Warum Datenklassifizierung?

So klassifizieren Unternehmen Daten zu ihrem Vorteil

Von in IT-Sicherheit
19
Mai
'21

Datenklassifizierung. Das klingt schon wieder nach einem Thema, das viele Unternehmen lieber vor sich herschieben. Dabei macht es für sie durchaus Sinn, ihre Unternehmensdaten zu klassifizieren – und zwar nicht nur um gesetzliche Bestimmungen einzuhalten. 

Wir erklären, warum Datenklassifizierung wichtig ist und wie sie funktioniert.

Zu sehen ist eine Aktenmatte mit verschiedenen Fächern, eine Person sortiert ein Papier ein. Sie nutzt die Datenklassifizierung. Bild: Pexels/Anete Lusina

Manche Daten sind wichtiger, andere weniger. Eine Datenklassifizierung ist daher wichtig. Bild: Pexels/Anete Lusina

Datenberge türmen sich auf

Sie wissen: Die Datenberge wachsen in so ziemlich jedem Unternehmen immer weiter in die Höhe. Im Fachjargon bezeichnet man die beiden Datenformate innerhalb dieser Datenberge als strukturierte und unstrukturierte Daten. Und die Fachspezialisten sind sich darüber einig, dass die unstrukturierten Daten zur Zeit eines der größten Probleme bei der Speicherung von Daten darstellen – auch wenn Speicherkapazitäten immer größer werden und die Last der Datenberge prinzipiell tragen könnten. Was ist also genau das Problem?

Ganz einfach: Je größer die ungeordneten Datenberge werden, desto schwieriger wird es, den Überblick über all die Informationen zu bewahren – und genau die Information zu finden, die akut benötigt wird. Das erschwert einerseits die Arbeitsabläufe im Unternehmen; andererseits kann dies bezüglich IT-Sicherheit und Datenschutz zu Konflikten führen.

Glücklicherweise gibt es für dieses Problem aber auch eine Lösung. Denn: Mit einer durchdachten Strategie zur Datenklassifizierung lassen sich unstrukturierte Daten sortieren und bewerten. Erfahren Sie hier, was Datenklassifizierung konkret ist, wie sie funktioniert und welche Vorteile sie hat.

Was ist Datenklassifizierung?

Der Begriff Datenklassifizierung bezeichnet einen fortlaufenden Prozess, bei dem Daten in verschiedenen Kategorien organisiert werden, um einerseits eine effiziente Nutzung dieser Daten zu ermöglichen und andererseits besonders kritische Daten im Unternehmen in besonderem Maße schützen zu können. Die Datenklassifizierung ist also nicht nur ein Element des Daten-Managements, sondern auch des Risiko-Managements, welches wiederum die IT-Sicherheit und die Einhaltung rechtlicher Vorgaben unterstützt.

Meist kommt dabei eine drei- bis fünfstufige Klassifizierung zum Tragen. Wie die Anzahl der Stufen variiert auch deren Bezeichnung. Eine recht typische Einordung erfolgt in diesen vier Klassifizierungsebenen:

  • Öffentliche Daten:
    Unter öffentliche Daten fallen Informationen, die mit der Öffentlichkeit geteilt werden dürfen und beispielsweise auf der Internetseite eines Unternehmens einzusehen sind. Das können die Adresse des Firmenstandorts, ein Werbeprospekt über die Leistungen oder Informationen zur Firmenhistorie sein. Diese Daten erfordern keine speziellen Schutzmechanismen.
  • Interne Daten:
    Die internen Daten dürfen nur innerhalb des Unternehmens verfügbar sein. Sprich: Nur die eigenen Mitarbeiter haben darauf Zugriff. Dabei kann es sich um Telefonlisten mit der Durchwahl aller Mitarbeiter handeln, um Informationen zur Strategie des Unternehmens oder um interne Richtlinien. Dementsprechend sind interne Daten auch vor dem Zugriff von außen abzuschirmen.
  • Vertrauliche Daten:
    In der Regel sind vertraulichen Daten nur für einen begrenzten Kreis innerhalb der Mitarbeiterschaft bestimmt. Typische Beispiele dafür sind Gehaltslisten oder auch Personalakten. Diese Daten sind dann noch besser vor dem Zugriff von außerhalb zu schützen, zudem sind Zugriffsrechten innerhalb des Unternehmens zuzuweisen.
  • Geheime Daten:
    Auf geheime Daten dürfen nur ganz bestimmte Personen zugreifen. Dazu zählen unter anderem Bankdaten, Finanzunterlagen oder auch Authentifizierungsdaten. Da solche Informationen in den falschen Händen großen Schaden anrichten können, gilt für geheime Daten entsprechend die höchste Sicherheitsstufe.

Es reicht aber nicht, diese oder ähnliche Klassifizierungsstufen auszumachen – sie müssen auch aktiv angewendet und mit den notwendigen Schutzmechanismen versehen werden. Das ist besonders wichtig, damit Datenschutz-Richtlinien eingehalten werden.

Daten klassifizieren – wichtig für den Datenschutz

Im Grunde lässt es sich so formulieren: Um die Datenschutzgrundverordnung (DSGVO) einzuhalten, ist in jedem größeren Unternehmen eine Datenklassifizierung unumgänglich. Denn nur diejenigen Unternehmen, die definiert haben, welche (sensiblen) Daten besonders zu schützen sind, welche Daten nach einer bestimmten Zeit gelöscht werden können beziehungsweise dürfen und welche Daten mit Zugriffsbeschränkungen zu versehen sind, können im Kreuzverhör zum Umgang mit personenbezogenen Daten und zu Aufbewahrungspflichten bestehen.

Dazu müssen sie natürlich auch die entsprechenden Sicherheitsmechanismen, gemäß der jeweiligen Klassifizierung, implementiert haben und zudem nachhalten können, wo Daten vorschriftsgemäß auffindbar sind. Eine implementierte und gelebte Datenklassifizierung sorgt also nicht nur für Transparenz, sondern auch dafür, dass die Compliance fest im Geschäftsalltag verankert ist. Neben der DSGVO gibt es übrigens noch einige weitere Compliance-Richtlinien, die auf eine Datenklassifizierung in Unternehmen Wert legen.

Die Hände einer Person sortieren Notizzettel. Die Person plant die Datenklassifizierung. Bild: Unsplash/UX Indonesia

Damit die Datenklassifizierung sauber funktioniert, braucht es eine Strategie. Bild: Unsplash/UX Indonesia

Datenklassifizierung – wichtige Schritte für Unternehmen

Wenn Sie in Ihrem Unternehmen noch keine Datenklassifizierung anwenden, sollten Sie dringend darüber nachdenken, es zu tun. Denn: Die Datenklassifizierung gehört zu einer IT-Sicherheitsstrategie eigentlich zwingend dazu – vor allem wenn der Blick in Richtung der erwähnten Compliance-Richtlinien geht. Besser ist also, Sie gehen das Thema zeitnah an – bevor die für Ihr Unternehmen zuständige Datenschutzbehörde unverhofft ein IT-Sicherheitsaudit ankündigt. Eine gute Nachricht vorweg: Es gibt glücklicherweise externe IT-Dienstleister, die Unternehmen auch bei der komplexen Aufgabe der Datenklassifizierung unterstützen!

Aber wie können Sie – ob mit oder ohne Unterstützung – die Einführung der Datenklassifizierung in Ihrem Unternehmen konkret angehen? Wir haben dazu die wichtigsten Schritte für Sie zusammengestellt und wollen Ihnen diese in den folgenden Abschnitten nach und nach erklären.

1. Schritt: Strategie & Richtlinie zur Datenklassifizierung definieren

In diesem ersten Schritt geht es darum, eine Strategie zu erstellen. Überlegen Sie sich, vielleicht in einer kleinen Taskforce, welche Kategorien Sie bei der Datenklassifizierung anwenden wollen, welche Regeln Sie zur Kategorisierung aufstellen möchten, wie Sie den neuen Datenklassifizierungsprozess in die bestehenden Arbeitsabläufe einbinden können, welche Rollen, Verantwortlichkeiten und Zugriffsrechte Sie einführen wollen und wie die Datenschutz-Maßnahmen bei den jeweiligen Kategorien aussehen sollen.

Haben Sie all das erledigt, geht es an die Erstellung einer Richtlinie, mit der später alle Mitarbeiter, die mit sensiblen Daten umgehen, arbeiten können. Es empfiehlt sich, dass Sie darin zunächst die Gründe für die Einführung einer Datenklassifizierung sowie die Ziele nennen. Außerdem sollten Sie darin den Arbeitsablauf des Datenklassifizierungsprozesses darzustellen – mit Hinweisen darauf, welche Auswirkungen diese neue Methodik auf die Arbeit des einzelnen Mitarbeiters hat.

2. Schritt: Bestandsaufnahme durchführen

Im Rahmen einer umfassenden Ist-Analyse verschaffen Sie sich zunächst einen Überblick über die Art und die Verteilung der (vertraulichen) Daten in Ihrem Unternehmen. Die Schwierigkeit besteht an dieser Stelle darin, dass Sie wirklich sämtliche Speichermöglichkeiten im Blick haben. Damit Ihre Datenklassifizierungsstrategie am Ende tatsächlich aufgeht, sollten Sie unbedingt alle im Unternehmen verwendeten Speicherorte mit einbeziehen – sprich das Netzwerk, die Cloud und die Endgeräte.

Helfen kann bei diesem wichtigen Schritt auch eine Spezial-Software, die Daten unternehmensweit aufspürt. Ohne ein solches Tool kann es sogar fast unmöglich werden, einen Überblick über die aktuelle Datenverteilung zu erhalten – und dadurch wird es wieder mit dem Datenschutz schwierig. Solche Tools können aber noch viel mehr als Daten aufspüren – was genau erfahren Sie im nächsten Schritt.

Zu sehen sind Papiere, eines trägt die Kennzeichnung "Classified". Es geht um die Datenklassifizierung. Bild: Unsplash/AbsolutVision

Legen Sie fest, welche vertraulichen Daten nur einem kleinen Personenkreis zur Verfügung stehen. Bild: Unsplash/AbsolutVision

3. Schritt: Daten nach Klassifizierung kennzeichnen

Im dritten Schritt geht es an die praktische Anwendung der  Klassifizierungsrichtlinien. Dazu sind die gesammelten Daten entsprechend der im ersten Schritt festgelegten Kategorisierung zu kennzeichnen – am besten sowohl durch visuelle Labels als auch mit Hilfe von Metadaten. Diese Kennzeichnung kann manuell vorgenommen werden, was aber aufgrund der Menge an Daten ein sehr langwieriger Prozess wäre. Vor allem bei der manuellen Vorgehensweise macht es Sinn, Pakete von einigen Gigabyte an Daten schnüren und diese nach und nach abzuarbeiten.

Oder Sie machen es sich etwas einfacher und nutzen eines der in Schritt 2 erwähnten Spezial-Tools. Diese intelligenten Lösungen können Daten nämlich automatisch anhand von Regeln in die Datenkategorien einordnen. Dafür werden die vom Unternehmen in Schritt 1 erarbeiteten Regeln sowie im Tool verankerten Musterregeln verwendet, die automatisiert Metadaten, definierbare Textmuster und Vergleichsverfahren für die Bewertung mit einbeziehen. Einige dieser Tools leiten anhand von Compliance-Vorgaben sogar ab, welche Dateien besonderen Schutz bedürfen und geben entsprechend Empfehlungen ab.

4. Schritt: Sicherheit und Compliance überprüfen

Nach der Kennzeichnung der Daten müssen Sie sicherstellen, dass die Klassifizierung auch funktioniert. Sprich: Werden die Daten gemäß Ihrer Kategorie tatsächlich durch die in Schritt 1 definierten Datenschutz-Maßnahmen geschützt? Prüfen Sie nach, ob die in der Theorie festgelegten Mechanismen in der Praxis greifen. Dieser vierte Schritt ist essenziell. Denn nur durch diese Absicherung des Prozesses ist der Datenschutz letztendlich gewährleistet und die Compliance-Richtlinien werden eingehalten.

Wichtig ist auch, dass Sie Wiederholungen dieses Schrittes auch in Ihre späteren Abläufe einplanen. Es kommen schließlich jeden Tag neue Daten hinzu, die Ihre Mitarbeiter gemäß der Klassifizierungsrichtlinien kennzeichnen. Von Zeit zu Zeit sollten Sie auch bei diesen neuen Daten prüfen, ob die Datenklassifizierung und in der Folge die Absicherung getreu der Richtlinie stattgefunden hat.

Datenklassifizierung: nach der Arbeit Früchte ernten

Zugegebenermaßen klingt das alles erst einmal nach einem recht komplizierten Prozess. Aber: Nach dem initialen Aufwand und der Implementierung der Datenklassifizierungsstrategie und ihrer Schutzmechanismen können Sie die Früchte ernten. Die Datenklassifizierung bringt Ihrem Unternehmen nämlich entscheidende Vorteile:

  • Mit der Klassifizierung von Daten führen Sie ein Grundelement einer umfassenden IT-Sicherheit ein – schließlich ist der Schutz von Daten ein wesentliches Ziel einer jeden IT-Sicherheitsstrategie.
  • Die Angst davor, dass Daten in die falschen Hände geraten, können Sie ad acta legen. Dank Zugriffsmanagement gemäß der Kategorisierung wissen Sie, welche Personen Daten einsehen kennen – und welche nicht.
  • Sie können sicher sein, dass der Umgang mit sensiblen, personenbezogenen Daten in Ihrem Unternehmen korrekt abläuft – und können zumindest in diesem Punkt einem Audit durch die Datenschutzbehörde gelassen entgegen sehen.
  • Investitionen in IT-Sicherheitsmaßnahmen können Sie gezielter tätigen: Für geheime Daten beispielsweise können Sie kostenintensivere Maßnahmen, für interne Daten günstigere Methoden wählen. Budget und andere Ressourcen werden folglich effizienter eingesetzt.
  • Mit der Datenklassifizierung haben Sie den Durchblich bezüglich sämtlicher im Unternehmen vorhandenen Daten. Sie wissen genau, was wo gespeichert ist und wie Sie an bestimmte Daten kommen. Dadurch können Sie an Ende des Tages auch viel größeren Nutzen aus dem vorhandenen Datenpool ziehen.

Unterm Strich zahlt sich der zeitliche und finanzielle Aufwand für die Einführung der Datenklassifizierung also auf jeden Fall aus. Dennoch ist es durchaus verständlich, wenn Sie vor dieser augenscheinlichen Mammutaufgabe vielleicht noch zurückschrecken.

IT-Experten helfen beim Daten-Management

Sollten Sie in Ihrem Unternehmen nicht die notwendige Expertise für die Entwicklung einer IT-Sicherheitsstrategie im Allgemeinen und einer Datenklassifizierung im Besonderen haben, gibt es zum Glück Spezialisten, die ihre Fachkenntnis gern in den Dienst ihrer Kunden stellen. Auch unter den Experten aus dem IT-SERVICE.NETWORK finden Sie solche Spezialisten.

Viele der IT-Systemhäuser, die sich dem IT-SERVICE.NETWORK angeschlossen haben, bieten auch eine Datenschutzberatung an und können in diesem Zusammenhang auch Software-Lösungen zur Datensuche und Datenklassifizierung empfehlen. Auf Wunsch übernehmen sie auch die Beschaffung und Implementierung des Tools Ihrer Wahl und stehen Ihnen dauerhaft als Datenschutzbeauftragter zur Seite.

Sollten Sie Interesse an IT-Services rund um die Themen IT-Sicherheit und Datenschutz haben, nehmen Sie einfach Kontakt zu unserem IT-Partner in Ihrer Nähe auf – wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
Springer Link, ComputerWeekly, Datacenter Insider, netwrix, tecchannel, ResearchGate

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.