Für Sicherheitsteams besteht dabei die Herausforderung, die Datenbestände im Rahmen der verfügbaren Zeit-, Budget- und Personalressourcen ordnungsgemäß vor potenziellen Cyber-Angriffen zu schützen. Der beste Weg, diese Aufgabe zu meistern, ist die richtige Priorisierung der Daten. Hier fällt der Datenklassifizierung eine entscheidende Rolle zu, da diese Technologie Unternehmen dabei hilft, ihre Anforderungen an Risikomanagement, Compliance und Datensicherheit effektiv durchzusetzen.
Datenklassifizierung wird allgemein als der Prozess der Organisation von Daten nach relevanten Kategorien definiert, damit sie effizienter genutzt und geschützt werden können. Beim Klassifizierungsprozess werden Daten mit Tags versehen, um sie leichter auffindbar und nachvollziehbar zu machen. Außerdem werden mehrfache Duplikate von Daten eliminiert, was die Kosten für Speicherung und Backup reduzieren und gleichzeitig den Suchprozess beschleunigen kann.
Die Möglichkeiten der Datenklassifizierung haben sich im Laufe der Zeit erheblich verbessert. Heute wird die Technologie für eine Vielzahl von Zwecken eingesetzt, oft zur Unterstützung von Datensicherheitsinitiativen. Daten können jedoch aus verschiedenen Gründen klassifiziert werden, etwa zur Vereinfachung des Zugriffs, zur Einhaltung gesetzlicher Vorschriften oder zur Erfüllung verschiedener anderer geschäftlicher Ziele.
In einigen Fällen ist die Datenklassifizierung eine gesetzliche Anforderung, da Daten innerhalb bestimmter Zeiträume durchsuchbar und abrufbar sein müssen. Für die Zwecke der Datensicherheit ist die Datenklassifizierung eine nützliche Methode, um angemessene Sicherheitsmaßnahmen auf der Grundlage der Art der abgerufenen, übertragenen oder kopierten Daten zu ermöglichen.
Datenklassifizierung und der rechtliche Hintergrund
Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ist die Datenklassifizierung für Unternehmen, die Daten von EU-Bürgern speichern, übertragen oder verarbeiten, zwingender denn je. Für diese Unternehmen ist es entscheidend, Daten zu klassifizieren, damit alles, was unter die DSGVO fällt, leicht identifizierbar ist und die entsprechenden Sicherheitsvorkehrungen getroffen werden können.
Zusätzlich fordert die DSGVO einen erhöhten Schutz für bestimmte Kategorien von personenbezogenen Daten. Zum Beispiel verbietet die Verordnung ausdrücklich die Verarbeitung von Daten, die sich auf die ethnische Herkunft, politische Meinungen und religiöse oder philosophische Überzeugungen beziehen. Eine entsprechende Klassifizierung solcher Daten kann das Risiko von Compliance-Problemen erheblich reduzieren.
Arten der Datenklassifizierung
Datenklassifizierung umfasst oft eine Vielzahl von Tags und Etiketten, die den Typ der Daten, ihre Vertraulichkeit und ihre Integrität definieren. Auch die Verfügbarkeit kann in Datenklassifizierungsprozessen berücksichtigt werden. Die Sensibilitätsstufe von Daten wird oft auf der Grundlage unterschiedlicher Wichtigkeits- oder Vertraulichkeitsstufen klassifiziert, welche dann mit den Sicherheitsmaßnahmen korrelieren, die zum Schutz jeder Klassifizierungsstufe eingesetzt werden.
Es gibt drei Hauptarten der Datenklassifizierung, die als Industriestandard gelten:
- die kontextbasierte Klassifizierung untersucht und interpretiert Dateien auf Basis ihres Kontexts, während sie nach sensiblen Informationen sucht,
- die inhaltsbasierte Klassifizierung betrachtet Anwendung, Speicherort oder Ersteller neben anderen Variablen als indirekte Indikatoren für sensible Informationen sowie
- die benutzerbasierte Klassifizierung. Sie beruht auf einer manuellen Auswahl jedes Dokuments durch den Endbenutzer. Sie verlässt sich auf das Wissen und den Ermessensspielraum des Benutzers bei der Erstellung, Bearbeitung, Überprüfung oder Weitergabe, um sensible Dokumente zu kennzeichnen.
Beispiel für Datenklassifizierung
Eine Organisation kann Daten beispielsweise als „eingeschränkt“, „privat“ oder „öffentlich“ klassifizieren. In diesem Fall stellen öffentliche Daten die am wenigsten sensiblen Daten mit den geringsten Sicherheitsanforderungen dar, während eingeschränkte Daten der höchsten Sicherheitsklassifizierung angehören.
Diese Art der Datenklassifizierung ist oft der Ausgangspunkt für viele Unternehmen, gefolgt von zusätzlichen Identifizierungs- und Kennzeichnungsverfahren, die Daten auf der Grundlage ihrer Relevanz für das Unternehmen, ihrer Qualität und anderer Klassifizierungen kennzeichnen.
Die Datenklassifizierung kann ein komplexer Prozess sein. Automatisierte Systeme können jedoch dabei helfen, den Prozess zu rationalisieren. Allerdings muss ein Unternehmen die Kategorien und Kriterien festlegen, die zur Klassifizierung von Daten verwendet werden, seine Ziele verstehen und definieren, die Rollen und Verantwortlichkeiten der Mitarbeiter bei der Aufrechterhaltung ordnungsgemäßer Datenklassifizierungsprotokolle umreißen sowie Sicherheitsstandards implementieren, die mit den Datenkategorien und Tags übereinstimmen. Wenn dieser Prozess richtig durchgeführt wird, bietet er Mitarbeitern und Dritten, die an der Speicherung, Übertragung oder Abfrage von Daten beteiligt sind, einen operativen Rahmen.
Die folgenden Schritte kennzeichnen eine effektive Datenklassifizierung
- Data Discovery: Ein detaillierter Blick auf den Standort der aktuellen Daten und alle Vorschriften, die für das Unternehmen gelten, ist der beste Ausgangspunkt für eine effektive Datenklassifizierung. Um alle sensiblen Daten zu identifizieren, die klassifiziert und geschützt werden sollen, muss das Unternehmen zunächst wissen, nach welchen Daten gesucht wird – beispielsweise personenbezogene Daten, Kreditkarteninformationen oder geistiges Eigentum. Verantwortliche sollten sich auf die Orte konzentrieren, an denen diese Daten vermutlich zu finden sind, von Endpunkten und Servern bis hin zu Datenbanken On-Premises und der Cloud. Dabei ist die Data Discovery kein einmaliges Ereignis, sondern ein kontinuierlicher Prozess, wobei Daten im Ruhezustand, in der Übertragung und Nutzung im gesamten Unternehmen berücksichtigt werden sollten.
- Erstellung einer Richtlinie zur Datenklassifizierung: Die Einhaltung der Datenschutzprinzipien in einer Organisation ist ohne eine entsprechende Richtlinie fast unmöglich. Das Erstellen einer Richtlinie sollte daher oberste Priorität sein. Unternehmen sollten klar intern kommunizieren, wie die Klassifizierung zur Umsatzsteigerung, Kostenreduzierung und Risikominderung beitragen kann. Es muss sichergestellt werden, dass die Benutzer die Richtlinien kennen und nachvollziehen können, weshalb das Programm eingeführt wird. Eine wirksame Richtlinie sorgt für ein Gleichgewicht zwischen der Vertraulichkeit und Privatsphäre von Mitarbeitern und Anwendern sowie der Integrität und Verfügbarkeit der zu schützenden Daten.
- Priorisieren und Organisieren von Daten: Nachdem Unternehmen eine Richtlinie erstellt und einen Überblick über ihre aktuellen Daten haben, folgt deren Klassifizierung, basierend auf ihrer Sensibilität und den notwendigen Schutzvorkehrungen. Viele Verantwortliche verzetteln sich bei Datenklassifizierungsprojekten aufgrund zu komplexer Klassifizierungsschemata. Typischerweise erhöht das Hinzufügen weiterer Sets die Komplexität, aber nicht die Qualität. Unternehmen sollten deshalb mit drei Kategorien beginnen, um den Einstieg drastisch zu vereinfachen.
Viele der heutigen Datenklassifizierungs-Tools sind automatisiert und die Klassifizierung kann auf Basis von Kontext (z. B. Dateityp) und Inhalt (z. B. Fingerabdruck) erfolgen. Diese Option kann teuer sein und ein hohes Maß an Feinabstimmung erfordern, aber wenn sie einmal läuft, ist sie extrem schnell und die Klassifizierung kann beliebig oft wiederholt werden.
Es ist auch möglich, die Klassifizierung einer Datei manuell zu wählen. Dieser Ansatz beruht auf einem Datenexperten, der den Klassifizierungsprozess leitet, und kann zeitintensiv sein. In Unternehmen, in denen der Klassifizierungsprozess kompliziert und subjektiv ist, kann jedoch ein manueller Ansatz bevorzugt werden.
Manche Unternehmen entscheiden sich auch dafür, den Klassifizierungsprozess an einen Dienstleister auszulagern. Obwohl dies in der Regel nicht die effizienteste oder kostengünstigste Option ist, kann es eine einmalige Klassifizierung von Daten liefern, um eine Momentaufnahme zu erhalten, wo das Unternehmen in Bezug auf Compliance und Risiko aktuell steht.
Datenschätze sinnvoll nutzen und schützen
Die Klassifizierung von Daten erleichtert nicht nur deren Auffindbarkeit. Sie ist eine notwendige Maßnahme, damit moderne Unternehmen ihre steigenden Datenmengen sinnvoll nutzen und vor potenziellen Sicherheitsrisiken schützen können. Einmal implementiert, bietet die Datenklassifizierung einen organisierten Rahmen, der Datenschutzmaßnahmen erleichtert und die Einhaltung der Sicherheitsrichtlinien durch die Mitarbeiter effektiv unterstützt.
Tim Bandos ist Chief Information Security Officer bei Digital Guardian.