Lesen sie hier den Beitrag:

Datenklassifizierungsmethoden für Data Governance

Wer sich mit Data Governance und Cybersecurity-Risikomanagement beschäftigt, kommt um eine Klassifizierung seiner Daten nicht herum. Die Einteilung in unterschiedliche Sicherheits-/Risikolevel erleichtert es später deutlich, Daten sinnvoll zu verwalten, den Zugriff auf sie zu steuern und damit die Unternehmenssicherheit als Ganzes zu erhöhen.

Datenklassifizierungsmethoden für Data Governance

Durch die Nichteinhaltung der Vertraulichkeitsrichtlinien kann ein Unternehmen seine vertrauenswürdigen Daten durch einen einfachen menschlichen Fehler oder ein Versehen unerwünschten Besuchern aussetzen. Neben den Gesichtspunkten der Governance und der Verfügbarkeit sorgen ordnungsgemäße Datenklassifizierungsrichtlinien für Sicherheit und kohärente Datenlebenszyklen. Sie sind auch ein guter Weg, um zu beweisen, dass Ihr Unternehmen die Compliance-Standards (z. B. GDPR) einhält, um Vertrauen und Integrität zu fördern.

Drei Risikostufen

Zur Klassifizierung von Daten werden diese zunächst anhand von Typ, Inhalt und weiteren Metainformationen in Kategorien eingeteilt. Diese Kategorien helfen, das geeignete Maß an Kontrollen für Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu bestimmen, basierend auf den potenziellen Folgen eines Datenverlusts für die Organisation. Es geht darum, wie sich der Verlust oder Missbrauch von Daten auf das Vertrauen und den Ruf des Unternehmens auswirkt. 

Für die Klassifizierung von Unternehmensdaten werden drei Risikostufen verwendet: hohes, mittleres und geringes/kein Risiko. Vertrauliche Daten unterliegen einem hohen Risiko und können bei unsachgemäßer Kontrolle großen Schaden verursachen, beispielsweise Finanzinformationen, IP-Adressen oder Authentifizierungsdaten. Sensible Daten (mittleres Risiko) sind für den internen Gebrauch bestimmt und ihre Offenlegung wäre zwar nicht katastrophal, aber dennoch unerwünscht. Beispiele sind Strategiedokumente, anonymisierte Daten von Angestellten oder Jahresabschlüsse. Öffentliche Daten wie Kontaktinformationen, Stellenausschreibungen oder Blogbeiträge haben kein oder nur geringes Risiko und erfordern daher keine speziellen Sicherheits- oder Zugangskontrollen. 

Richtlinien und Normen

Ein hohes Risiko kann weiter in persönlich „vertraulich“ und „firmenvertraulich“ unterteilt werden, während mittlere Risiken als „intern“ klassifiziert werden. Da ein dreistufiges Konzept nicht für jedes Unternehmen geeignet ist, sollte das Hauptziel der Datenklassifizierung darin bestehen, sensible Daten zu identifizieren und Prozesse, Labels und Berechtigungen entsprechend anzupassen. Behörden oder öffentliche Einrichtungen mit besonders sensiblen Daten könnten mehrere Klassifizierungsstufen verwenden, während für kleinere Unternehmen zwei oder drei Stufen ausreichen dürften. 

Richtlinien und Empfehlungen zur Datenklassifizierung bieten Normungsorganisationen wie die International Standards Organization (ISO 27001) und das National Institute of Standards and Technology (NIST SP 800-53). Neben diesen Standards und Empfehlungen sollte der Prozess der Datenklassifizierung selbst klar definiert sein. Amazon Web Services (AWS) bietet einen fünfstufigen Rahmen zur Entwicklung von Richtlinien für die Datenklassifizierung: 

  1. Erstellung eines Datenkatalogs für verschiedene Datentypen 
  1. Bewertung der geschäftskritischen Funktionen und Durchführung einer Folgenabschätzung 
  1. Kennzeichnung von Informationen 
  1. Verwaltung von Assets 
  1. Kontinuierliche Überwachung 

Die Datentypen des Katalogs sollten auf Basis der unternehmenseigenen Klassifizierungsstufen gruppiert werden, wobei die Sicherheitsstufen nach ihrer Kritikalität für das Unternehmen bemessen werden. Jeder Datentyp wird nach seinen Auswirkungen bewertet. 

Eine Kennzeichnung der Daten empfiehlt sich zur Qualitätssicherung. AWS nutzt für die Datenkennzeichnung Tools wie Amazon SageMaker (ein Tool zum Erstellen, Trainieren und Bereitstellen von Modellen für maschinelles Lernen in AWS) und AWS Glue (ereignisgesteuerter ETL-Dienst zum Identifizieren und Kategorisieren von Daten). Nach der Kennzeichnung werden die Datensätze entsprechend ihrer Sicherheitsstufe behandelt. Hier sollten spezifische Sicherheits- und Zugriffskontrollen eingerichtet werden, etwa durch ein Identity Access Management (IAM), das regelt, wer welche Daten sehen und bearbeiten darf. 

Automatische Klassifizierung

Kontinuierliche Überwachung, die Identifizierung externer Bedrohungen und die Aufrechterhaltung normaler Funktionen und Prozesse, die auf Daten beruhen, sollten automatisiert ablaufen. Die manuelle Durchführung der Datenklassifizierung ist zeitaufwändig und fehleranfällig. Automatisierung hilft, den Prozess zu kontrollieren und das Risiko menschlicher Fehler und Datenverletzungen zu minimieren. AWS verwendet das Machine-Learning-Tool Amazon Macie, um vertrauliche und sensible Daten in AWS zu erkennen, zu klassifizieren und zu schützen. Über Dashboards können Daten visualisiert, auf sie zugegriffen und Warnmeldungen angezeigt werden. 

Nach der Auswahl der S3-Buckets, die für Macie aktiviert werden sollen, lassen sich verschiedene Optionen einstellen. Neben der Häufigkeit der Objektprüfungen und der Filterung von Objekten nach Tags können benutzerdefinierte Datenkennungen verwendet werden. Dabei handelt es sich um eine Reihe von Kriterien zur Erkennung sensibler Daten. Reguläre Ausdrücke, Schlüsselwörter und eine maximale Übereinstimmungsdistanz lassen sich definieren, um bestimmte Daten für Analysezwecke auszuwählen. 

Vergrößerungsglas für kritische Daten 

Die Website Edmunds, die sich auf den Autokauf spezialisiert hat, beschreibt Macie und die Datenklassifizierung als ein „automatisches Vergrößerungsglas“ für kritische Daten, die sonst schwer zu erkennen wären. Hauptvorteile des Tools sind die Einsicht in geschäftskritische Daten, die Identifizierung gemeinsamer Zugangsdaten und der Schutz von Benutzerdaten. Es gibt jedoch zahlreiche alternative Tools zur Automatisierung der Datenklassifizierung, die durch eine einfache Google-Suche gefunden werden können. Dies zeigt, dass die Datenklassifizierung in fast allen Unternehmen benötigt wird und ihr geschäftlicher Nutzen allgemein anerkannt ist.  

Autor: Florian Disson, Managing Director Germany von Solita

weitere Beiträge zum Thema:

 

Der EAS-Insider – Ihr Navigator zu einem erfolgreichem Business!

Unsere aktuellen Blog-Beiträge!

Das sind die aktuellen Beiträge zum Thema:

Aktuelle Beiträge zum Thema:
 

DAS EAS-MAG-Glossar für den Beitrag:

Datenklassifizierungsmethoden für Data Governance

EAS-MAG-Glossar:

Data Governance

Data Governance bezeichnet die Verwaltung, Kontrolle und Optimierung der Daten in einem Unternehmen, um deren Integrität, Sicherheit und Nutzbarkeit sicherzustellen. Dabei werden Richtlinien, Standards und Verfahren eingeführt, um Daten effektiv zu verwalten. Dies umfasst die Festlegung von Verantwortlichkeiten, das Management der Datenqualität, die Zugriffssteuerung sowie die Einhaltung gesetzlicher Vorschriften. Ziel der Data Governance ist es, Daten als strategische Ressource zu nutzen, indem sie konsistent, korrekt und geschützt sind. Dadurch wird eine fundierte Entscheidungsfindung ermöglicht, Geschäftsprozesse werden verbessert und Risiken durch unsachgemäßen Umgang mit Daten minimiert.

Automatisierung

Automatisieurng bezieht sich auf die Nutzung von Technologie, um repetitive und manuelle Aufgaben zu minimieren oder vollständig zu eliminieren. Dies geschieht durch den Einsatz von Software-Tools und Systemen, die Arbeitsabläufe effizienter gestalten und menschliche Eingriffe reduzieren. Automatisierung in Unternehmenssoftware umfasst Bereiche wie Buchhaltung, Kundenservice, Datenverarbeitung und Bestandsmanagement. Sie verbessert die Genauigkeit, Geschwindigkeit und Konsistenz von Prozessen, während sie die Kosten senkt und die Produktivität steigert. Automatisierung ermöglicht es Mitarbeitern, sich auf strategische und kreative Aufgaben zu konzentrieren. Sie unterstützt die digitale Transformation und hilft Unternehmen, wettbewerbsfähig zu bleiben, indem sie schnell auf Marktveränderungen reagieren können.

 
Transparenzhinweis für Pressemitteilung
Datenklassifizierungsmethoden für Data Governance

Unternehmen

Solita

Solita ist ein europäischer Marktführer für datengetriebene digitale Transformation und Unternehmensdesign mit über als 2.100 Spezialist*innen in neun Ländern. Die Geschäftstätigkeit umfasst Technologie, Daten und einen menschen-zentrischen Beratungsansatz mit Schwerpunkt in den Bereichen Big Data, KI und Advanced Analytics. Das Ziel des Unternehmens: Werte aus Daten in der vernetzten Welt schaffen. Der Spezialist verknüpft die Intelligenz von Menschen und Maschinen für nachhaltiges Wachstum durch Daten und Technologie. Dabei führen die Lösungen zum Unternehmenswachstum und stehen im Dienst für eine bessere Gesellschaft. Das Leistungsspektrum von Solita umfasst strategische Beratung, Service Design, Software-Entwicklung und Cloud Services. Solita wurde 1996 gegründet und beschäftigt Spezialist*innen für das digitale Geschäft in Finnland, Schweden, Norwegen, Dänemark, Estland, Belgien, Polen, Deutschland und der Schweiz. 

Autor

Florian Disson, Managing Director Germany von Solita