foto freepik

Unbestritten: In der heutigen vernetzten Geschäftswelt ist ein Zusammenarbeiten ohne Cloud undenkbar. Für die Unternehmen heißt es allerdings, Vorkehrungen zu treffen, um ihre Daten gegen unbefugte Zugriffe zu sichern. Denn ein Datenleck ist nicht nur ärgerlich, sondern schadet dem Unternehmensimage nachhaltig, kann herbe juristische Konsequenzen nach sich ziehen und birgt die Gefahr, dass Geschäftsgeheimnisse in fremde Hände geraten. Hier gilt es also, auf hochmoderne Lösungen zu setzen, die den Schutz der Daten garantieren. Welche Rolle die Klassifizierung der Daten hierbei spielt, zeigt dieser Beitrag.

Ob Kunden-, Finanz- oder Personaldaten, Wettbewerbsanalysen oder Informationen zu Geschäftsprozessen: Dank fortschreitender Digitalisierung sehen sich Unternehmen einer wahren Datenflut gegenüber. Doch je größer die Menge an Daten, desto schwieriger ist es, die Übersicht darüber zu behalten – und somit auch, für ihre Sicherheit zu sorgen.

Daten sind nicht gleich Daten

Zwar könnten viele der täglich in Unternehmen anfallenden Informationen ohne Weiteres an die Öffentlichkeit gelangen, doch gibt es in jedem Betrieb Daten, deren Verlust oder Offenlegung schwerwiegende Folgen hätte. Je sensibler die Informationen sind, desto mehr Sicherheitsvorkehrungen gilt es zu ihrem Schutz zu treffen. Hier heißt es also, eine gut durchdachte Strategie zu entwickeln, mit der sich die Daten hinsichtlich ihres Inhalts und ihrer Vertraulichkeit bewerten – also klassifizieren – lassen. Doch was genau ist »Datenklassifizierung« eigentlich?

Datenklassifizierung

Unter Datenklassifizierung versteht man einen kontinuierlichen Prozess der Einteilung von Geschäftsinformationen in verschiedene Vertraulichkeitsstufen. Sie gibt Aufschluss darüber, wer Zugriff auf welche Informationen erhalten sollte und wie die jeweiligen Daten beim Verarbeiten, Speichern und Übertragen zu schützen sind. Mehr noch: Die Datenklassifizierung gestattet es, eventuelle Lücken im System zu erkennen und somit potenzielle Bedrohungen für das Unternehmen zu identifizieren. Anhand dieser Analyse lassen sich dann die richtigen Tools für die IT-Sicherheit sowie Zugangskontrollen und Überwachungsprozesse für jede einzelne Kategorie bestimmen. So trägt die Klassifizierung sowohl zu einem vereinfachten Daten- als auch zu einem verbesserten Risikomanagement bei. Sie ist daher grundsätzlich Teil des Risikomanagementsystems.

Keine Klassifizierung – keine Sicherheit

Hinzu kommt: Um den Anforderungen der Datenschutzgrundverordnung (DSGVO) und diversen Compliance-Richtlinien gerecht werden zu können, ist es für Unternehmen sogar unabdingbar, eine methodische Datenklassifizierung einzuführen. Denn die Betriebe müssen in der Lage sein, kritische Fragen zur Handhabung personenbezogener Daten und zur Einhaltung von Aufbewahrungspflichten zu beantworten. Vor allem aber müssen sie ein unautorisiertes Offenlegen von Informationen verhindern. Eine methodische Kategorisierung lässt erkennen, welche Daten eine Anonymisierung oder Verschlüsselung erfordern. Somit ist die Datenklassifizierung nicht nur ein Garant für mehr Transparenz, sondern auch für Compliance.

Die vier Sicherheitsstufen der Datenklassifizierung

In der Regel erfolgt die Einteilung der Daten in vier Sicherheitsstufen:

Frei zugängliche Daten sind bereits publik und enthalten keine vertraulichen Inhalte. Dazu zählen Werbematerialien, das Produkt- und Dienstleistungsportfolio oder Informationen zur Unternehmenshistorie.
Eingeschränkt zugängliche Daten sind nur für Mitarbeiter bestimmt und sollten nicht öffentlich zugänglich sein. Darunter fallen zum Beispiel E-Mails, interne Richtlinien, Mitarbeiterlisten oder unternehmensstrategische Informationen.
Vertrauliche Daten sind einem begrenzten Personenkreis vorbehalten. Meist sind es bestimmte Angestellte oder autorisierte Drittanbieter, die den Zugriff auf solch sensible Informationen erhalten. Beispiele dafür sind Kunden- und Personaldaten, Gehaltslisten oder Geschäftsgeheimnisse.
Streng vertrauliche Daten sind hochsensible Informationen, deren Offenlegung schwerwiegende Folgen haben könnte. Hierzu gehören etwa geistiges Eigentum oder Authentifizierungsdaten. Der Zugriff auf diese Informationen ist daher nur einigen wenigen autorisierten Personen gestattet.

Spätestens jetzt wird eines deutlich: Unsichere Cloud-Dienste oder E-Mails sind für den Austausch von Daten nicht immer das geeignete Kommunikationsmittel. Vielmehr kommt es auf den Informationsgehalt und das damit verbundene Risiko für das Unternehmen an, ob E-Mail & Co. angemessenen Schutz der Daten bieten oder weitere Vorkehrungen zu treffen sind.

Technische Maßnahmen: Die Stufen der Absicherung

Beim Schutz der Daten ist die Angriffsstelle E-Mail jedoch nur eine von vielen Lücken, die es zu schließen gilt. Von der aktiven Verarbeitung sensibler Informationen bis hin zu ihrer Übertragung über Netzwerke und Kommunikationskanäle – jede Phase der Daten birgt besondere Risiken und Herausforderungen, für die es ebenfalls unterschiedliche Schutzmechanismen gibt. Im Folgenden werfen wir einen Blick auf die verschiedenen Stufen:

Verschlüsselte Datenübertragung

Bei dieser Schutzmaßnahme – auch als »Secure Data Transmission« bezeichnet – handelt es sich um die Verschlüsselung von Daten, die über ein Netzwerk ausgetauscht werden sollen (»Data in Transit«). Dies stellt sicher, dass sie während der Übertragung geschützt sind und keine unbefugten Parteien sie abfangen oder abhören können.

Verschlüsselte Speicherung

Dieser Ansatz dient der Verschlüsselung von gespeicherten Daten (»Data at Rest«). Das schützt sie im Falle eines unbefugten Zugriffs auf das Speichermedium oder bei versehentlichem Offenlegen der Daten. Für besonders hohe Sicherheit sorgt hierbei das sogenannte AES-Verfahren (Advanced Enrcyption Standard) – vor allem, wenn dabei jede Datei einzeln verschlüsselt wird. Denn gelänge ein Unbefugter an die Daten, müsste er jede Datei einzeln knacken. Bei einem Terabyte an individuell zu entschlüsselnden Dateien von jeweils 1 MB wäre das selbst mit der heutigen Computerleistung ein Aufwand von 1016 Jahren. (Zum Vergleich: Das Universum ist gerade einmal etwas mehr als 1010 Jahre alt.)

Versiegelte Verwaltung

Dieser Mechanismus schützt die Daten während ihrer Verarbeitung (»Data in Use«) und deckt folgende Punkte ab:

Sicherer Systemstart
Eine automatische Hardwareüberprüfung kontrolliert noch vor dem eigentlichen Start, ob die verwendete Hardware integer ist und auch bleibt. Ist beispielsweise eine nicht autorisierte Festplatte angeschlossen, darf das System nicht verwendet werden und fährt gar nicht erst hoch.
Abgeschirmte Schlüsselverwaltung
Hierbei gibt es nirgendwo einen Schlüsselbund (Key Ring) oder Master Key, der den Zugang zu allen Daten ermöglicht. Stattdessen ist auf technischer Seite geregelt, ob die betreffende Person die nötigen Nutzer- und Zugriffsrechte für die spezifischen Daten hat. Der Vorteil: Ohne Keys ist auch kein Schlüsseldiebstahl möglich.
Kein individuelles Tracking
Ein individuelles Tracking der Nutzeraktionen findet nicht statt, um zu verhindern, dass durch Metadaten vertrauliche Daten erahnt werden und um reale Personen als identifizierte Ziele zu schützen.

Versiegelte Verarbeitung

Hierbei handelt es sich um einen weiteren Schutz der Daten zur Laufzeit (»Data in Use«). Da während der Verarbeitung eine Verschlüsselung nicht möglich ist, liegen die Daten in diesem Moment im Klartext auf dem Applikationsserver vor und wären ohne zusätzliche Maßnahmen etwa für den Systemadministrator zugänglich. Damit die Informationen auch während ihrer Bearbeitung vor den Augen Unbefugter geschützt sind, trifft die versiegelte Verarbeitung einige Vorkehrungen:

Kein Zugang durchs Personal – hard- und softwareseitig
Weder der Serviceanbieter noch der Systemadministrator haben Zugang zu den Informationen –von Anfang an. Dies wird hard- und softwareseitig sichergestellt.
Systemabschaltung bei Zugriffsversuch
Stellt das System Ungereimtheiten fest – beispielsweise aufgrund eines Hackerangriffs oder Einbruchs – schaltet es automatisch ab. Ein Zugriff auf die Daten ist nicht mehr möglich.
Verwendung von flüchtigen Datenspeichern
Sobald das System herunterfährt oder vom Stromnetz genommen ist, werden die Informationen unwiederbringlich gelöscht (flüchtige Datenspeicher). Dadurch bleiben keine unverschlüsselten Daten übrig, auf die ein etwaiger Hacker zugreifen könnte.
Absicherung der verwendeten Software-Komponenten
Die verwendeten Software-Komponenten müssen gehärtet und gesichert beim Systemstart aufgespielt werden, damit es nicht möglich ist, die übrigen Maßnahmen softwareseitig zu umgehen.

Sinnvoll ist es daher, auf eine Technologie wie die Sealed Cloud zu setzen, die alle vier Stufen der Absicherung abdeckt und zu jedem Zeitpunkt für die Sicherheit der Daten sorgt – sei es im Ruhezustand, bei der Übertragung oder während der Nutzung. Eine solche Lösung entspricht den strengsten Sicherheitsvorschriften und schließt unautorisierte Zugriffe allein schon technisch aus. Idealerweise liefert der Anbieter dazu auch gleich ein passendes Outlook-Add-in, mit dem sich sensible Anhänge dann direkt via E-Mail an den Empfänger versenden lassen (s. Infokasten).

»Versiegelter« Versand über Outlook

Die Vorgehensweise ist denkbar einfach:

Der Absender …

… verfasst die E-Mail wie gewohnt in Outlook,

… gibt an, welche Dateien er versenden möchte,

… wählt den Speicherort in der Cloud aus, an dem die Dokumente abgelegt werden,

… sendet die Mail wie gewohnt ab.

Der Empfänger …

… erhält den Link zur Datei in der Cloud,

… bekommt gegebenenfalls ein dazugehöriges Passwort über einen weiteren Kommunikationskanal (zum Beispiel per SMS),

… kann – wenn der Toolhersteller dies anbietet – sogar dann auf das Dokument zugreifen, wenn er selbst über keine eigene Lizenz für die Lösung verfügt.

Fazit: Datenklassifizierung ist ein Muss

Die richtige Datenklassifizierung ist entscheidend für den Schutz sensibler Unternehmensinformationen. Denn ohne Zuordnung der Daten sind unternehmenskritische Informationen möglicherweise nicht ausreichend gesichert – und drohen in die Hände von Unbefugten zu gelangen. In diesem Sinne hilft eine Klassifikation der Daten Unternehmen dabei, den Schutz erfolgsrelevanter Daten zu optimieren. Zusätzlich leistet sie auch wertvolle Unterstützung bei der Einhaltung von rechtlichen und/oder branchenspezifischen Vorgaben. Zwar gewährleistet eine Kategorisierung allein weder vollständigen Schutz vor Cyberkriminellen noch bietet sie unumstößliche Rechtssicherheit. Nichtsdestotrotz ist eine sorgfältig durchgeführte Einordung der verarbeiteten Informationen im Unternehmenskontext die Basis für Datensicherheit – und daher ein Muss.

Andreas Dirscherl, Director Cloud Operations, idgard |uniscon GmbH

Andreas Dirscherl ist Director Cloud Operations bei der TÜV-Süd-Tochter uniscon GmbH (www.idgard.com), einem Münchner Anbieter von hochsicheren Cloud-Collaboration-Lösungen. Nach seinem Informatik-Studium an der TH Ingolstadt war Dirscherl neun Jahre lang bei MAN Truck & Bus SE tätig. Dort leitete er unter anderem Entwicklerteams in München und Lissabon. Bei uniscon verantwortet Dirscherl seit April 2021 die Weiterentwicklung der Infrastruktur und Technologie hinter idgard, dem Cloud-Dienst für sicheren Datenaustausch und digitale Zusammenarbeit.

Weitere Informationen zu Datenklassifizierung inklusive ausführlichem kostenlosem Guide zur Umsetzung erhalten Sie auf der idgard Webseite. https://www.idgard.com/de/glossar/datenklassifizierung/

198 Artikel zu „Daten Klassifizierung“

NEWS | IT-SECURITY | PRODUKTMELDUNG

Skyhigh Security stellt mit Regular Expression Generator zur Datenklassifizierung den ersten KI-gestützten DLP-Assistenten vor

6. Februar 2024

Kunden profitieren von detaillierten Datenklassifizierungen sowie höherer Effizienz und Genauigkeit. Skyhigh Security stellt als erstes Unternehmen auf dem Markt einen KI-gestützten DLP-Assistenten als erweitertes DLP-Feature innerhalb des Security-Service-Edge-Portfolios (SSE) vor. Der KI-gestützte Assistent vereinfacht viele komplexe DLP-Aufgaben, insbesondere das Formulieren komplexer Ausdrücke in natürlicher Sprache. Kunden können so detaillierte Datenklassifizierungen vornehmen, ihre betriebliche Effizienz…