NicoElNino - stock.adobe.com
Datenklassifizierung: Was es ist und warum man es braucht
Compliance, optimaler Schutz von Daten, Verfügbarkeit, Analysefähigkeit und die kostengünstige Speicherung sind Gründe, warum Datenklassifizierung so wichtig ist.
CIOs und IT-Manager, die an einem Projekt arbeiten, das in irgendeiner Weise mit Daten zu tun hat, sind immer dann erfolgreich, wenn das Unternehmen einen klaren Überblick über die Daten hat, die es besitzt.
Immer mehr Unternehmen verwenden Datenklassifizierungen, um Informationen auf der Grundlage ihrer Sensibilität und Vertraulichkeit sowie ihrer Bedeutung für das Unternehmen zu erfassen.
Daten, die für den Betrieb kritisch sind oder geschützt werden müssen – wie Kundendaten oder geistiges Eigentum – werden eher verschlüsselt, mit Zugriffskontrollen versehen und auf den robustesten Speichersystemen mit dem höchsten Redundanzgrad gehostet.
AWS beispielsweise definiert Datenklassifizierung als „eine Möglichkeit, Unternehmensdaten auf der Grundlage von Kritikalität und Sensibilität zu kategorisieren, um Sie bei der Festlegung angemessener Schutz- und Aufbewahrungskontrollen zu unterstützen.“
Datenschutzmaßnahmen können jedoch kostspielig sein, sowohl in finanzieller Hinsicht als auch in Bezug auf die Komplexität der Arbeitsabläufe. Nicht alle Daten sind gleich, und nur wenige Unternehmen verfügen über ein unerschöpfliches IT-Budget für Datensicherung.
Eine klare Policy für Datenklassifizierung sollte jedoch die Compliance sicherstellen und die Kosten optimieren – und sie kann Unternehmen dabei unterstützen, ihre Daten effektiver zu nutzen.
Wozu dient Datenklassifizierung?
Richtlinien und Policies zur Datenklassifizierung gehören zu den Grundlagen im IT-Werkzeugkasten. Unternehmen verwenden Policies als Teil ihrer Business-Continuity- und Disaster-Recovery-Planung, einschließlich der Festlegung von Backup-Prioritäten.
Sie verwenden sie, um die Einhaltung von Vorschriften wie EU-DSGVO, PCI-DSS und HIIPA zu gewährleisten. Diese Richtlinien sind von grundlegender Bedeutung für eine wirksame Datensicherheit, da sie Regeln für die Verschlüsselung, den Datenzugriff und dazu festlegen, wer Informationen ändern oder löschen darf.
Richtlinien zur Datenklassifizierung sind auch ein wichtiger Bestandteil der IT-Kostenkontrolle durch Speicherplanung und -optimierung. Dies wird immer wichtiger, da Unternehmen ihre Daten in der Public Cloud mit ihren verbrauchsabhängigen Preismodellen speichern.
Es ist aber auch wichtig, die richtigen Speichertechnologien auf die richtigen Daten abzustimmen, von Hochleistungs-Flash-Storage für Transaktionsdatenbanken bis hin zu Bandlaufwerken für die Langzeitarchivierung. Andernfalls können Unternehmen die Storage-Leistung und die damit verbundenen Rechen- und Netzwerkkosten nicht an die Kritikalität der Daten anpassen.
Da Unternehmen versuchen, mehr Wert aus ihren Informationen zu schöpfen, hat die Datenklassifizierung noch eine weitere Funktion – sie hilft beim Aufbau von Data-Mining- und Analysefunktionen.
„Das Thema Datenmanagement hat in den letzten Jahren in den Führungsteams vieler Unternehmen an Bedeutung gewonnen“, sagt Alastair McAulay, IT-Strategieexperte bei PA Consulting. „Hierfür gibt es zwei wichtige Gründe. Der erste Treiber ist ein positiver: Unternehmen wollen den Wert ihrer Daten maximieren, sie von einzelnen Systemen befreien und sie dort platzieren, wo sie von Analyse-Tools abgerufen werden können, um Einblicke zu gewinnen und die Unternehmensleistung zu verbessern. Der zweite Treiber ist ein negativer, bei dem Unternehmen entdecken, wie wertvoll ihre Daten für andere Parteien sind.“
Unternehmen müssen ihre Daten nicht nur vor dem Eindringen böswilliger Hacker schützen, sondern auch vor Ransomware-Angriffen, dem Diebstahl geistigen Eigentums und sogar vor dem Missbrauch von Daten durch vertrauenswürdige Dritte. Wie McAulay mahnt, können Unternehmen dies nur kontrollieren, wenn sie über ein robustes System zur Kennzeichnung und Nachverfolgung von Daten verfügen.
Was berücksichtigen Richtlinien zur Datenklassifizierung?
Wirksame Richtlinien zur Datenklassifizierung beginnen mit den drei Grundprinzipien des Datenmanagements:
- Vertraulichkeit
- Integrität
- Zugriff/Verfügbarkeit
Dieser Dreiklang wird am häufigsten mit Datensicherheit in Verbindung gebracht, ist aber auch ein nützlicher Ausgangspunkt für Datenklassifizierung.
Vertraulichkeit umfasst Sicherheits- und Zugangskontrollen, die sicherstellen, dass nur die richtigen Personen auf die Daten zugreifen können, sowie Maßnahmen zur Vermeidung von Datenverlusten.
Integrität stellt sicher, dass den Daten während ihres Lebenszyklus vertraut werden kann. Dazu gehören Backups, Sekundärkopien und von den Originaldaten abgeleitete Datenträger, zum Beispiel durch eine Business-Intelligence-Anwendung.
Verfügbarkeit umfasst Hardware- und Softwaremaßnahmen wie Business Continuity, Backup und Disaster Recovery sowie die Systemverfügbarkeit und sogar den einfachen Zugriff auf die Daten für autorisierte Benutzer.
CIOs und Chief Data Officers werden diese Grundsätze erweitern wollen, um sie an die spezifischen Bedürfnisse ihrer Organisationen und die von ihnen gehaltenen Daten anzupassen.
Dazu gehören detailliertere Informationen darüber, wer in der Lage sein sollte, Daten einzusehen oder zu ändern, bis hin zu den Anwendungen, die darauf zugreifen können, zum Beispiel über Programmierschnittstellen (APIs). Datenklassifizierung legt aber auch fest, wie lange die Daten aufbewahrt werden sollen, wo sie gespeichert werden sollen, wie oft sie gesichert werden sollen und wann sie archiviert werden sollen.
„Eine gute Datensicherungsrichtlinie kann sich durchaus auf eine Data Map stützen, damit alle von der Organisation verwendeten Daten lokalisiert und identifiziert und somit in den entsprechenden Sicherungsprozess einbezogen werden können“, sagt Stephen Young, Direktor beim Datensicherungsanbieter AssureStor. „Wenn ein Ausfall eintritt, kann nicht alles auf einmal wiederhergestellt werden.“
Was sind wichtige Elemente einer Datenklassifizierungsrichtlinie?
Eines der offensichtlichsten Beispiele für Datenklassifizierung sind Organisationen, die über sensible Regierungsdaten verfügen. Diese Daten sind mit Schutzkennzeichnungen versehen, die von Datenmanagement- und Datensicherungs-Tools verfolgt werden können.
Unternehmen können dies nachahmen, indem sie ihre eigenen Klassifizierungen erstellen, zum Beispiel indem sie Finanz- oder Gesundheitsdaten aussondern, die bestimmten Branchenvorschriften entsprechen müssen.
Oder Unternehmen möchten Daten auf der Grundlage ihrer Vertraulichkeit, etwa in Bezug auf Forschung und Entwicklung oder Finanzgeschäfte, oder ihrer Bedeutung für kritische Systeme und Geschäftsprozesse klassifizieren. Ohne eine Klassifizierungsrichtlinie sind Unternehmen nicht in der Lage, Regeln für den angemessenen Umgang mit den Daten aufzustellen.
Eine gute Datenklassifizierungsrichtlinie „ebnet den Weg für Verbesserungen der Effizienz, der Servicequalität und der Kundenbindung, wenn sie effektiv eingesetzt wird“, sagt Fredrik Forslund, Vice President International beim Datensicherungsspezialisten Blancco.
Eine solide Policy hilft Unternehmen auch beim Einsatz von Tools, die einen Großteil des Aufwands für das Management des Datenlebenszyklus und die Compliance abnehmen. Amazon Macie zum Beispiel nutzt maschinelles Lernen und Mustervergleiche, um Datenspeicher auf sensible Informationen zu überprüfen. Auch Microsoft verfügt über eine immer umfassendere Palette von Kennzeichnungs- und Klassifizierungs-Tools in Azure und Microsoft 365.
Wenn es jedoch um die Klassifizierung von Daten geht, sind die Tools nur so gut wie die Richtlinien, die sie steuern. Angesichts der zunehmenden Sensibilität der Vorstände für Daten und IT-bezogene Risiken sollten Unternehmen, die mit den in ihrem Besitz befindlichen Daten verbundenen Risiken prüfen, einschließlich der Risiken, die von Datenlecks, Diebstahl oder Ransomware ausgehen.
Diese Risiken sind nicht statisch. Sie werden sich im Laufe der Zeit weiterentwickeln. Aus diesem Grund müssen auch die Richtlinien zur Datenklassifizierung flexibel sein. Aber eine richtig konzipierte Richtlinie hilft bei der Einhaltung der Vorschriften und bei den Kosten.
Was sind Vorteile der Datenklassifizierung?
Es lässt sich nicht vermeiden, dass die Erstellung einer Datenklassifizierungsrichtlinie zeitaufwändig ist und technisches Fachwissen aus Bereichen wie IT-Sicherheit, Speicherverwaltung und Geschäftskontinuität erfordert. Auch die Geschäftsleitung muss bei der Klassifizierung von Daten mitwirken und die Einhaltung von Gesetzen und Vorschriften sicherstellen.
Experten auf diesem Gebiet sagen jedoch, dass eine Richtlinie erforderlich ist, um die Sicherheit zu gewährleisten, die Kosten zu kontrollieren und eine effektivere Nutzung der Daten in der Unternehmensplanung und -verwaltung zu ermöglichen.
„Die Datenklassifizierung hilft Unternehmen, Risiken zu verringern und die allgemeine Compliance- und Sicherheitslage zu verbessern“, sagt Stefan Voss, Vice President Product Management bei N-able. „Sie hilft auch bei der Kostendämpfung und Rentabilität durch die Senkung der Speicherkosten und eine größere Transparenz bei der Rechnungsstellung.“
Außerdem ist Datenklassifizierung ein Eckpfeiler für andere Richtlinien, wie zum Beispiel Data Lifecycle Management (DLM). Und sie unterstützt IT-Manager, effektive Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) für ihre Backup- und Disaster-Recovery-Pläne zu erstellen.
Letztlich können Unternehmen ihre Daten nur dann effektiv verwalten, wenn sie wissen, welche Daten sie haben und wo sie sich befinden.
