Sorgen machen, dass ihre wichtigsten Unternehmenswerte durch fehlerhafte Informationen gefährdet sein könnten.

Über den Autor:
Jürgen Venhorst ist Country Manager DACH bei Netwrix.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Daten für hybride Umgebungen richtig klassifizieren

So kann man Daten mit dem Windows Server klassifizieren

Wie sich Geschäftsdaten richtig einstufen lassen

Erfahren Sie mehr über Datensicherheit