Nur wer weiß, wo sich seine Geschäfts- und Kunden-Daten befinden und welche Zugriffe von wem darauf erfolgen, ist in der Lage, seine Daten wirklich durchgängig zu schützen. Unternehmen können jedoch nur begrenzte Ressourcen in den Schutz ihrer Daten investieren. In ihrem Gastbeitrag stellt Marina Döhling vor, warum Dateninventur und Datenklassifizierung als Voraussetzung für Datenschutz notwendig und hilfreich sind.
Datenschutz und -kontrolle
Den Überblick und die Kontrolle über alle schützenswerten Daten im Unternehmen zu behalten, ist angesichts stetig wachsender verteilter und heterogener Datenhaltung in unterschiedlichen Cloud-Umgebungen wie z.B. Public und Private Cloud, Rechenzentren, einer Vielzahl an Endgeräten, Netzwerken, Datenhaltungssystemen sowie Remote Arbeitsplätzen eine große Herausforderung. Aber nur wer weiß, wo sich seine Geschäfts- und Kunden-Daten befinden und welche Zugriffe von wem darauf erfolgen, ist in der Lage, seine Daten wirklich durchgängig zu schützen. Die Dateninventur und Datenklassifizierung sind deshalb essenzielle Bestandteile jeder Sicherheitsstrategie.
Compliance-Standards einhalten
Für die Einhaltung des Datenschutzes und der Compliance-Richtlinien muss das Unternehmen sicherstellen, dass sensible, geschäftskritische sowie Mitarbeiter- und Kundendaten nur kontrolliert bewegt werden. Besondere Anforderungen stellen die Einhaltung von Compliance-Standards und Schutz für Daten wie z.B. Informationen von Kreditkarteninhabern (PCI-DSS), Patientenakten (HIPAA), Finanzdaten (SOX) oder personenbezogene Informationen (DSGVO) dar. Sind die Daten im Unternehmen ordentlich klassifiziert, ist es für IT-Abteilungen deutlich einfacher, die kritischen Daten richtig zu schützen. Das ist eine Vorarbeit, die sich auszahlt.
Voraussetzungen für Datenschutz und Compliance schaffen
Um sensible Unternehmens- und Kundendaten angemessen zu schützen, muss man zunächst die Daten seines Unternehmens kennen und verstehen. Welche sensiblen Daten werden wo gespeichert wer kann auf sie zugreifen, sie ändern und löschen und welche Folgen hat es, wenn diese Daten veröffentlicht, gelöscht oder unsachgemäß verändert werden? Die Kombination der Antworten mit Informationen über die aktuelle Gefahrenlandschaft ermöglichen es, das Risikoniveau eines Unternehmens zu bewerten, geeignete Sicherheitsmaßnahmen zum Datenschutz und zur Gefahrenerkennung zu priorisieren, zu planen und umzusetzen.
Um einen kontrollierten Einblick über die Speicherung sowie Verteilung und den Datenfluss sensibler und unternehmenskritischer Daten zu bekommen und auch kontinuierlich aufrecht zu erhalten, ist der Einsatz von automatisierten, regelbasierten Mechanismen zwingend erforderlich.
Datenabfluss vermeiden durch Klassifizierung nach Inhalt, Kontext und Nutzer
Step 1: Dateninventur und Datenklassifizierung
Der erste Schritt ist das Aufspüren sensibler Daten und die Durchführung einer fachlich-organisatorischen Sichtung (Data Discovery) und Strukturierung aller Daten (Data Classification). Die Datenermittlung ist für die Identifizierung und Minimierung von Risiken unerlässlich und ermöglicht Unternehmen:
- den Aufbau eines aktuellen Datenbestands für strukturierte und unstrukturierte Daten,
- die Analyse und Klassifizierung der Daten nach Risikokategorie sowie
- die Priorisierung von Schutzmaßnahmen.
Im zweiten Schritt ermöglicht die Klassifizierung dieser Daten nach Kontext, Inhalt und Benutzer die Kontrolle über die Bewegung und Verarbeitung der Daten.
Step 2: Aufbau sinnvoller Daten-Kategorien
In der ersten Welle der Klassifizierung bieten sich die folgenden Kategorien an. Während der iterativen Prozesse können weitere Ebenen eingezogen werden:
- Öffentliche Daten: Daten dieser Kategorie können frei verteilt werden
- Interne Daten: Die internen Daten haben definierte Sicherheitsanforderungen und sind nicht für die öffentliche Offenlegung bestimmt. Beim Bekanntwerden haben sie aber keinen negativen existenziellen Einfluss auf das Unternehmen
- Vertrauliche Daten: Die dritte Gruppe umfasst hochsensible Daten. Eine Offenlegung beeinflusst das Unternehmen negativ und führt zu einem finanziellen oder rechtlichen Risiko (zum Beispiel Verlust von Geschäft, DSGVO-Verletzung, Schadenersatzansprüche Dritter)
Step 3: Kontrolle und Datenverfolgung
Basierend auf der oben genannten Data Discovery und Data Classification stellen DLP-Lösungen (Data Loss Prevention-Lösungen) sicher, dass Daten nicht ungewollt das Unternehmen verlassen. Anhand der Richtlinienkontrollen wird sichergestellt, dass Daten nicht durch böswillige Insider verloren gehen oder unvorsichtige Mitarbeiter:innen Daten verändern, versehentlich löschen oder stehlen.
Der Datenzugriff wird, um Risiken zu minimieren, für Mitarbeiter:innen auf das für ihre Rolle notwendige Maß beschränkt und kontrolliert. „DLP“-Tools dienen zur Überwachung, Verfolgung und den Schutz sensibler Daten vor nicht autorisiertem Zugriff während des gesamten Verarbeitungszyklus. Diese Informationen werden auch durch die Anomalie-Erkennung auf selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.
Um Risiken für das Unternehmen zu minimieren, sollten dem Unternehmen immer folgende Informationen zur Verfügung stehen:
- Welche sensiblen Daten sind im Unternehmen vorhanden? Wie beispielsweise personenbezogene Daten, geistiges Eigentum, Forschungsergebnisse, Finanzdaten u.a.?
- Wo befinden sich diese sensiblen Daten?
- Wer kann auf diese Daten zugreifen und mit welchen Berechtigungen?
- Welche finanziellen und Reputations-Auswirkungen hat die Veröffentlichung oder die Zerstörung oder die unerlaubte Änderung dieser Daten für das Unternehmen?
Hier ist auch ein Blick auf das Haftungsrisiko für die Unternehmensführung, z.B. auf das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), zu werfen.
Fotos: Marina Döhling, Unsplash
Marina Döhling ist für die cat out gmbh als Principal Consultant zum Thema Cyber- und Datensicherheit tätig. Mehr zum Thema Datenklassifizierung unter www.cat-out.com
Marina Döhling auf LinkedIn und Xing.
Zum Thema Identity- und Access-Management haben wir bereits ein spannendes Interview mit Marina Döhling geführt. Hier geht es zu Teil 1 und hier zu Teil 2 des Blogbeitrags.