Datenklassifizierung: Was es ist und wie es implementiert wird

Die Datenklassifizierung ist ein wesentlicher Bestandteil jedes Informationssicherheits- und Compliance-Programms, insbesondere wenn Ihre Organisation große Datenmengen speichert. Es bietet eine solide Grundlage für Ihre Datensicherheitsstrategie, indem es Ihnen hilft zu verstehen, wo Sie sensible und regulierte Daten speichern, sowohl vor Ort als auch in der Cloud. Darüber hinaus verbessert die Datenklassifizierung die Produktivität und Entscheidungsfindung der Benutzer und reduziert die Speicher- und Wartungskosten, da Sie nicht benötigte Daten eliminieren können.

In diesem Artikel erfahren Sie, welche Vorteile die Datenklassifizierung bietet, wie Sie sie implementieren und wie Sie die richtige Softwarelösung auswählen.

  • Schlüsselbegriffe und Definitionen der Datenklassifizierung
  • Zweck der Datenklassifizierung
  • Vorteile der Datenklassifizierung
  • Arten der Datenklassifizierung
  • Beispiele für Datenklassifizierungskategorien
  • Datenklassifizierungsprozess
  • Auswahl einer Datenklassifizierungslösung
  • FAQ

Schlüsselbegriffe und Definitionen der Datenklassifizierung

Die Datenklassifizierung ist der Prozess der Organisation strukturierter und unstrukturierter Daten in definierten Kategorien, die verschiedene Datentypen darstellen. Zu den bei der Datenkategorisierung verwendeten Standardklassifikationen gehören:

  • Öffentlich
  • Vertraulich
  • Sensibel
  • Persönlich

Sensible Daten sind ein allgemeiner Begriff, der Daten darstellt, die auf die Verwendung durch bestimmte Personen oder Gruppen beschränkt sind. Sensible und vertrauliche Daten werden häufig synonym verwendet. Beispiele für sensible Daten sind geistiges Eigentum und Geschäftsgeheimnisse.

Die Neuklassifizierung von Daten ist eine Neukategorisierung von Daten, um geeignete Aktualisierungen vorzunehmen, z. B. aufgrund von Änderungen gesetzlicher oder vertraglicher Verpflichtungen, der Datennutzung oder des Datenwerts oder neuer oder überarbeiteter behördlicher Auflagen.

Durch das Markieren oder Beschriften von Daten werden Metadaten zu Dateien hinzugefügt, die die Klassifizierungsergebnisse angeben.

Zweck der Datenklassifizierung

Die Datenklassifizierung hilft Ihnen zu verstehen, welche Arten von Daten Sie speichern und wo sich diese Daten befinden. Diese Intelligenz:

  • Informiert über Risikomanagement-, Legal Discovery- und Regulatory Compliance-Prozesse
  • Hilft bei der Priorisierung von Sicherheitsmaßnahmen
  • Verbessert die Benutzerproduktivität und Entscheidungsfindung durch Rationalisierung von Suche und E-Discovery
  • Reduziert die Datenpflege- und Speicherkosten durch die Identifizierung doppelter und veralteter Daten
  • Hilft IT-Teams, Anfragen nach Investitionen in die Datensicherheit zu rechtfertigen.

Vorteile der Datenklassifizierung

Im weiteren Sinne hilft die Datenklassifizierung Unternehmen, die Datensicherheit zu verbessern und die Einhaltung gesetzlicher Vorschriften sicherzustellen.

Datensicherheit

Die Klassifizierung ist ein effektiver Weg, um Ihre wertvollen Daten zu schützen. Indem Sie die von Ihnen gespeicherten Datentypen identifizieren und ermitteln, wo sich vertrauliche Daten befinden, sind Sie gut positioniert, um:

  • Priorisieren Sie Ihre Sicherheitsmaßnahmen und passen Sie Ihre Sicherheitskontrollen basierend auf der Sensibilität der Daten an
  • Verstehen Sie, wer auf Daten zugreifen, diese ändern oder löschen kann
  • Bewerten Sie Risiken, z. B. die geschäftlichen Auswirkungen eines Verstoßes, eines Ransomware-Angriffs oder einer anderen Bedrohung

Einhaltung gesetzlicher Vorschriften

Compliance-Vorschriften DSS) oder die personenbezogenen Daten von EU-Bürgern (DSGVO). Mit der Datenklassifizierung können Sie die Daten identifizieren, die bestimmten Vorschriften unterliegen, sodass Sie die erforderlichen Kontrollen anwenden und Audits bestehen können.

So kann Ihnen die Datenklassifizierung helfen, gängige Compliance-Standards zu erfüllen:

  • GDPR – Datenklassifizierung hilft Ihnen, die Rechte von Datensubjekten zu wahren, einschließlich der Erfüllung von Datensubjekt-Zugriffsanfragen, indem Sie den Satz von Dokumenten mit Daten über eine bestimmte Person abrufen.
  • HIPAA – Wenn Sie wissen, wo alle Gesundheitsdaten gespeichert sind, können Sie Sicherheitskontrollen für einen angemessenen Datenschutz implementieren.
  • ISO 27001 – Die Klassifizierung von Informationen nach Wert und Sensibilität hilft Ihnen, die Anforderungen zur Verhinderung unbefugter Offenlegung oder Änderung zu erfüllen.
  • NIST SP 800-53 – Die Kategorisierung von Daten hilft Bundesbehörden, ihre IT-Systeme ordnungsgemäß zu planen und zu verwalten.
  • PCI DSS – Datenklassifizierung ermöglicht es Ihnen, Finanzinformationen von Verbrauchern, die in Zahlungskarten verwendet werden, zu identifizieren und zu sichern

 Zweck der Datenklassifizierung

 Zweck der Datenklassifizierung

Arten der Datenklassifizierung

  • Die inhaltsbasierte Klassifizierung prüft und interpretiert Dateien, um vertrauliche Informationen zu identifizieren.
  • Die kontextbasierte Klassifizierung betrachtet Anwendung, Standort, Ersteller-Tags und andere Variablen als indirekte Indikatoren für vertrauliche Informationen.
  • Die benutzerbasierte Klassifizierung hängt von der manuellen Auswahl jedes Dokuments durch eine Person ab.

Beispiele für Datenklassifizierungskategorien

Beispiel für ein grundlegendes Klassifizierungsschema

Das einfachste Schema ist die dreistufige Klassifizierung:

  • Öffentliche Daten – Daten, die der Öffentlichkeit frei zugänglich gemacht werden können. Beispiele hierfür sind die Kontaktinformationen Ihres Unternehmens und die Cookie-Richtlinie Ihres Browsers.
  • Interne Daten – Daten, die geringe Sicherheitsanforderungen haben, aber nicht für die Offenlegung bestimmt sind, wie z. B. Marktforschung.
  • Eingeschränkte Daten – Hochsensible interne Daten. Die Offenlegung könnte sich negativ auf den Betrieb auswirken und das Unternehmen einem finanziellen oder rechtlichen Risiko aussetzen. Eingeschränkte Daten erfordern ein Höchstmaß an Sicherheitsschutz.

Beispiel eines staatlichen Klassifizierungsschemas

Regierungsbehörden verwenden häufig drei Sensitivitätsstufen, geben ihnen jedoch andere Bezeichnungen als oben aufgeführt: streng geheim, geheim und öffentlich. Für komplexere Datenstrukturen können weitere Ebenen hinzugefügt werden. Hier ist eine fünfstufige Strategie mit Beispielen:

  • Streng geheim — Kryptologische und Kommunikationsaufklärung
  • Geheim — Militärpläne auswählen
  • Vertraulich — Daten, die die Stärke der Bodentruppen angeben
  • Sensibel nicht klassifiziert — Daten mit dem Tag „Nur für amtliche Zwecke“
  • Nicht klassifiziert — Daten, die mit Genehmigung veröffentlicht werden dürfen

Beispiel für eine kommerzielle Klassifizierung

In der Regel verwenden Organisationen, die kommerzielle Daten speichern und verarbeiten, vier Ebenen zur Klassifizierung von Daten: drei vertrauliche Ebenen und eine öffentliche Ebene. Einige erweitern das zu einem fünfstufigen System mit den folgenden Ebenen:

  • Sensibel — Geistiges Eigentum, PHI
  • Vertraulich — Lieferantenverträge, Mitarbeiterbewertungen
  • Privat — Kundennamen oder Bilder
  • Proprietär — Organisatorische Prozesse
  • Öffentlich — Informationen, die an dritte weitergegeben werden können

Datenklassifizierungsprozess

Effektive Informationsklassifizierung in fünf Schritten

  1. Legen Sie eine Datenklassifizierungsrichtlinie fest, die Ziele, Workflows, Datenklassifizierungsschema, Dateneigentümer und Handhabung enthält
  2. Identifizieren Sie die von Ihnen gespeicherten sensiblen Daten.
  3. Wenden Sie Beschriftungen an, indem Sie Daten markieren.
  4. Verwenden Sie Ergebnisse, um die Sicherheit und Compliance zu verbessern.
  5. Daten sind dynamisch und die Klassifizierung ist ein fortlaufender Prozess.

 Datenklassifizierungsprozess

 Datenklassifizierungsprozess

Aufbau einer effektiven Datenklassifizierungsrichtlinie

Eine Datenklassifizierungsrichtlinie ist ein Dokument, das einen Klassifizierungsrahmen, eine Liste der Verantwortlichkeiten für die Identifizierung sensibler Daten und Beschreibungen der verschiedenen Datenklassifizierungsebenen enthält.

Eine gute Klassifizierungspolitik:

  • Verwendet Kriterien, die einfach sind und Mehrdeutigkeiten vermeiden, aber generisch genug sind, um auf verschiedene Datensätze und Umstände anzuwenden
  • Ist klar und in einfacher Sprache geschrieben
  • Passt zum Geschäft der Organisation
  • Ist auf 3 oder 4 Klassifizierungsstufen beschränkt
  • Enthält einen Ansprechpartner zur Klärung
  • Erstellt eine Überprüfung zeitplan

So wählen Sie eine Datenklassifizierungslösung aus

Suchen Sie nach diesen Funktionen:

  • Suche nach zusammengesetzten Begriffen — Verbessert die Genauigkeit durch Minimierung von falsch positiven und falsch negativen Ergebnissen.
  • Index – Ermöglicht es Ihnen, vertrauliche Begriffe zu identifizieren, ohne die Daten erneut zu crawlen.
  • Flexibler Taxonomie-Manager – Erleichtert das Hinzufügen und Ändern von Begriffen und Regeln.
  • Workflows – Führt automatisch bestimmte Aktionen aus, wenn ein Dokument auf eine bestimmte Weise klassifiziert wird. Beispielsweise kann ein Workflow vertrauliche Daten von einer öffentlichen Freigabe entfernen.
  • Breite Abdeckung – Unterstützt sowohl Cloud- als auch lokale Datenquellen, einschließlich strukturierter und unstrukturierter Daten.

FAQ

Was ist der Zweck der Datenklassifizierung?

Datenklassifizierung sortiert Daten nach Wert und Sensitivität in Kategorien.

Warum ist die Datenklassifizierung wichtig? Welche Vorteile bietet es?

Die Datenklassifizierung hilft Ihnen, Ihre Datenschutzbemühungen zu priorisieren, um die Datensicherheit und die Einhaltung gesetzlicher Vorschriften zu verbessern. Es verbessert auch die Produktivität und Entscheidungsfindung der Benutzer und senkt die Kosten, indem Sie nicht benötigte Daten eliminieren können.

Was sind gängige Datenklassifizierungsstufen?

Daten werden häufig als öffentlich, vertraulich, sensibel oder persönlich eingestuft.

Was sind die Datenklassifizierungstypen?

Die Klassifizierung kann inhaltsbasiert, kontextbasiert oder benutzerbasiert (manuell) erfolgen.

Welche Software sollte ich für die Datenklassifizierung verwenden?

Suchen Sie nach einer Datenklassifizierungssoftware wie der von Netwrix, die:

  • Verwendet die zusammengesetzte Wortsuche, um eine genaue Klassifizierung zu gewährleisten, die Fehlalarme minimiert
  • Verfügt über einen Index, mit dem Sie vertrauliche Begriffe finden können, ohne Ihre Datenspeicher erneut zu crawlen
  • Enthält einen flexiblen Taxonomie-Manager, mit dem Sie Ihre Klassifizierungsparameter anpassen können
  • Bietet Workflows zur Automatisierung von Prozessen wie der Migration vertraulicher Daten von öffentlichen Freigaben
  • Unterstützt cloud-Inhaltsquellen, einschließlich strukturierter und unstrukturierter Daten

Wer ist für die Datenklassifizierung in einem organisation?

Organisationen benennen in der Regel einen Sicherheits- und Risikomanager, einen Datenschutzmanager, einen Compliance-Ausschuss oder eine ähnliche Einheit.

VP für Produktmanagement bei Netwrix. Ilia ist verantwortlich für die Produktvision und -strategie von Netwrix. Er ist ein anerkannter Experte für Informationssicherheit und offizielles Mitglied des Forbes Technology Council. Ilia verfügt über mehr als 15 Jahre Erfahrung auf dem Markt für IT-Management-Software. Im Netwrix Blog konzentriert sich Ilia auf Cybersecurity-Trends, Strategien und Risikobewertung.

 Laden Sie eine kostenlose Testklassifizierungssoftware herunter, mit der Sie vertrauliche Inhalte identifizieren und sichern können



+