Wer sich mit Data Governance und Cybersecurity-Risikomanagement beschäftigt, kommt um eine Klassifizierung seiner Daten nicht herum. Die Einteilung in unterschiedliche Sicherheits-/Risikolevel erleichtert es später deutlich, Daten sinnvoll zu verwalten, den Zugriff auf sie zu steuern und damit die Unternehmenssicherheit als Ganzes zu erhöhen.
Datenklassifizierungsmethoden für Data Governance
Durch die Nichteinhaltung der Vertraulichkeitsrichtlinien kann ein Unternehmen seine vertrauenswürdigen Daten durch einen einfachen menschlichen Fehler oder ein Versehen unerwünschten Besuchern aussetzen. Neben den Gesichtspunkten der Governance und der Verfügbarkeit sorgen ordnungsgemäße Datenklassifizierungsrichtlinien für Sicherheit und kohärente Datenlebenszyklen. Sie sind auch ein guter Weg, um zu beweisen, dass Ihr Unternehmen die Compliance-Standards (z. B. GDPR) einhält, um Vertrauen und Integrität zu fördern.
Drei Risikostufen
Zur Klassifizierung von Daten werden diese zunächst anhand von Typ, Inhalt und weiteren Metainformationen in Kategorien eingeteilt. Diese Kategorien helfen, das geeignete Maß an Kontrollen für Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu bestimmen, basierend auf den potenziellen Folgen eines Datenverlusts für die Organisation. Es geht darum, wie sich der Verlust oder Missbrauch von Daten auf das Vertrauen und den Ruf des Unternehmens auswirkt.
Für die Klassifizierung von Unternehmensdaten werden drei Risikostufen verwendet: hohes, mittleres und geringes/kein Risiko. Vertrauliche Daten unterliegen einem hohen Risiko und können bei unsachgemäßer Kontrolle großen Schaden verursachen, beispielsweise Finanzinformationen, IP-Adressen oder Authentifizierungsdaten. Sensible Daten (mittleres Risiko) sind für den internen Gebrauch bestimmt und ihre Offenlegung wäre zwar nicht katastrophal, aber dennoch unerwünscht. Beispiele sind Strategiedokumente, anonymisierte Daten von Angestellten oder Jahresabschlüsse. Öffentliche Daten wie Kontaktinformationen, Stellenausschreibungen oder Blogbeiträge haben kein oder nur geringes Risiko und erfordern daher keine speziellen Sicherheits- oder Zugangskontrollen.
Richtlinien und Normen
Ein hohes Risiko kann weiter in persönlich „vertraulich“ und „firmenvertraulich“ unterteilt werden, während mittlere Risiken als „intern“ klassifiziert werden. Da ein dreistufiges Konzept nicht für jedes Unternehmen geeignet ist, sollte das Hauptziel der Datenklassifizierung darin bestehen, sensible Daten zu identifizieren und Prozesse, Labels und Berechtigungen entsprechend anzupassen. Behörden oder öffentliche Einrichtungen mit besonders sensiblen Daten könnten mehrere Klassifizierungsstufen verwenden, während für kleinere Unternehmen zwei oder drei Stufen ausreichen dürften.
Richtlinien und Empfehlungen zur Datenklassifizierung bieten Normungsorganisationen wie die International Standards Organization (ISO 27001) und das National Institute of Standards and Technology (NIST SP 800-53). Neben diesen Standards und Empfehlungen sollte der Prozess der Datenklassifizierung selbst klar definiert sein. Amazon Web Services (AWS) bietet einen fünfstufigen Rahmen zur Entwicklung von Richtlinien für die Datenklassifizierung:
- Erstellung eines Datenkatalogs für verschiedene Datentypen
- Bewertung der geschäftskritischen Funktionen und Durchführung einer Folgenabschätzung
- Kennzeichnung von Informationen
- Verwaltung von Assets
- Kontinuierliche Überwachung
Die Datentypen des Katalogs sollten auf Basis der unternehmenseigenen Klassifizierungsstufen gruppiert werden, wobei die Sicherheitsstufen nach ihrer Kritikalität für das Unternehmen bemessen werden. Jeder Datentyp wird nach seinen Auswirkungen bewertet.
Eine Kennzeichnung der Daten empfiehlt sich zur Qualitätssicherung. AWS nutzt für die Datenkennzeichnung Tools wie Amazon SageMaker (ein Tool zum Erstellen, Trainieren und Bereitstellen von Modellen für maschinelles Lernen in AWS) und AWS Glue (ereignisgesteuerter ETL-Dienst zum Identifizieren und Kategorisieren von Daten). Nach der Kennzeichnung werden die Datensätze entsprechend ihrer Sicherheitsstufe behandelt. Hier sollten spezifische Sicherheits- und Zugriffskontrollen eingerichtet werden, etwa durch ein Identity Access Management (IAM), das regelt, wer welche Daten sehen und bearbeiten darf.
Automatische Klassifizierung
Kontinuierliche Überwachung, die Identifizierung externer Bedrohungen und die Aufrechterhaltung normaler Funktionen und Prozesse, die auf Daten beruhen, sollten automatisiert ablaufen. Die manuelle Durchführung der Datenklassifizierung ist zeitaufwändig und fehleranfällig. Automatisierung hilft, den Prozess zu kontrollieren und das Risiko menschlicher Fehler und Datenverletzungen zu minimieren. AWS verwendet das Machine-Learning-Tool Amazon Macie, um vertrauliche und sensible Daten in AWS zu erkennen, zu klassifizieren und zu schützen. Über Dashboards können Daten visualisiert, auf sie zugegriffen und Warnmeldungen angezeigt werden.
Nach der Auswahl der S3-Buckets, die für Macie aktiviert werden sollen, lassen sich verschiedene Optionen einstellen. Neben der Häufigkeit der Objektprüfungen und der Filterung von Objekten nach Tags können benutzerdefinierte Datenkennungen verwendet werden. Dabei handelt es sich um eine Reihe von Kriterien zur Erkennung sensibler Daten. Reguläre Ausdrücke, Schlüsselwörter und eine maximale Übereinstimmungsdistanz lassen sich definieren, um bestimmte Daten für Analysezwecke auszuwählen.
Vergrößerungsglas für kritische Daten
Die Website Edmunds, die sich auf den Autokauf spezialisiert hat, beschreibt Macie und die Datenklassifizierung als ein „automatisches Vergrößerungsglas“ für kritische Daten, die sonst schwer zu erkennen wären. Hauptvorteile des Tools sind die Einsicht in geschäftskritische Daten, die Identifizierung gemeinsamer Zugangsdaten und der Schutz von Benutzerdaten. Es gibt jedoch zahlreiche alternative Tools zur Automatisierung der Datenklassifizierung, die durch eine einfache Google-Suche gefunden werden können. Dies zeigt, dass die Datenklassifizierung in fast allen Unternehmen benötigt wird und ihr geschäftlicher Nutzen allgemein anerkannt ist.