kentoh - Fotolia
Daten klassifizieren und die Informationssicherheit erhöhen
Wenn Unternehmen sensible Daten schützen wollen und müssen, kommen sie nicht umhin, diese entsprechend einzuordnen. Das dient der Sicherheit und dem Datenschutz gleichermaßen.
Die IDC prognostiziert, dass das weltweite Datenaufkommen bis 2025 voraussichtlich 175 Zettabytes erreichen wird und dass dieses größtenteils von Unternehmen generiert wird. Gleichzeitig haben viele Unternehmen Schwierigkeiten, festzustellen, welche dieser Daten vertraulich sind und wo sie sich befinden. Allerdings ist ein solches Wissen um die eigenen Daten unabdinglich, um ein angemessenes Schutzniveau gewährleisten zu können.
Mithilfe von Datenklassifizierung kann diese Herausforderung gemeistert werden. IT-Teams bekommen so die Möglichkeit, sensible Dateien kontinuierlich aufzuspüren, sie ihrer Sensibilität entsprechend zu kennzeichnen und Sicherheitskontrollen auf Basis ihrer Klassifizierungslabels durchzuführen.
Doch die Komplexität der Datenflüsse in modernen Unternehmen macht es Sicherheitsexperten schwer, die Einhaltung der Datenschutzrichtlinien sowie die Klassifizierung und den Schutz aller sensiblen Daten zu gewährleisten. Aus diesem Grund müssen Unternehmen verschiedene Ansätze zur Datenklassifizierung erwägen, um ein effizientes, präzises und nutzerfreundliches Konzept zu finden.
Welche Ansätze zur Datenklassifizierung gibt es?
Die Datenklassifizierungstechnologie ist aus dem Management von firmeninternem Wissen hervorgegangen, wo sie den Unternehmen hilft, ihre Unternehmensinhalte zu verwalten. Jetzt wird sie auch auf den Bereich des Datenschutzes angewandt. Dies ist größtenteils auf Vorschriften zurückzuführen, nach denen Unternehmen ihre personenbezogenen Daten, geschützte Gesundheitsinformationen und andere sensible Daten gegen Unmengen nichtsensibler Inhalte abgrenzen müssen.
Daher ist es für Sicherheitsexperten wichtig, mit den Datenklassifizierungstypen und deren Einschränkungen vertraut zu sein:
- Nutzergesteuert (manuell). Die Erfahrung zeigt, dass es für Unternehmen nicht empfehlenswert ist, diesen Typ der Datenklassifizierung isoliert zu verwenden. Wenn Nutzer gezwungen sind, Daten manuell zu kennzeichnen, neigen sie dazu, die erste Option aus der Liste auszuwählen, nur um sich der Aufgabe schnell zu entledigen – was zu schlechten Klassifizierungsergebnissen führt. Er funktioniert jedoch gut, wenn er für unternehmensspezifische Datenkategorien komplementär verwendet wird.
- Regelbasiert (automatisiert). Dieser Typ der Datenklassifizierung beruht auf Passwörtern und einer Reihe von „WENN-DANN“-Regeln. Diese Methode funktioniert am besten, wenn Definitionen von Kategorien formalisiert werden, wie zum Beispiel persönliche Daten, die unter die DSGVO fallen. Sie ist einheitlich und genau. Da Daten jedoch in jedem Unternehmen einzigartig sind und durch integrierte Regeln kaum standardisiert werden können, kann dies sowohl zu falschen positiven als auch zu falschen negativen Ergebnissen führen. Daher ist für eine solche Methode ein Sicherheitsverantwortlicher erforderlich, der dutzende Regeln verwaltet. Und trotzdem besteht immer noch die Gefahr, dass wertvolle Daten zu starken Gefährdungen ausgesetzt sind.
- Maschinelles Lernen (automatisiert). Die Datenklassifizierung auf Basis maschinellen Lernens ist einfach zu skalieren und einzuführen. Es sind jedoch hochwertige Datensätze erforderlich, die auf einen effizienten Algorithmus abgestimmt sind, der auf die Bedürfnisse des einzelnen Unternehmens zugeschnitten ist. Ohne ausreichende Daten ist seine Genauigkeit schlecht. Zusätzliche Einschränkungen sind wahrscheinlichkeitsbasierte Ergebnisse, die ohne spezielle Pflege nicht einfach festzulegen sind.
Unterschiedliche Datenklassifizierungstypen kombinieren
Unternehmen sollten einen kombinierten Ansatz für die Datenklassifizierung wählen und dabei regelbasierte und auf maschinellem Lernen beruhende Methoden verwenden. Ein Beispiel für die Stärken von KI-basierten Methoden (künstlicher Intelligenz) ist die Einrichtung von Taxonomien.
Diese sind hilfreich, wenn ein Unternehmen klassische vertrauliche Datentypen, wie durch die DSGVO regulierte Daten und komplexe Daten speichert. Das können geistiges Eigentum (Intellectual Property, IP) oder Finanzdaten sein.
Beispielsweise, wenn die Klassifizierungstechnologie eines Unternehmens Kreditkarten mit 16-stelligen Nummern als Daten, die unter die DSGVO und den PCI-DSS fallen, von Dateien, die 16-stellige Lagereinheitennummern enthalten, unterscheiden muss, oder von anderen Dateien, die eine ähnliche Nummerierung haben, aber nicht zu den sensiblen Daten gehören. Um dies zu ermöglichen, schlägt das System zusätzliche Parameter vor, wie etwa „VISA“- oder „MasterCard“-Labels, gewichtet die einzelnen Parameter in der Taxonomie und führt eine genaue Analyse durch.
„Durch den Überblick über die sensiblen Daten kann das Sicherheitsteam gewährleisten, dass sich vertrauliche Daten an sicheren Orten befinden, und dass nur berechtigte Mitarbeiter darauf zugreifen.“
Jürgen Venhorst, Netwrix
Mit der erweiterten Datenklassifizierung können Unternehmen auch eine bestimmte Taxonomie von Grund auf neu erstellen, um geistiges Eigentum der Organisation, zum Beispiel Marketingpläne oder Blaupausen, zu identifizieren. Die KI lernt aus vorhandenen Datensätzen und macht Vorschläge, die auf komplexe Organisationsdaten zugeschnitten sind. Die manuelle Kennzeichnung kann auf bestimmte Probleme angewendet werden.
Durch den Überblick über die sensiblen Daten kann das Sicherheitsteam gewährleisten, dass sich vertrauliche Daten an sicheren Orten befinden, und dass nur berechtigte Mitarbeiter darauf zugreifen. Die Sichtbarkeit ermöglicht den IT-Spezialisten auch, ihre Schutzbemühungen auf wirklich wertvolle Daten zu konzentrieren, beispielsweise auf die Durchsetzung von Erkennungskontrollen und die Überwachung verdächtigen Benutzerverhaltens. Darüber hinaus kann die erweiterte Datenklassifizierung die Genauigkeit der DLP-Richtlinien (Data Loss Prevention) von Unternehmen verbessern.
Durch Integration in eine DLP-Lösung kann der unnütze Aufwand zur Sicherung nicht sensibler Objekte, die versehentlich gekennzeichnet wurden, auf ein Minimum reduziert werden. Darüber hinaus trägt dieser Ansatz dazu bei, die Qualität des Cybersicherheitstrainings für Mitarbeiter zu verbessern, da auf einfache Weise ermittelt werden kann, mit welchen Datentypen die verschiedenen Teams arbeiten. Außerdem kann ein gezieltes Training erstellt werden, das auf die spezifischen Bedürfnisse der Endbenutzer zugeschnitten ist.
In der Informationssicherheitsbranche herrscht zwar allgemeiner Konsens darüber, dass wir uns von der Perimeter-Verteidigung abgewandt und der Datensicherheit zugewandt haben. Es ist jedoch zu erwarten, dass der Bedarf an Technologie, mit der Unternehmen bei der Ermittlung der vorhandenen Daten Zeit sparen und ihre Datenschutzbemühungen optimieren können, weiter zunimmt.
Das sind gute Neuigkeiten, nicht nur für Sicherheitsmanager und IT-Teams, sondern für das gesamte Unternehmen. Schließlich besteht der Vorteil einer gut organisierten Datenmanagement-Strategie sowohl im geringeren Risiko für Datenschutzverletzungen als auch in einer verbesserten Mitarbeiterproduktivität.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
