paul_burns - stock.adobe.com
Warum und wie Unternehmen ihre Daten klassifizieren
Sind die Daten im Unternehmen ordentlich klassifiziert, ist es für IT-Abteilungen deutlich einfacher, die kritischen Daten richtig zu schützen. Eine Vorarbeit, die sich auszahlt.
Unternehmen haben nur begrenzte Ressourcen, die sie in den Schutz ihrer Daten investieren können. Wenn die IT-Sicherheitsteams einen Überblick über die Daten haben, die sie schützen sollen, können sie Prioritäten setzen und einen soliden Plan entwickeln. Die Vorarbeit erlaubt, das Budget und andere Ressourcen effizienter einzusetzen sowie die Kosten für Sicherheit und Compliance zu minimieren. Aber was ist der beste Ausgangspunkt dafür?
Die Antwort ist eine Datenklassifizierung. Dabei werden Daten nach vereinbarten Kategorien organisiert. Eine gründlich geplante Klassifizierung ermöglicht eine effizientere Nutzung und den Schutz kritischer Daten im gesamten Unternehmen. Damit trägt sie zum Risikomanagement, zur rechtlichen Aufklärung und zu Compliance-Prozessen bei. Dieser Prozess ist somit sowohl On-Premises als auch in der Cloud eine solide Grundlage, um risikoreiche Bereiche im IT-Netzwerk zu identifizieren und die Maßnahmen in der IT-Sicherheit zu priorisieren.
Jahrelang war der Vorgang rein benutzergetrieben, aber heute haben Unternehmen Automatisierungsmöglichkeiten, wodurch eine Datenklassifizierung effizienter wird. Für neue Daten, die ein Benutzer anlegt, werden Tools eingerichtet, mit denen die Mitarbeiter die Dokumente klassifizieren können, die sie erstellen, senden, ändern oder anderweitig bearbeiten. Wenn die Organisationen wollen, können sie nach der Implementierung dieser Prozesse und Tools die älteren Daten schrittweise außer Betrieb nehmen oder die Backlogs vorhandener Daten nutzen, um diese nachträglich zu klassifizieren.
Vorteile der Datenklassifizierung
Die Datenklassifizierung hilft den IT-Sicherheitsteams, sowohl die Sicherheit erfolgskritischer Daten als auch die Einhaltung gesetzlicher Vorschriften zu verbessern.
Um sensible Unternehmens- und Kundendaten angemessen zu schützen, müssen die Teams zunächst die Daten ihres Unternehmens kennen und verstehen. Dazu müssen sie wissen, welche sensiblen Daten wo gespeichert werden, wer auf sie zugreifen, sie ändern und löschen kann und welche Folgen es hat, wenn diese Daten veröffentlicht, gelöscht oder unsachgemäß verändert werden. Die Kombination der Antworten mit Informationen über die aktuelle Gefahrenlandschaft ermöglichen es, das Risikoniveau eines Unternehmens zu bewerten, geeignete Sicherheitsmaßnahmen zum Datenschutz und zur Gefahrenerkennung zu priorisieren, zu planen und umzusetzen.
Außerdem verlangen Compliance-Standards und gesetzliche Regulierungen von Unternehmen, bestimmte Daten wie Kreditkarteninformationen, Finanzdaten und andere personenbezogene Daten besonders zu schützen. Bei der Ermittlung der vorgehaltenen Daten eines Unternehmens kann festgestellt werden, wo sich die Daten befinden, die unter eine konkrete Bestimmung fallen. Geeignete Sicherheitskontrollen können daraufhin implementiert werden. Mit dieser Konzentration von Ressourcen der IT-Sicherheit auf relevante Daten, schaffen die Sicherheitsteams die Voraussetzung, spätere Audits zu bestehen und die tägliche Compliance zu gewährleisten.
Richtlinien für die Datenklassifizierung
Es gibt keinen einheitlichen Standard für die Datenklassifizierung, aber im Allgemeinen ist der Prozess in vier grundlegende Schritte unterteilt. Diese bieten eine verlässliche Ausgangssituation, die an die individuellen Bedürfnisse einer Organisation angepasst werden können, die sich aus ihrer Größe, Branche und ähnlichen Merkmalen ergeben.
Schritt 1: Festlegung einer Richtlinie zur Datenklassifizierung. Zunächst sollten Richtlinien definiert und allen Mitarbeitern kommuniziert werden, die mit den betroffenen Daten arbeiten. Eine solche Policy sollte kurz und einfach gehalten werden und folgende grundlegenden Elemente enthalten:
- Die Ziele, die das Unternehmen mit dem Prozess verfolgt.
- Die grundlegenden Workflows, wie die Datenklassifizierung organisiert wird und wie sie sich auf Mitarbeiter auswirkt, die auf die verschiedenen Kategorien der klassifizierten Daten angewiesen sind.
- Ein Datenklassifikationsschema, das die Kategorien beschreibt, nach denen klassifiziert wird.
- Eine Definition der Dateneigentümer, die Rollen und Verantwortlichkeiten der Geschäftseinheiten einschließt und die Frage beantwortet, wie sie sensible Daten klassifizieren soll und wer zu ihnen Zugang benötigt.
- Weitere Handhabungshinweise, die für jede Datenkategorie Sicherheitsstandards zu Speicherort, Vergabe der Zugriffsrechte, gemeinsame Nutzung, Verschlüsselung, Speicherbedingungen und -Prozesse festlegen. Da sich diese Richtlinien ändern können, ist es am besten, sie als separates Dokument zu pflegen.
Schritt 2: Data Discovery für sensible Daten. Sobald die Richtlinie ausgearbeitet wurde, ist es an der Zeit zu entscheiden, ob die Bestandsdaten des Unternehmens ermittelt werden müssen. Wenn sich ein Unternehmen dafür entscheidet, nur neue Daten zu klassifizieren, werden einige unternehmenskritische oder sensible Daten, die bereits vorliegen, möglicherweise unzureichend geschützt. Manchmal erscheint es, dass dieses Risiko akzeptabel ist, wenn die Bestandsdaten nach und nach ersetzt werden sollen und nicht kritisch sind.
Um sicher zu sein, empfiehlt es sich immer, in die notwendigen Ressourcen zu investieren und die neuen Richtlinien auch auf bestehende Daten anzuwenden. Dieser Prozess kann mithilfe von Anwendungen automatisiert werden, die darauf ausgelegt sind, Systeme und Ressourcen zu identifizieren, wie beispielsweise Datenbanken oder Dateifreigaben, die sensible Informationen einschließen. Einige Tools melden sogar sowohl das Volumen als auch die potenzielle Kategorie der Daten.
Schritt 3: Label vergeben. Optional können die Datenschutzverantwortlichen jedem sensiblen Datenobjekt ein Label zuweisen, um die Durchsetzung der Richtlinien zu verbessern. Die Beschriftung kann anhand des Datenklassifikationsschemas automatisiert oder manuell durch den Dateneigentümer erfolgen.
Schritt 4: Die Ergebnisse für Sicherheit und Compliance nutzen. Sobald das Team weiß, mit welchen sensiblen Daten es zu tun hat und wo diese gespeichert sind, können sie die Sicherheitsrichtlinien und -Verfahren prüfen. In diesem Schritt geht es darum, zu evaluieren, ob alle Daten durch risikogerechte Maßnahmen geschützt sind. Durch die Kategorisierung aller sensibler Daten können sie ihre Bemühungen priorisieren, die Kosten kontrollieren und die Datenverwaltung optimieren.
„Sobald eine Organisation ihre Risiken priorisiert hat, wird sie besser verstehen, wie sie einen angemessenen Datenschutz und die kontinuierliche Einhaltung von Sicherheitsrichtlinien und -vorschriften gewährleisten kann.“
Jürgen Venhorst, Netwrix
Schritt 5: Wiederholen. Daten sind dynamisch: Sie werden täglich erstellt, kopiert, verschoben und gelöscht. Daher sollte die Datenklassifizierung ein fortlaufender Prozess in jedem Unternehmen sein. Eine ordnungsgemäße Verwaltung des Prozesses zur Datenklassifizierung wird dazu beitragen, dass alle sensiblen Daten geschützt sind.
Beispiele für Kategorien zur Klassifizierung
Es gibt keinen Königsweg für ein „richtiges“ Modell der Datenkategorisierung. Allerdings gibt es Best Practices, an denen man sich orientieren kann. Beispielsweise differenzieren US-Regierungsbehörden oft drei Arten von Daten: öffentliche, geheime und streng geheime. Die USA haben beispielsweise für das Manhattan-Projekt ein Fünf-Stufen-System verwendet. Ein solides Vorgehen ist, mit einem einfachen, dreistufigen Schema anzufangen, auf dem das Unternehmen aufbauen kann. Sobald der Prozess implementiert und etabliert ist, können zusätzliche Ebenen hinzugefügt werden, die auf Inhalt und Relevanz der Daten für Compliance-Standards oder Geschäftsspezifika beruhen. Die drei bewährten Klassen sind:
- Öffentliche Daten: Daten dieser Kategorie können frei an die Öffentlichkeit weitergegeben werden (zum Beispiel der Kontakt zum Kundendienst).
- Interne Daten: Die internen Daten haben bestimmte Sicherheitsanforderungen und sind nicht für die öffentliche Offenlegung bestimmt, ohne dass ihre Bekanntgabe das Unternehmen negativ beeinflusst (beispielsweise. Organigramme).
- Eingeschränkte Daten: Die dritte Gruppe umfasst hochsensible Daten, deren Offenlegung den Betrieb negativ beeinflussen und das Unternehmen einem finanziellen oder rechtlichen Risiko aussetzen könnte (zum Beispiel persönliche Daten von Kunden, Patienten und Mitarbeitern oder Authentifizierungsdaten wie Benutzernamen und Passwörter).
Fazit
Eine Datenklassifizierung ist kein Wundermittel, das Daten vor Angriffen schützt oder die Einhaltung der gesetzlichen Anforderungen selbst sicherstellt. Dennoch sollte sie als hilfreiche und notwendige Grundlage für Unternehmen verstanden werden, um ihre Sicherheitslage zu verbessern.
Sobald eine Organisation ihre Risiken priorisiert hat, wird sie besser verstehen, wie sie einen angemessenen Datenschutz und die kontinuierliche Einhaltung von Sicherheitsrichtlinien und -vorschriften gewährleisten kann. Passende Tools und Automatisierung reduzieren den benötigten Ressourcenaufwand, mit dem IT-Sicherheitsteams eine wertvolle Grundlage für ihre strategischen Entscheidungen schaffen können.
Über den Autor:
Jürgen Venhorst ist Country Manager DACH bei Netwrix.