Cloud-Daten mit Datenklassifizierungsrichtlinien schützen
Aufgrund vieler Risikofaktoren ist eine Datenklassifizierung in der Cloud unverzichtbar. Mit Sorgfalt können diese Risiken durch Klassifizierung und Compliance begrenzt werden.
Wenn IT-Teams beurteilen, ob Informationen in der Cloud gespeichert werden sollen, sollte die Datenklassifizierung ein wesentlicher Aspekt dieser Überlegungen sein.
Eine Richtlinie für die Datenklassifizierung in der Cloud sollte mit den bereits im Unternehmen geltenden Richtlinien zur Datenklassifizierung beginnen. Die meisten Richtlinien teilen die Daten in zwei Kategorien ein, zum Beispiel in öffentlich und geschützt. Die Klassifizierung von Cloud-Daten sollte detaillierter sein, um Fragen der Risikotoleranz zu berücksichtigen.
Da die Europäische DSGVO fast überall vorgeschrieben ist, werden wir sie als Beispiel verwenden. Die DSGVO ergibt sich aus der Tatsache, dass Online-Geschäftsbeziehungen es Unternehmen ermöglichen, viel über ihre Nutzer herauszufinden. Diese Datenerfassung könnte die Privatsphäre und sogar die Sicherheit gefährden, wenn sie nicht kontrolliert wird. Der wichtigste Grundsatz der DSGVO ist, dass sie alles schützt, was eine Person aus der Masse heraushebt, auch wenn sie nicht namentlich genannt wird. Wenn ein Datenelement oder eine Kombination von verknüpfbaren Elementen eine direkte oder indirekte Identifizierung ermöglicht, dann müssen diese daten geschützt und unzugänglich für unerwünschten Zugriff sein. Das ist der wichtigste Schritt, der die Cloud-Klassifizierung von der traditionellen Datenklassifizierung trennt.
Erstellen Sie weitere Klassifizierungskategorien
Um Ihre aktuelle Datenklassifizierungsstrategie an eine Cloud-Computing-Umgebung anzupassen, müssen Sie verstehen, dass öffentliche und geschützte Kategorien nicht ausreichen. Für die Klassifizierung von Cloud-Daten ist mindestens eine Kategorie erforderlich, die aus Daten besteht, die spezifisch mit einer Person verknüpft sind und die, wenn sie mit anderen derartigen Daten kombiniert werden, ausreichen könnten, um ein Profil einer Person zu erstellen. Dazu gehören Informationen wie Standort, Verkäufe, gesendete oder empfangene Anrufe oder Nachrichten. Beachten Sie, dass auch vertikal-spezifische Vorschriften wie HIPAA in den USA dieser Personenkategorie zugeordnet werden können, was diesen Ansatz universell macht.
Abbildung 1: Mit diesen sechs Etappen lassen sich Daten klassifizieren und ihren Kategorien entsprechend vorhalten beziehungsweise schützen.
DSGVO und andere Datenschutzvorschriften, die regelmäßig auf Online- und Cloud-Aktivitäten angewandt werden, erzeugen auch eine zweite neue Kategorie, die als hochsensibel bezeichnet werden kann. Diese Informationen reichen bereits aus, um das Risiko der Identifizierung einer Person darzustellen. Der Name einer Person, ihre Adresse, ihr Ausweis und ähnliche Informationen fallen in diese Kategorie.
Überprüfen Sie die aktuellen Richtlinien zur Datenklassifizierung und ordnen Sie einige der darin enthaltenen Daten einer der neuen Kategorien zu. Überprüfen Sie gleichzeitig, wie Sie die Datenklassifizierung für jedes der Datenelemente aufzeichnen. Wenn die Klassifizierungszuweisungen nicht fest mit den Daten verbunden sind, ist die Wahrscheinlichkeit gering, dass der Klassifizierungsprozess effektiv ist. Das kann dazu führen, dass Ihr Unternehmen mit rechtlichen Schritten konfrontiert wird.
Implementierung einer Tagging-Strategie
Im nächsten Schritt müssen Sie entscheiden, wie Sie die Klassifizierungs-Tags für die Daten beibehalten wollen, wenn diese in die Cloud verschoben werden. Alle großen Cloud-Anbieter unterstützen einen Mechanismus für die Kennzeichnung von Ressourcen, und Sie sollten diesen Mechanismus – oder mehrere Mechanismen, im Falle einer Multi-Cloud – für jede Kategorie definieren. Gehen Sie dabei so granular wie möglich vor; eine Datenbank könnte Daten mit mehreren Klassifizierungen enthalten. Wenn keine Klassifizierung pro Feld möglich ist, weisen Sie eine Kennzeichnung zu, die das strengste Schutzniveau für ein beliebiges Feld darstellt und erst recht, wenn die Daten irgendetwas in der DSGVO-verknüpften persönlichen Klassifizierung enthalten.
Datenklassifizierungs-Tools wie Spirion, Netwrix und Ground Labs sind unerlässlich. Diese Tools können wahrscheinliche Klassifizierungen für Datenelemente identifizieren, Klassifizierungen auf verschiedenen Granularitätsebenen aufzeichnen und die Verknüpfung zwischen Elementen, die gleich oder abgeleitet sein können, darstellen.
Bei der Klassifizierung von Personen besteht die Gefahr, dass eine Sammlung unspezifischer Daten kombiniert wird und Personen indirekt identifiziert werden können.
Wenn eine Datendeduplizierung durchgeführt wurde, sollte es möglich sein, jedes Datenelement zu identifizieren und zu kennzeichnen und sicherzustellen, dass alle Daten korrekt gekennzeichnet sind. Andernfalls kann durch eine Form der Datenidentifizierung und Elementverknüpfung sichergestellt werden, dass alle Kopien derselben Daten auf die gleiche Weise gekennzeichnet sind. Einige Unternehmen müssen für diesen Schritt möglicherweise Daten-Discovery-Verfahren oder -Tools einsetzen.
Die Datenverwaltungspraktiken an die Cloud anpassen
Im Allgemeinen können Unternehmen alle Kategorien – mit Ausnahme der persönlichen Klassifizierung – in der Cloud genauso handhaben wie im Rechenzentrum. Sie müssen jedoch alle Klassifizierungen, die eingeschränktes Storage oder einen eingeschränkten Zugriff kennzeichnen, auf ihre Sicherheit hin überprüfen, wenn sie in der Cloud gehostet werden. Unternehmen sollten niemals Daten in die Cloud verschieben oder dort speichern, ohne die damit verbundenen Klassifizierungen zu überprüfen und sicherzustellen, dass die Sicherheit der Daten in der Cloud angemessen ist.
Bei der Klassifizierung von Personen besteht ein besonderes Risiko, dass eine Sammlung unspezifischer Daten kombiniert wird und Personen indirekt identifiziert werden können. Verschieben Sie diesen Datentyp nur dann, wenn eine kombinatorische Identifizierung nicht möglich ist oder wenn die Kombinationen, die eine Identifizierung ermöglichen könnten, verhindert werden.
In vielen Fällen verwenden Cloud-Anwendungen eine Reihe von Datenbanken, die zusammen ein Risiko für personenbezogene Daten darstellen können, je nachdem, wie auf sie zugegriffen wird. Auch zustandsorientierte Komponenten, das heißt solche, die Daten intern speichern, können ein Risiko darstellen, so dass diese Art von Daten aus Sicht der Einhaltung der Vorschriften als Datenbank betrachtet werden sollte.
