So entwickeln Sie eine Datenklassifizierungsrichtlinie: Ihr Leitfaden 2023
Nachdem 2021 als Rekordjahr für Datenschutzverletzungen verzeichnet wurde, scheint es, als haben Hacker ihre Anstrengungen noch einmal verdoppelt. Im ersten Quartal 2022 war die Anzahl von Datensicherheitsvorfällen im Vergleich zum Vorjahr um 14% angestiegen, berichtet das Identity Theft Resource Center (ITRC). Dies ist bereits das dritte Jahr in Folge, in dem das erste Quartal eine Zunahme verbuchte. Laut ITRC-Präsidentin und -CEO Eva Velasquez hat diese Periode traditionell die geringste Anzahl von Datengefährdungen gesehen. Sie erklärt: „Die Tatsache, dass die Anzahl der Datenschutzverletzungen in Q1 mit einem zweistelligen Anstieg im Vergleich zum Vorjahr zu Buche schlägt, ist ein weiteres Anzeichen dafür, dass Datengefährdungen im Jahr 2022 weiterhin zunehmen werden.“
Ganze 92% dieser Datenschutzverletzungen wurden mittels Cyberattacken orchestriert, wobei Phishing- und Schadsoftwareangriffe führend waren. Was aber, wenn der Anruf – oder in diesem Fall die Bedrohung der Datenbestände eines Unternehmens – vom Inneren des Hauses getätigt wird?
Wie beispielsweise 2016,, als eine „unabsichtliche“ Datenpanne, die durch eine vom Unternehmen scheidende Mitarbeiterin verursacht worden war, tausende Kunden der Federal Deposit Insurance Corp. (FDIC) traf. Bei ihrem Abgang nahm die ehemalige Agenturmitarbeiterin versehentlich ein Speichergerät mit, auf dem die sensiblen Informationen von über 44.000 Einzelpersonen gespeichert waren, einschließlich deren Namen, Anschriften und Sozialversicherungsnummern. Hatte sie während ihrer Tätigkeit für die FDIC die Befugnis, auf die Daten zuzugreifen? Ja. Wurden die Informationen von jemandem geteilt oder missbraucht? Anscheinend nicht. Aber was lässt sich in Bezug auf ein Unternehmen schließen, wenn ein Mitarbeiter mit sensiblen Kundendaten unter dem Arm das Gebäude verlassen kann, ohne dass es jemand bemerkt? Zum einen, dass es nicht über ein angemessenes Datenklassifizierungssystem verfügt. In diesem Artikel werden wir einen genaueren Blick darauf werfen, warum und wie Sie eine Datenklassifizierungsrichtlinie entwickeln und implementieren sollten – und wie nicht.
Was ist Informationsklassifikation und warum ist sie so wichtig?
Datenklassifizierung bedeutet, dass Informationen anhand von gängigen Merkmalen – wie Informationstyp oder Vertraulichkeitsgrad – kategorisiert werden, um sie leichter auffindbar, nutzbar und schützbar zu machen. Aber das ist nur die halbe Miete: Um sicherzugehen, dass Mitarbeiter und Sicherheitsteams auf der gleichen Wellenlänge sind, was den Schutz sensibler Daten angeht, ist eine formale Informationsklassifikationsrichtlinie ein absolutes Muss.
Der vorrangige Zweck der Datenklassifizierung besteht darin sicherzustellen, dass alle Informationen innerhalb eines Unternehmens gemäß dem durch ihren Diebstahl, ihre Bearbeitung oder ihre Zerstörung verursachten Risiko gehandhabt werden. Wenn dies korrekt erfolgt, können Kosten eingespart, die Risikoexposition verringert, die Effizienz gesteigert und die Compliance mit Datenschutzverordnungen – branchenbezogen oder sonstig – verbessert werden.
Was sollte eine Datenklassifizierungsrichtlinie enthalten?
Da Datenklassifizierungsrichtlinien den Datenverwaltungsbedürfnissen und -protokollen des jeweiligen Unternehmens angepasst sind, werden keine zwei Systeme völlig übereinstimmen. Jedoch gibt es einige Punkte, die jedes Sicherheitsteam erwägen sollte, wenn es ein Datenklassifizierungsprogramm entwickelt: welche Art von Daten vom Unternehmen gesammelt werden, mit welchem Vertraulichkeitsgrad diese versehen werden sollten, wer sie besitzt und auf sie zugreifen kann und welche Gesetze oder Branchenstandards ihre Handhabung regeln. Als absolutes Minimum sollte eine ausgewogene Datenklassifizierungsrichtlinie die folgenden Themen adressieren:
- Zweck
- Umfang
- Rollen und Verantwortlichkeiten
- Datenklassifizierungsprozess
- Datenklassifizierungsleitfaden
- Öffentlich:sämtliche Informationen, die öffentlich zugänglich sein sollen und deren Offenlegung keinen Schaden verursacht, wie z. B. Marketingmaterialien oder Webseiteninhalte
- Personenbezogen: personenbezogene Daten, wie Sozialversicherungsnummern und Gesundheitsinformationen, deren Offenlegung ernsthafte rechtliche und finanzielle Folgen haben kann
- Vertraulich: sensible Informationen, wie Lohnabrechnungsdaten oder Lieferantenverträge, deren Offenlegung sich negativ auf Ihren guten Ruf und Ihren Umsatz auswirken könnte
- Intern: Firmendaten, die für den Geschäftsbetrieb unerlässlich sind und ein mittleres Risikoprofil haben, wie unternehmensweite Leitfäden oder Richtlinien
- Befolgen Sie (in erster Linie) das Gesetz
- Nutzen Sie einen Top-Down-Ansatz
- Machen Sie sie detailliert aber auch einfach interpretierbar
- Machen Sie Mitarbeiterschulungen zur Priorität
- Halten Sie die Richtlinie stets auf dem neuesten Stand
Geben Sie einen allgemeinen Überblick darüber, warum Ihr Unternehmen eine Datenklassifizierungsrichtlinie benötigt, und umreißen Sie ihre zentralen Funktionen, Ziele und Vorteile.
Beschreiben Sie die Arten von Daten, die klassifiziert werden sollten und die Informationssysteme und Personen (z. B. Mitarbeiter, Drittanbieter), auf die sich die Richtlinie bezieht.
Definieren Sie klar und deutlich, wer die Datenklassifizierungsrichtlinie erstellt, implementiert, aktualisiert und geltend macht, und informieren Sie alle Beteiligten darüber.
Schlüsseln Sie auf, wie Datenklassifizierungen innerhalb Ihres Unternehmens erfolgen werden, mit einem speziellen Fokus darauf, wie der Vertraulichkeitsgrad festgelegt wird.
Erklären Sie, in welche Kategorien Datenbestände eingeteilt werden (z. B. vertraulich, intern, etc.) und listen Sie die spezifischen Datentypen auf, die in die einzelnen Kategorien fallen.
Das Namensspiel: ein näherer Blick auf die Arten von Datenklassifizierungen
Die zur Beschreibung von Datenklassifizierungsstufen verwendete Terminologie mag auf den ersten Blick verwirrend sein. Manche Unternehmen machen Gebrauch von drei, vier oder noch mehr Kategorien – besonders, wenn sie im Gesundheits- oder Finanzwesen tätig sind. Einige nutzen Label wie öffentlich, kontrolliert, beschränkt und vertraulich, während andere öffentlich, privat, intern, vertraulich und beschränkt verwenden. Wieder andere weisen hochgefährdete Daten Kategorien wie sensibel, kritisch und geheim zu.
HDie folgende Daumenregel soll Ihnen als Entscheidungshilfe dienen: Die genauen Begriffe sind nicht so wichtig, solange sie die diversen Datenvertraulichkeitsgrade innerhalb Ihres Unternehmens auf akkurate Weise unterscheiden und beschreiben. Hier finden Sie die am häufigsten verwendeten Label, einschließlich einiger Beispiele für Datenklassifizierungen:
Dennoch ist es möglich, dass regions- oder branchenspezifische Verordnungen – wie die Datenschutz-Grundverordnung (DSGVO) der EU, das US-amerikanische Gesundheitsversicherungsübertragbarkeits- und Verantwortungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) oder der Payment Card Industry Data Security Standard (PCI DSS), der für jedes Unternehmen gilt, das Kreditkartendaten akzeptiert, überträgt oder speichert – von Ihnen verlangen, Ihr Klassifikationsschema zu überdenken oder zu präzisieren.
Gemäß der DSGVO, zum Beispiel, handelt es sich bei personenbezogenen Daten um jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie Name und Vorname, Anschrift, Personalausweisnummer, Standortdaten auf einem Mobiltelefon, IP-Adresse, Cookie-ID oder Werbekennung. Darüber hinaus unterliegt eine spezielle Kategorie personenbezogener Daten – sensible personenbezogene Daten – spezifischen Verarbeitungs- und Schutzmaßnahmen.
Beispiele für Letzteres beinhalten Gewerkschaftsmitgliedschaft; biometrische Daten wie Gesichts-, Stimm-, Handflächen-, Retina- oder Ohrerkennung; Gesundheitsinformationen wie medizinische Vorgeschichte oder Fitness-Tracker-Informationen; genetische Daten wie DNA und RNS, und sämtliche Informationen, die die ethnische Herkunft, politische Haltung, religiöse oder philosophische Überzeugung oder sexuelle Orientierung preisgeben.
PCI DSS verlangt von den unter den Standard fallenden Instanzen, dass sie sichere Netzwerke und Systeme aufbauen und aufrechterhalten, um die Daten und Verwendungszwecke des Karteninhabers zu schützen, und Methoden wie Verschlüsselun, Trunkierung, Verfremdung (Masking) oder Hashing nutzen, um die Daten für in das System eindringende Personen unlesbar zu machen. Diese Daten beinhalten die Primary Account Number (PAN), den Namen des Karteninhabers, das Ablaufdatum, den Servicecode, die vollständigen Tracking-Daten (Magnetstreifendaten oder gleichwertige Daten auf einem Chip), CAV2, CVC2, CVV2 und CID-Codes sowie PINs und PIN-Sperrungen.
Welche Vorteile bietet eine Datenklassifizierungsrichtlinie Unternehmen?
Was Sie nicht sehen, können Sie auch nicht schützen
Der offensichtlichste Vorteil einer gut durchdachten Datenklassifizierungsrichtlinie ist, dass das Risiko für Ihr Unternehmen sinkt, Opfer einer Datenschutzverletzung – und der mit ihr gewöhnlich einhergehenden Unterbrechung der Geschäftstätigkeit und Rufschädigung – zu werden. Das bessere Verständnis ihrer Datenlandschaft und der komplette Überblick, den Sie dank derartiger Protokolle über sie haben, leisten hier einen beachtlichen Beitrag.
Gehen Sie über das Abhaken von Compliance-Anforderungen hinaus
Eine Datenklassifizierungsrichtlinie stärkt nicht nur Ihre Immunität gegen saftige Geldstrafen bei Nichteinhaltung der gesetzlichen Verordnungen, sondern hilft Ihnen auch dabei, eine Kultur des gestärkten Datensicherheitsbewusstseins innerhalb Ihres Unternehmens aufzubauen. Wenn sie detailliert aber gleichzeitig einfach verständlich ist, „entmystifiziert“ sie die Datenverwaltung für Mitarbeiter, indem sie ihnen einen klaren Leitfaden für ihre Verpflichtungen bei der Handhabung von Daten bietet.
Sparen Sie unnötige Sicherheitskosten
Laut Gartner, betrugen die Ausgaben für Cybersicherheit 2021 weltweit die Spitzensumme von rund 150 Milliarden US-Dollar – ein Anstieg von über 12% im Vergleich zu 2020. Wie viel davon für den Schutz von Daten aufgewendet wird, die keinen Schutz bedürfen, ist dabei unklar. Eines ist jedoch sicher: Korrekte Datenklassifizierung wird Ihnen genau zeigen, um wie viel Sie Ihr Budget für Sicherheitskontrollen über- oder unterschritten haben.
Lassen Sie Ihre Daten für sich arbeiten
Über 80% von Unternehmensdaten sind unstrukturiert. Anders ausgedrückt: Sie schwirren irgendwo in E-Mail-Nachrichten, Videos, Fotos, Webseiten und Audiodateien herum, die über die Informationssysteme der Firmen verteilt sind. Datenklassifizierung kann Ihnen dabei helfen, diese verborgenen Datenbestände ans Tageslicht zu bringen und sie in suchbare, handhabbare und umsetzbare Einsichten zu verwandeln.
Bewährte Verfahren und gängige Fallgruben beim Erstellen einer
Sollte Ihre Datenklassifizierungsrichtlinie für Ihr Unternehmensprofil, Ihre Arbeitsabläufe, Ihre Ziele und Ihre Bedürfnisse maßgeschneidert sein? Absolut. Jedoch sollte eine Vertiefung in die relevanten Gesetze und Verordnungen der allererste Schritt in Ihrem Datenklassifizierungsprozess sein, um sicherzustellen, dass sie in erster Linie konform und in zweiter Linie benutzerdefiniert ist.
Datenklassifizierung kann einen schnell überwältigen. Daher ist es am besten, darüber nachzudenken, welche Datenklassifizierungspraktiken die größte Bedrohung für Ihr Unternehmen darstellen, und dies als Ausgangspunkt zu nutzen. Sobald Sie diese entscheidenden Bereiche ins Reine gebracht haben, können Sie nach und nach weitere Schwachstellen beheben.
Das Einzige, was überkomplizierte Datenklassifizierungsrichtlinien (oder Richtlinien allgemein) bewirken, ist, dass sie Mitarbeiter dazu bringen, sich nach Behelfslösungen umzusehen. Beschränken Sie die Details gemäß dem Prinzip „Kenntnis nur, wenn nötig“ und verwenden Sie eine Sprache, die auch wenig technisch versierte Beteiligte problemlos verstehen können.
Das schwächste Glied in den Sicherheitsbemühungen von Unternehmen sind die Menschen – und das wird auch weiterhin der Fall bleiben. Aus diesem Grund sollte der erste Punkt auf Ihrer Tagesordnung die Schulung von Mitarbeitern in den Klassifizierungsstufen der von ihnen täglich gehandhabten Daten – und was dies im Hinblick auf die Informationssicherheit des Unternehmens bedeutet – sein.
Planen Sie eine jährliche Überprüfung Ihrer Datenklassifizierungsrichtlinie ein, um sicherzustellen, dass sie sämtliche potenziellen Änderungen inner- und außerhalb des Unternehmens berücksichtigt, wie z. B. die Implementierung eines neuen Informationssystems oder die Einführung neuer regulatorischer Anforderungen.
