alphaspirit - Fotolia
Wie sich Geschäftsdaten klassifizieren und schützen lassen
Mit einer Richtlinie zum Klassifizieren von Geschäftsdaten in die Stufen „öffentlich“, „intern“ und „vertraulich“ lässt sich einem Datenverlust in Unternehmen vorbeugen.
Ein guter Ansatz zur Verhinderung von Datenverlust besteht aus einem Mix von organisatorischen und technischen Maßnahmen wie etwa dem Einsatz einer DLP-Software (Data Loss Prevention). Für sich allein gesehen, haben die technischen Maßnahmen nur einen geringen Nutzen, wenn die Mitarbeiter in einem Unternehmen nicht verstehen, wie sie mit schützenswerten Daten am besten umgehen sollten.
Eine Richtlinie zur Einstufung von Daten, eine so genannte Data Classification Policy, sorgt dafür, dass sensible Informationen gemäß ihrem Risiko für die jeweilige Organisation genutzt werden. Besonders zu schützende Daten sollten deswegen mit einer Risikoeinschätzung versehen werden, die die Methoden und zugelassenen Ressourcen für den Umgang mit ihnen festlegt. Dazu kommen Angaben über den erforderlichen Verschlüsselungsgrad sowie geeignete Speicher- und Transportmittel.
In vielen Unternehmen werden drei Risikoeinstufungen verwendet, um sensible Daten einzustufen: öffentlich, nur für die Einsicht im Unternehmen und vertraulich.
Als öffentlich eingestufte Dokumente
Bei Informationen, die als öffentlich zugänglich eingestuft werden, handelt es sich um Daten, die entweder bereits allgemein verfügbar oder zur Verbreitung außerhalb einer Organisation vorgesehen sind. Sie können ohne Gefahr verbreitet werden. Gute Beispiele dafür sind alle Informationen, die für eine öffentliche Nutzung vorgesehen sind, wie Pressemitteilungen, Stellenangebote und Verkaufsbroschüren.
Nur als für die Einsicht im Unternehmen eingestufte Dokumente
Diese Einstufung gilt für alle Informationen, die in Geschäftsprozessen genutzt werden und deren nichtautorisierte Verbreitung, Veränderung oder Beschädigung zu keinen bedeutenden Schäden für das betroffene Unternehmen, seine Kunden, Mitarbeiter oder Partner führt.
Beispiele dafür sind alle Dokumente und Daten, die innerhalb eines Unternehmens routinemäßig genutzt werden wie interne Richtlinien oder Telefonlisten.
Als vertraulich eingestufte Dokumente
Wenn Informationen als vertraulich eingestuft werden, dann führt ihre unbeabsichtigte Verbreitung, Veränderung oder Beschädigung in der Regel zu schwerwiegenden Schäden für ein Unternehmen, seinen Kunden, Mitarbeiter oder Partner. Zu den vertraulichen Informationen zählen unter anderem geistiges Eigentum, Vertragsverhandlungen, personenbezogene sowie Gesundheitsdaten, Finanzinformationen und Kontodaten von Kunden und Mitarbeitern.
Als geheim zu halten eingestufte Dokumente
In manchen Organisationen gibt es noch eine weitere Stufe mit als „geheim“ oder als „streng vertraulich“ eingestuften Informationen. Sie bezieht sich auf alle Daten, deren nichtautorisierte Veröffentlichung, Veränderung oder Beschädigung zu verheerenden Schäden für eine Organisation führen kann.
Bezogen auf Unternehmen aus der Gesundheitsbranche können dies zum Beispiel medizinische Aufzeichnungen über den geistigen Zustand von Patienten, sexuell übertragbare Krankheiten, HIV-Tests oder Drogenmissbrauch sein. Andere Beispiele sind Dokumente, die Firmenzusammenschlüsse, strategische Planungen oder Rechtsstreitigkeiten betreffen.
Die Qual der Wahl
Über die genannten Kriterien hinaus kann es für ein Unternehmen sinnvoll sein, zwischen sensiblen Daten der Kunden und der Mitarbeiter sowie Informationen über Geschäftsprozesse zu unterscheiden. Dazu eignen sich dann andere Einstufungen wie „persönlich vertraulich“ oder „firmenvertraulich“.
Meist ist es ratsam, statt einer umfassenden Richtlinie zur Einstufung der Daten im gesamten Unternehmen, mehrere spezielle Richtlinien zu erstellen, die sich nur auf bestimmte Prozesse und Teilbereiche beziehen.
Weitere hilfreiche Informationen
Die International Organization for Standardization (ISO) sowie die International Electrotechnical Commission (IEC) haben gemeinsam die Publikation ISO/IEC 27002:2013 8.2.1 veröffentlicht, die weiterführende Informationen zum Umgang mit sensiblen Informationen enthält. Auch das National Institute of Standards and Technology (NIST) hat mehrere entsprechende Dokumente wie NIST 800-60 Band 1 und Band 2 sowie den „Guide for Mapping Types of Information and Information Systems to Security Categories“ verfasst, die hier hilfreich sein können. In Deutschland hat zudem das Bundesamt für Sicherheit in der Informationstechnik (BSI) nützliche Informationen über den Umgang mit Verschlusssachen zusammengetragen.
Darüber hinaus sollten die Richtlinien auch Vorgaben zur Verschlüsselung sensibler Daten, wo sie gespeichert werden und welche Mitarbeiter und Geschäftspartner Zugriffsrechte darauf erhalten dürfen enthalten. Auch ist es meist nötig, Wege und Möglichkeiten vorzusehen, mit denen Daten neu klassifiziert werden können. So könnte etwa eine Pressemeldung über ein neues Produkt nur solange als vertrauliche Information eingestuft werden, bis die Daten offiziell veröffentlicht wurden. Zuletzt sollten Unternehmen auch Audits einplanen, um die Richtlinien zur Einstufung der Daten und die zugehörigen Prozesse von Zeit zu Zeit zu überprüfen.
Die Entwicklung einer soliden Richtlinie zur Einstufung von Daten ist eine wesentliche Maßnahme, um sensible Informationen zu überwachen und zu schützen. Die jeweilige Klassifizierung sollte auf Basis der Daten erstellt werden, mit denen ein Unternehmen tagtäglich umgeht. Außerdem sollte sie den in der jeweiligen Branche geltenden Compliance-Regeln entsprechen. Dann lassen sich auch moderne DLP-Lösungen zum Schutz vor Datenverlust deutlich einfacher implementieren.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!