Sergey Nivens - Fotolia
Datenklassifizierung: Wertvolle Daten schützen
Damit man wichtige Daten schützen kann, muss man wissen, dass es sich um solche handelt. Eine Datenklassifizierung hilft, die wertvollsten Daten bestmöglich zu schützen.
Wertvolle Daten verstecken sich überall im Unternehmen: Von Konstruktionsdaten für eigene Produkte in Hybrid Clouds über Software, die im SaaS-Modus genutzt wird, bis hin zu Produkten, die via Webshops an die Kunden gebracht werden – alle Bereiche können wertvolle Informationen und schützenswerte Daten enthalten. Um die wichtigen Daten aber richtig schützen zu können, müssen sie zunächst als solche erkannt werden. Eine systematische Datenklassifizierung schafft dafür die Grundlage.
Ziel einer Datenklassifizierung ist es, den Schutzbedarf vorhandener Daten festzulegen und zu kategorisieren. Die verschiedenen Kategorien legen dabei fest, wie schützenwert bestimmte Informationen sind und wie mit ihnen umzugehen ist.
Die Gründe für den Schutz von Daten können unterschiedlich sein. Personaldaten sind beispielsweise aufgrund gesetzlicher Vorgaben vertraulich zu behandeln, während Forschungs- und Entwicklungsdaten aus Wettbewerbsgründen geheim zu halten sind.
Die Einstufung von Daten kann sich auch ändern: So ist eine Produktbroschüre, weil sie ja für den öffentlichen Gebrauch gemacht ist, kaum schützenswert, in ihrem Entstehungsprozess allerdings schon. Klassifizierungen haben verschiedene Stufen, die zum Beispiel „intern“, „vertraulich“, „streng vertraulich“, „öffentlich“ lauten könnten. Für eine erfolgreiche Klassifizierung sind folgende Schritte wichtig.
Mit Bestandsaufnahme die Basis schaffen
Ohne zu wissen, welche Daten es im Unternehmen gibt, können die wertvollen Informationen nicht adäquat geschützt werden. Eine Bestandsaufnahme aller vorhandenen Daten schafft daher das Fundament für ihre Klassifizierung. Zunächst gilt es dazu, die Granularität der Abstufungen festzulegen. Hier hat sich der goldene Mittelweg bewährt.
Gibt es nämlich zu wenige Abstufungen, werden leicht auf der einen Seite zu viele und auf der anderen Seite zu wenige Daten als schützenswert eingestuft. Ist die Einstufung zu feingranular und zu komplex, wird sie oft nicht umgesetzt, weil sie interne Prozesse bei der Datenbearbeitung verkompliziert.
Und wenn die Datenklassifizierung nicht wirksam umgesetzt wird, kann das die IT-Sicherheit in Mitleidenschaft ziehen und zum Beispiel durch Datenmissbrauch wirtschaftliche Schäden zur Folge haben.
Nach Organisation oder System klassifizieren?
Eine Datenklassifizierung kann entweder der Unternehmensorganisation folgen, dann klassifiziert jeder Organisationsbereich seine Daten. Sie kann auch entsprechend der Systeme vorgenommen werden, in denen die Daten gespeichert sind.
Beides findet Anwendung und jeder Ansatz hat seine Vor- und Nachteile. Klassifiziert man nach Organisation, sollte das Modell darauf ausgerichtet sein, dass Informationen möglicherweise in unterschiedlicher Form an verschiedenen Orten vorliegen.
„Je stärker die Unternehmen ihre Geschäftsprozesse digitalisieren, desto wichtiger wird ein professionelles Daten-Management, das ihre wertvollsten Informationen mit den stärksten Sicherheitsmaßnahmen schützt.“
Julian Zach, msg
Klassifiziert man nach System, ist zwar gewährleistet, dass die Daten aus der richtigen Quelle erfasst werden. Allerdings könnten verschiedene Verantwortliche Daten mehrfach und uneinheitlich klassifizieren, für den Fall, dass mehrere Bereiche auf die gleichen Systeme und Daten zugreifen. Welchen dieser beiden Ansätze ein Unternehmen verfolgt oder ob ein gemischter Ansatz passender ist, muss jede Organisation für sich und gemäß ihrer Anforderungen prüfen.
Klassifizierungssoftware zur Unterstützung nutzen
Der Markt bietet verschiedene Tools, die ein Unternehmen bei der Datenklassifizierung unterstützen. Für die Auswahl einer passenden Klassifizierungssoftware müssen IT-Verantwortliche klären, ob sie eine inhalts- oder metadatenbasierte Klassifizierung bevorzugen. Eine Klassifizierung nach Metadaten kann schnell und automatisiert durchgeführt werden, hängt jedoch von der Qualität der Metadaten ab. Mit einer inhaltsbasierten Klassifizierung erhält man genauere Ergebnisse, weil die ebenfalls automatische Analyse die Dateninhalte auf Basis mehrerer Parameter präziser durchleuchtet.
Dadurch braucht die komplette Klassifizierung allerdings auch länger. Welches Vorgehen die Anforderungen eines Unternehmens am besten erfüllt, muss es anhand seiner Sicherheitsstrategie prüfen und für die Auswahl des Software-Tools berücksichtigen.
Praxistest und Schulung der Mitarbeiter
Sind die grundsätzlichen Entscheidungen für die Datenklassifizierung und das passende Software-Tool getroffen, kann es an die Einführung und Implementierung gehen. Ein Praxistest vor der Live-Schaltung ist wichtig, um die definierte Datenklassifizierung auf ihre Praxistauglichkeit zu prüfen. Neben dem Einsatz der technischen Systeme kommt es dann vor allem darauf an, dass die Mitarbeiter alle geplanten Prozesse und Maßnahmen umsetzen. Regelmäßige Schulungen über Hintergründe und das Vorgehen der Datenklassifizierung sind hier essenziell.
Je stärker die Unternehmen ihre Geschäftsprozesse digitalisieren, desto wichtiger wird ein professionelles Daten-Management, das ihre wertvollsten Informationen mit den stärksten Sicherheitsmaßnahmen schützt. Eine systematische und konsequente Datenqualifizierung schafft dafür beste Voraussetzungen.
Über den Autor:
Julian Zach ist IT Consultant bei msg.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
