Datenklassifizierung erkunden

Abgeschlossen

Sensible Daten stellen ein erhebliches Risiko für ein Unternehmen dar, wenn sie gestohlen, versehentlich weitergegeben oder durch eine Sicherheitsverletzung preisgegeben werden. Zu den Risikofaktoren gehören Rufschädigung, finanzielle Auswirkungen und der Verlust von Wettbewerbsvorteilen. Der Schutz der Daten und Informationen, die ein Unternehmen verwaltet, hat für alle Organisationen höchste Priorität. Für manche ist es jedoch schwierig zu erkennen, ob ihre Bemühungen angesichts der Menge an Inhalten, die sie pflegen, wirklich effektiv sind.

Abgesehen vom Umfang können die Inhalte einer Organisation von hochsensiblen und wichtigen bis hin zu trivialen und flüchtigen Inhalten reichen. Sie kann auch unter den Geltungsbereich verschiedener gesetzlicher Vorschriften fallen. Es kann eine Herausforderung sein, Prioritäten zu setzen und zu wissen, wo Kontrollen durchgeführt werden sollen.

Unternehmen begegnen diesen Bedenken, indem sie eine Datenklassifizierung einführen. Datenklassifizierung ist ein Fachbegriff aus dem Bereich der Cybersicherheit und des Datenlebenszyklusmanagements. Es beschreibt den Prozess der Identifizierung, der Kategorisierung und des Schutzes von Inhalten je nach ihrer Sensibilität oder ihrer Auswirkungsstufe. In ihrer grundlegendsten Form ist die Datenklassifizierung ein Mittel zum Schutz der Daten eines Unternehmens vor unbefugter Offenlegung, Änderung oder Zerstörung, je nachdem, wie sensibel oder bedeutsam sie sind.

Unternehmen klassifizieren Daten auf viele Arten, darunter auch:

• Vertraulichkeitsbezeichnungen
• Aufbewahrungsbezeichnungen
• Typen vertraulicher Informationen
• Trainierbare Klassifizierungsmerkmale

Was ist ein Datenklassifizierungsrahmen?

Unternehmen kodifizieren häufig einen Rahmen für die Datenklassifizierung (manchmal auch als "Datenklassifizierungsrichtlinie" bezeichnet) in einer formellen, unternehmensweiten Richtlinie. Datenklassifizierungssysteme bestehen in der Regel aus drei bis fünf Klassifizierungsebenen. Diese Ebenen umfassen in der Regel drei Elemente: einen Namen, eine Beschreibung und Beispiele aus der Praxis.

Microsoft empfiehlt nicht mehr als fünf übergeordnete Labels mit jeweils maximal fünf Unterlabels (insgesamt 25), um die Benutzeroberfläche (UI) überschaubar zu halten. Die Benutzeroberfläche ordnet die Stufen in der Regel von der geringsten bis zur höchsten Empfindlichkeit an, wie z. B.:

• Öffentlich
• Intern
• Vertraulich
• Streng vertraulich

Andere Variationen des Namens der Ebene, die Ihnen begegnen können, sind:

• Restricted
• Uneingeschränkt
• Verbraucher geschützt

Microsoft empfiehlt, dass die Bezeichnungen selbsterklärend sind. Sie sollten auch ihre relative Empfindlichkeit deutlich hervorheben. Zum Beispiel können Vertraulich und Eingeschränkt die Benutzer raten lassen, welche Kennzeichnung angebracht ist. Im Vergleich dazu sind Vertraulich und Streng vertraulich deutlicher, was die Sensibilität betrifft.

Die folgende Tabelle zeigt ein Beispiel für eine Höchst vertrauliche Datenklassifizierungsrahmenebene:

Einstufungsebene	Beschreibung	Beispiele
Streng vertraulich	Streng vertrauliche Daten sind die sensibelste Art von Daten, die vom Unternehmen gespeichert oder verwaltet werden, und können im Falle einer Verletzung oder anderweitigen Offenlegung rechtliche Benachrichtigungen erfordern. Eingeschränkte Daten erfordern ein Höchstmaß an Kontrolle und Sicherheit. Organisationen müssen den Zugang auf eine "Need-to-know"-Basis beschränken.	– Personenbezogene Benutzerinformationen – Daten des Karteninhabers – Geschützte Gesundheitsinformationen (PHI) – Daten zum Bankkonto

Tipp

Microsofts Rahmenwerk für die Klassifizierung von Unternehmensdaten verwendete ursprünglich eine Kategorie und Bezeichnung namens "Intern". Während der Pilotphase stellte sich jedoch heraus, dass es berechtigte Gründe für die Weitergabe einiger Dokumente an Externe gab. Daher wurde die Bezeichnung "Allgemein" anstelle von "Intern" verwendet.

Eine weitere wichtige Komponente eines Datenklassifizierungsrahmens sind die Kontrollen, die mit jeder Ebene verbunden sind. Die Datenklassifizierungsstufen selbst sind lediglich Kennzeichnungen (oder Tags), die den Wert oder die Empfindlichkeit des Inhalts angeben. Um diese Inhalte zu schützen, definieren Datenklassifizierungsrahmen die Kontrollen, die für jede Datenklassifizierungsstufe eingerichtet werden sollten. Diese Kontrollen können Anforderungen umfassen, die sich auf Folgendes beziehen:

• Art und Ort der Lagerung
• Verschlüsselung
• Zugriffssteuerung
• Vernichtung von Daten
• Verhinderung von Datenverlust
• Offenlegung der Daten
• Protokollierung und Verfolgung des Zugangs
• Andere Kontrollziele, je nach Bedarf

Die Sicherheitskontrollen einer Organisation variieren je nach Datenklassifizierungsstufe. Zum Beispiel:

• Die Schutzmaßnahmen, die in einem Rahmenwerk einer Organisation festgelegt sind, können je nach Sensibilität des Inhalts zunehmen.
• Die Anforderungen an die Kontrolle der Datenspeicherung können je nach dem verwendeten Medium und der für einen bestimmten Inhalt geltenden Klassifizierungsstufe variieren.

Die folgende Tabelle zeigt ein Beispiel für Datenklassifizierungskontrollen für einen bestimmten Speichertyp.

Speichertyp	Vertraulich	Intern	Uneingeschränkt
Wechselbarer Speicher	Verbotene	Verboten, sofern nicht verschlüsselt	Keine Kontrolle erforderlich

Die korrekte Anwendung der richtigen Datenklassifizierungsstufe kann in realen Situationen komplex sein. Daher können die Endnutzer manchmal überfordert sein. Der Prozess endet nicht, sobald ein Unternehmen eine Richtlinie oder einen Standard erstellt hat, der die erforderlichen Datenklassifizierungsstufen definiert. Stattdessen ist es wichtig, den Endnutzern zu zeigen, wie sie diesen Rahmen in ihrer täglichen Arbeit mit Leben füllen können. Hier kommen die Regeln oder Leitlinien für die Behandlung der Datenklassifizierung ins Spiel.

Leitlinien für die Handhabung von Datenklassifizierungen helfen den Endnutzern mit spezifischen Anleitungen für den angemessenen Umgang mit jeder Datenebene für verschiedene Speichermedien während ihres gesamten Lebenszyklus. Diese Leitlinien helfen auch den Endnutzern, die Regeln in der Praxis richtig anzuwenden. Zum Beispiel bei der gemeinsamen Nutzung von Dokumenten, beim Versenden von E-Mails oder bei der Zusammenarbeit über verschiedene Plattformen und Organisationen hinweg.

Microsoft-Kunden geben an, dass etwa 50 % eines Informationsschutzprojekts eher geschäftsorientiert als technisch sind. Daher sind Schulung und Kommunikation mit den Endbenutzern entscheidend für den Erfolg.

Erstellen eines gut konzipierten Datenklassifizierungsframeworks

Wenn Organisationen ihre Datenklassifizierungsframeworks entwickeln, umgestalten oder verfeinern, sollten sie die folgenden bewährten Methoden berücksichtigen:

• Erwarten Sie nicht, dass Sie am Tag 1 von 0 auf 100 kommen. Microsoft empfiehlt einen "Crawl-Walk-Run"-Ansatz. Die für das Unternehmen wichtigen Funktionen sollten nach Prioritäten geordnet und mit einem Zeitplan versehen werden. Schließen Sie den ersten Schritt ab, stellen Sie sicher, dass er erfolgreich war, und gehen Sie dann zur nächsten Phase über, in der Sie die gewonnenen Erkenntnisse anwenden. Denken Sie daran, dass die Entwicklung eines Rahmens für die Datenklassifizierung das Risiko für Ihr Unternehmen nicht ausschließt. Daher ist es in Ordnung, mit einigen wenigen Klassifizierungsebenen zu beginnen und diese später nach Bedarf zu erweitern.

• Sie schreiben nicht nur für Cybersicherheitsexperten. Rahmenwerke zur Datenklassifizierung sind für ein breites Publikum gedacht. Dazu können Ihr durchschnittlicher Mitarbeiter, Ihr Rechts- und Compliance-Team und Ihr IT-Team gehören. Es ist wichtig, dass Sie klare, leicht verständliche Definitionen für Ihre Datenklassifizierungsebenen verfassen. Geben Sie, wo immer möglich, Beispiele aus der Praxis. Versuchen Sie, Fachjargon zu vermeiden, und ziehen Sie ein Glossar für Akronyme und hochtechnische Begriffe in Betracht.

• Ihre Datenklassifizierungssysteme einführen. Es reicht nicht aus, dass Unternehmen nur Rahmenwerke für die Datenklassifizierung entwerfen. Um erfolgreich zu sein, müssen Organisationen sie auch umsetzen. Dies ist besonders wichtig bei der Ausarbeitung der Kontrollanforderungen für jede Datenklassifizierungsstufe. Stellen Sie sicher, dass Sie die Anforderungen klar definieren. Sie sollten auch alle Unklarheiten, die während der Umsetzung auftreten können, vorhersehen und beseitigen. Wenn Sie z. B. persönliche Kundendaten kontrollieren, müssen Sie genau angeben, was diese Kontrolle bedeutet, z. B. Sozialversicherungsnummer oder Reisepassnummer.

• Granulieren Sie nur, wenn Sie es müssen. Datenklassifizierungssysteme enthalten in der Regel 3-5 Datenklassifizierungsebenen. Aber nur weil man fünf Ebenen einbeziehen kann, heißt das nicht, dass man das auch sollte. Berücksichtigen Sie die folgenden Kriterien bei der Entscheidung über die Anzahl der benötigten Klassifizierungsstufen:

  • Ihre Branche und die damit verbundenen gesetzlichen Verpflichtungen (stark regulierte Branchen benötigen in der Regel mehr Klassifizierungsstufen).
  • Der operative Aufwand, der für die Aufrechterhaltung eines komplexeren Rahmens erforderlich ist.
  • Ihre Benutzer und deren Fähigkeit, mit der zunehmenden Komplexität und den Nuancen, die mit mehr Klassifizierungsstufen verbunden sind, umzugehen.
  • Benutzerfreundlichkeit und Zugänglichkeit bei der Anwendung manueller Klassifizierungen über mehrere Gerätetypen hinweg.

• Die richtigen Leute einbeziehen. Ein leitender Interessenvertreter ist für den Erfolg entscheidend. Viele Projekte kommen nicht in Gang oder dauern länger, wenn sie nicht von der Unternehmensleitung unterstützt werden. Informationstechnologie-Teams verfügen in der Regel über eigene Datenklassifizierungssysteme. Sie können jedoch Auswirkungen auf die Rechtslage, die Einhaltung von Vorschriften, den Datenschutz und das Änderungsmanagement haben. Eine Organisation muss sicherstellen, dass der von ihr geschaffene Rahmen zum Schutz ihres Unternehmens beiträgt. Dazu muss sie die Interessengruppen für Datenschutz und Recht in die Entwicklung ihrer Politik einbeziehen. Zum Beispiel der Chief Privacy Officer des Unternehmens und das Office of General Counsel. Wenn Ihr Unternehmen über eine Compliance-Abteilung, Fachleute für das Datenlebenszyklusmanagement oder ein Records Management-Team verfügt, können auch diese wertvolle Beiträge leisten. Bei der Einführung Ihres Rahmenwerks im Unternehmen spielt auch Ihre Kommunikationsabteilung eine wichtige Rolle für die interne Kommunikation und die Akzeptanz.

• Abwägen zwischen Sicherheit und Komfort. Ein häufiger Fehler besteht darin, einen sicheren, aber zu restriktiven Rahmen für die Datenklassifizierung zu entwerfen. Obwohl Unternehmen diese Art von Rahmenwerk mit Blick auf die Sicherheit definieren, haben sie oft Schwierigkeiten bei der Umsetzung. Wenn die Benutzer komplexe, starre und zeitaufwändige Verfahren befolgen müssen, um den Rahmen in ihrem täglichen Leben anzuwenden, besteht immer die Gefahr, dass sie nicht mehr an seinen Wert glauben. Wenn dieses Szenario eintritt, hören die Benutzer in der Regel auf, die Verfahren zu befolgen. Dieses Risiko besteht auf allen Ebenen des Unternehmens, einschließlich der Führungsebene (C-Suite) innerhalb des Unternehmens. Ein ausgewogenes Verhältnis zwischen Sicherheit und Bequemlichkeit in Verbindung mit benutzerfreundlichen Werkzeugen führt in der Regel zu einer größeren Akzeptanz und Nutzung durch die Benutzer. Wenn Ihr Rahmenwerk noch Lücken aufweist, sollten Sie nicht warten, bis alles perfekt ist, um mit der Umsetzung zu beginnen. Beurteilen Sie stattdessen das Risiko oder die Lücke, erstellen Sie einen Plan zur Schadensbegrenzung und machen Sie weiter. Denken Sie daran, dass der Schutz von Informationen eine Reise ist. Es ist nicht etwas, das man einfach über Nacht aktiviert. Planen Sie, implementieren Sie einige Funktionen, bestätigen Sie den Erfolg und gehen Sie zum nächsten Meilenstein über, wenn sich die Tools weiterentwickeln und die Benutzer an Reife und Erfahrung gewinnen.

Denken Sie auch daran, dass ein Datenklassifizierungsrahmen nur das anspricht, was Ihr Unternehmen zum Schutz sensibler Daten tun sollte. Rahmenwerke für die Datenklassifizierung enthalten in der Regel Regeln oder Leitlinien für den Umgang mit Daten, in denen festgelegt ist wiediese Richtlinien aus technischer und technologischer Sicht umgesetzt werden sollen.

Problematische Punkte bei der Erstellung eines Rahmens für die Datenklassifizierung

Die Bemühungen um die Klassifizierung von Daten sind naturgemäß sehr weitreichend. Sie berühren nahezu jede Funktion innerhalb eines Unternehmens. Aufgrund dieses breiten Spektrums und der Komplexität der Verwaltung von Inhalten in modernen digitalen Umgebungen stehen die Unternehmen oft vor der Herausforderung, diese zu kennen:

• Wo man anfangen soll.
• Wie man eine erfolgreiche Umsetzung steuert.
• Wie man ihre Fortschritte messen kann.

Organisationen stoßen oft auf gemeinsame Probleme bei folgenden Punkten:

• Entwicklung eines robusten und leicht verständlichen Rahmens für die Datenklassifizierung. Dabei müssen die Unternehmen Klassifizierungsstufen und damit verbundene Sicherheitskontrollen festlegen.
• Entwickeln eines Umsetzungsplans. Er muss die geeignete Technologielösung bestätigen, den Plan auf die bestehenden Geschäftsprozesse abstimmen und die Auswirkungen auf die Belegschaft ermitteln.
• Einrichtung eines Datenklassifizierungsrahmens innerhalb der gewählten Technologielösung.
• Behebung etwaiger Lücken zwischen den technischen Möglichkeiten des Tools und dem Rahmen selbst.
• Einrichtung einer Governance-Struktur. Diese Struktur muss die kontinuierliche Wartung und den Zustand der Datenklassifizierung überwachen.
• Festlegung spezifischer Leistungsindikatoren (KPIs) zur Überwachung und Messung der Fortschritte.
• Stärkung des Bewusstseins und des Verständnisses für Datenklassifizierungsrichtlinien, warum sie wichtig sind und wie sie eingehalten werden können.
• Einhaltung interner Audit-Prüfungen, die auf Datenverluste und Kontrollen der Cybersicherheit abzielen.
• Schulung und Einbeziehung der Nutzer. Die Benutzer müssen sich der Notwendigkeit einer korrekten Klassifizierung bei ihrer täglichen Arbeit bewusst werden. Sie müssen auch lernen, wann sie die richtigen Klassifizierungsmaßnahmen anwenden.

Verwaltung und Wartung

Nachdem ein Unternehmen sein Datenklassifizierungssystem entwickelt und implementiert hat, sind die fortlaufende Verwaltung und Pflege entscheidend für den Erfolg. Unternehmen müssen nicht nur verfolgen, wie ihre Benutzer die Sensibilitätskennzeichnungen in der Praxis einsetzen, sondern auch ihre Kontrollanforderungen auf der Grundlage von Änderungen der Vorschriften, führenden Praktiken im Bereich der Cybersicherheit und der Art der von ihnen verwalteten Inhalte aktualisieren.

Die Bemühungen um Governance und Wartung können Folgendes umfassen:

• Einrichtung eines Leitungsgremiums, das sich mit der Datenklassifizierung befasst, oder Aufnahme der Zuständigkeit für die Datenklassifizierung in die Charta eines bestehenden Informationssicherheitsgremiums.
• Festlegung von Rollen und Verantwortlichkeiten für Benutzer, die die Datenklassifizierung überwachen.
• Festlegung von KPIs zur Überwachung und Messung der Fortschritte.
• Verfolgung führender Praktiken im Bereich der Cybersicherheit und Änderungen der Rechtsvorschriften.
• Entwicklung von Standardarbeitsverfahren. Diese Verfahren müssen ein Framework für die Datenklassifizierung unterstützen und durchsetzen.

Wissenscheck

Wählen Sie für jede der folgenden Fragen die beste Antwort aus.

Überprüfen Sie Ihre Kenntnisse

1.

Adatum Corporation entwickelt ein Datenklassifizierungsframework. Welche der folgenden Aktionen ist eine bewährte Methode, die sie bei der Entwicklung dieses Frameworks berücksichtigen sollten?

Erstellen aller Datenklassifizierungsebenen am Anfang

Gehen Sie mit Datenklassifizierungsebenen so präzise wie möglich vor

Entwerfen Ihrer Datenklassifizierungsebenen für eine breite Benutzergruppe

Sie müssen alle Fragen beantworten, bevor Sie Ihre Arbeit überprüfen können.