Was ist Data Classification (Datenklassifizierung)?

Data Classification (Datenklassifizierung oder Datenklassifikation) ist eine Methode zum Definieren und Kategorisieren von Dateien und anderen kritischen Geschäftsinformationen. Sie kommt meist in großen Unternehmen zum Einsatz, deren Sicherheitssysteme strenge gesetzliche Vorschriften erfüllen müssen. Aber auch kleine Organisationen nutzen Data Classification. Der wichtigste Zweck der Datenklassifizierung ist, die Sensibilität der gespeicherten Informationen zu bestimmen, damit um sie herum die richtigen Cybersicherheitstools, Zugriffskontrollen und Monitoring aufgebaut werden kann.

Data Classification ist der Prozess, Datensätze anhand der Sensibilität der Informationen, die sie beinhalten, zu kategorisieren. Indem sie ihre Daten klassifizieren, können Organisationen zwei wichtige Erkenntnisse gewinnen:

• Wer Zugriff auf die Daten haben sollte.
• Welche Schutzrichtlinien für die Speicherung und den Transfer der Daten gelten sollten.

Datenklassifizierung kann auch dabei helfen, die anwendbaren Gesetze für den Schutz der Daten zu bestimmen. Alles in allem unterstützt Datenklassifizierung Unternehmen, ihre Daten besser zu verwalten, um Datenschutz, Konformität mit gesetzlichen Vorgaben und Cybersicherheit zu gewährleisten.

Jede Organisation sollte die Daten, die sie generiert, verwaltet und speichert kategorisieren. Aber für große Unternehmen ist es von besonderer Bedeutung. Das liegt daran, dass Datensätze bei großen Unternehmen über viele Umgebungen verteilt sind, einschließlich der Cloud.

Administratoren müssen diese Informationen nachverfolgen und prüfen, um sicherzustellen, dass die richtigen Authentifizierungs- und Zugriffskontrollen im Einsatz sind. Data Classification versetzt Administratoren in die Lage, die Orte, an denen sensible Daten gespeichert sind, zu identifizieren, und darauf aufbauend festzulegen, wie auf diese Orte zugegriffen und wie sie geteilt werden sollten.

Klassifizierung ist der erste wichtige Schritt beim Einhalten fast aller gesetzlichen Datenschutzvorgaben. HIPAA, die DSGVO, FERPA und andere gesetzliche Rahmenwerke sehen vor, dass Daten mit einem Label versehen werden, damit Sicherheits- und Authentifizierungskontrollen den Zugriff entsprechend der Sensibilitätsstufe einschränken können. Daten zu labeln hilft bei deren Organisierung und Sicherung. Diese Übung reduziert auch die Zahl unnötig duplizierter Daten, verringert Speicherkosten, erhöht die Leistungsfähigkeit und macht sie auch beim Teilen nachverfolgbar.

Data Classification ist die Grundlage für wirksame Datenschutzrichtlinien und Data Loss Prevention (DLP). Um effektive DLP-Regeln umzusetzen, müssen Sie Ihre Daten erst einmal klassifizieren, sodass Sie wissen, welche Daten in jeder Datei gespeichert sind.

Alle gespeicherten Daten können in Kategorien aufgeteilt werden. Um Ihre Daten zu klassifizieren, müssen Sie sich jedes Mal, wenn Sie einen neuen Datensatz auftun und diesen analysieren, eine Reihe an Fragen stellen. Verwenden Sie die folgenden Beispielfragen, wenn Sie Ihre Datensätze durchgehen:

• Welche Informationen speichern Sie hier über Kunden, Angestellte und Lieferanten?
• Welche Arten an Daten generiert Ihre Organisation, wenn ein neuer Datensatz erstellt wird?
• Wie sensibel sind die Daten auf einer numerischen Skala (z.B. von 1-10, wobei 1 die sensibelsten Daten kennzeichnet)?
• Wer muss auf jeden Fall auf die Daten zugreifen können, um den Geschäftsbetrieb am Laufen zu halten?

Mithilfe dieser Fragen können Sie erste lose Kategorien für Ihre Daten definieren, einschließlich:

• Hohe Sensibilität: Diese Daten müssen besonders geschützt und getrackt werden, um sie vor Bedrohungsakteuren zu schützen. Diese Kategorie fällt oft unter gesetzliche Vorgaben. Die Zahl der Nutzer, die auf Informationen mit solch strengen Zugriffskontrollen zugreifen können, sollte auf das absolute Notwendige reduziert werden.
• Mittlere Sensibilität: Dateien und Daten, die zwar nicht öffentlich zugänglich sein sollen, bei denen eine Datenverletzung jedoch kein gravierendes Risiko darstellen würde, sollten der mittleren Sensibilisierungsstufe zugerechnet werden. Hier sind wie bei den hoch sensiblen Daten Zugriffskontrollen notwendig, aber eine größere Zahl an Nutzern haben Zugriff.
• Niedrige Sensibilität: Bei diesen Daten handelt es sich üblicherweise um öffentlich einsehbare Informationen, bei denen nicht viel an Sicherheitsmaßnahmen notwendig ist, um sie vor einer Datenverletzung zu schützen.

Data Classification arbeitet Hand in Hand mit anderen Technologien, um Daten besser zu schützen und zu verwalten. Sollte die Organisation eine Datenverletzung erleiden, hilft Datenklassifizierung den Administratoren, verlorene Daten zu identifizieren und womöglich die dahinterstehenden Cyberkriminellen ausfindig zu machen.

Diese Technologien bauen auf Data Classification auf:

• Identity-Access-Management (IAM): IAM-Werkzeuge lassen Administratoren bestimmen, wer und was auf Daten zugreifen darf. Nutzer mit ähnlichen Berechtigungen können in Gruppen zusammengefasst werden. Gruppen bekommen Autorisierungsstufen und werden als eine Einheit behandelt. Wenn ein Nutzer geht, kann er aus der Gruppe entfernt werden, wodurch er alle seine Berechtigungen verliert. Diese Art der Gruppierung und Strukturierung von Nutzern vereinheitlicht das Berechtigungsmanagement über das gesamte Netzwerk hinweg.
• Datenverschlüsselung: Gewisse Datensätze müssen im Ruhe- und Transferzustand verschlüsselt sein. „At Rest“-Daten können auf jedem beliebigen Speichermedium – üblicherweise eine Festplatte – gespeichert sein. Daten „in motion“ bezeichnet Daten, die gerade über ein Netzwerk verschickt werden. Das Verschlüsseln dieser Daten macht sie unlesbar, wenn ein Angreifer es schafft, sie abzufangen.
• Automatisierung: Automatisierung funktioniert in Kombination mit Monitoring-Werkzeugen und findet, klassifiziert und labelt Daten für die administrative Überprüfung. Manche Tools haben künstliche Intelligenz (KI) und Maschinenlernen (ML) integriert, um Daten automatisch aufzuspüren, zu labeln und zu klassifizieren. Wenn Daten ein Label besitzen, können Administratoren mithilfe von IAM Berechtigungen anwenden und spezielle Bedrohungen davon abhalten, Zugriff auf die gespeicherten Daten zu erlangen.
• Datenforensik: Forensik heißt der Prozess, mit dem festgestellt wird, was schiefgelaufen ist und wer das Netzwerk kompromittiert hat. Nach einer Datenverletzung sammelt und sichert die Datenforensik Beweise für weitergehende Untersuchungen. Datenforensik ist normalerweise ein zweistufiger Prozess. Automatisierungswerkzeuge sammeln als erstes die Daten, woraufhin dann ein menschlicher Analyst Anomalien identifiziert und auf den Grund geht.

Indem Sie folgende Stufen beachten, können Sie Ihre Daten besser klassifizieren. Data Classification wird üblicherweise in vier Kategorien heruntergebrochen:

Öffentliche Daten

Diese Daten sind entweder vor Ort oder über das Internet öffentlich zugänglich. Öffentliche Daten erfordert kaum Sicherheitsmaßnahmen, weil ihre Offenlegung keinen Gesetzen verstoßen würde.

Interne Daten

Memos, geistiges Eigentum und E-Mails sind einige Beispiele für Daten, die nur internen Angestellten vorbehalten sein sollten.

Vertrauliche Daten

Der Unterschied zwischen internen und vertraulichen Daten ist, dass eine spezielle Genehmigung notwendig ist, um vertrauliche Daten einzusehen. Sie können bestimmten Angestellten oder autorisierten Drittanbietern eine Genehmigung erteilen.

Geheime Daten

Bei geheimen Daten handelt es sich meist um Regierungsinformationen, auf die nur autorisierte Individuen Zugriff haben. Die unautorisierte Herausgabe geheimer Daten kann den Einnahmen und dem Ansehen des Unternehmens einen unabweisbaren Schaden zufügen.

Bevor Sie mit der Überprüfung Ihrer Datenklassifizierung beginnen, muss Proofpoint und Ihre Organisation auf dem gleichen Nenner sein. Zu Beginn der Prüfung erstellen Proofpoint und Ihre Organisation eine Liste aller Assets, um Ihre Geschäftskategorien zu bestimmen. Sie haben möglicherweise Dateien, die Technologie-, Finanz- und Kundendaten speichern, um einige Beispiele zu nennen. Kategorien zu definieren, bringt Ihre Sicherheitsmaßnahmen in eine Linie mit Ihren Daten.

Dieser Schritt beinhaltet auch das Anwenden von Datenklassifizierungsstufen, wie sie im obigen Abschnitt definiert wurden. Sie haben in jeder Kategorie höchstwahrscheinlich verschiedene Kategorisierungsstufen für jede Gruppe an Dateien. Dieser erste Schritt bildet die Grundlage für den gesamten Datenklassifizierungsprozess.

Wenn Sie entscheiden, dass es nun an der Zeit ist, dass Sie Ihre Daten klassifizieren, um gesetzliche Vorgaben einzuhalten, ist der erste Schritt das Einsetzen von Prozessen, die bei der Sichtung der Datenspeicherorte, der Klassifizierung und dem Festlegen der richtigen Cybersicherheitsmaßnahmen helfen. Welche Prozesse sie umsetzen hängt von den Compliance-Standards Ihrer Organisation und der für die Sicherheit Ihrer Daten am besten geeigneten Infrastruktur ab. Im Allgemeinen besteht Datenklassifizierung aus den folgenden Schritten:

• Durchführen einer Risikoanalyse: Eine Risikoanalyse bestimmt die Sensibilität der Daten und identifiziert, wie ein Angreifer die Netzwerkschutzmechanismen durchbrechen könnte.
• Entwickeln von Klassifizierungsrichtlinien und -standards: Immer, wenn Sie in der Zukunft neue Daten generieren, ermöglicht eine Klassifizierungsrichtlinie die Vereinheitlichung wiederholbarer Prozesse, was es für Mitarbeiter einfacher macht und gleichzeitig die Fehleranfälligkeit des Prozesses minimiert.
• Kategorisieren von Daten: Sobald die Risikoanalyse und die Klassifizierungsrichtlinie stehen, können Sie damit anfangen, Ihre Daten zu klassifizieren, und zwar basierend auf Ihrer Sensibilität, dem Kreis der Zugriffsberechtigten und möglichen Strafen für Compliance-Verstöße bei einer etwaigen Veröffentlichung der Daten.
• Bestimmen des richtigen Speicherorts für die Daten: Bevor Sie die richtigen Cybersicherheitsmaßnahmen anwenden, müssen Sie wissen, wo Ihre Daten am besten gespeichert werden sollen. Datenspeicherorte zu identifizieren, legt gleichzeitig die Art der Cybersicherheitsmaßnahmen fest, die zu ihrem Schutz notwendig sind.
• Identifizieren und klassifizieren von Daten: Sobald Sie Ihre Daten identifiziert haben, können Sie sie nun klassifizieren. Drittanbietersoftware kann Ihnen bei diesem Schritt helfen, damit Sie Daten leichter klassifizieren und nachverfolgen können.
• Einsetzen von Kontrollen: Die Kontrollen, die Sie einsetzen, sollten von jedem Nutzer und jeder Ressource bei einer Zugriffsanfrage Authentifizierung und Autorisierung abgleichen. Der Zugriff sollte nach dem Prinzip „Kenntnis nur, wenn nötig“ erfolgen, was bedeutet, dass Nutzer nur so viel Zugriff bekommen, wie Sie brauchen, um die Daten einzusehen, die Sie für die Erfüllung ihrer konkreten Aufgabe brauchen.
• Überwachen von Zugriffen und Daten: Das Monitoring von Daten ist gesetzlich vorgeschrieben und notwendig für den Datenschutz. Ohne Monitoring könnte ein Angreifer monatelang Daten aus dem Netzwerk ziehen, ohne dass es auffällt. Die richtigen Monitoring-Kontrollen können Anomalien erkennen und die Zeit bis zum Erkennen, Eindämmen und Eliminieren einer Bedrohung aus dem Netzwerk erkennen.

Obwohl Sie den Datenklassifizierungsprozess vereinheitlichen und sogar Teile davon automatisieren können, ist immer noch ein gewisses Maß an menschlichem Zutun und manuellen Prozessen notwendig.

Automatisierte Systeme schlagen Labels und Klassifizierungen vor, aber ein Mensch muss diese prüfen und festlegen, ob sie zutreffend sind oder nicht. Ziele und Standards müssen festgehalten und definiert werden, wofür auch wiederum menschliche Prüfer und IT-Personal vonnöten ist.

Automatisierte Werkzeuge markieren digitale Assets, die einer menschlichen Prüfung bedürfen. Die Liste zeigt die Objekte (wie z.B. Daten zu einem bestimmten Kunden) und die Regeln (HIPAA oder PCI-DSS), die für jedes der Objekte gelten. Manche Automatisierungstools können Objekte auch indexieren. (Indexieren ist der Prozess des Sortierens und Organisierens von Daten, um eine schnelle und effiziente Suche im Netzwerk zu ermöglichen.)

Andere Richtlinien betreffen auch den Prozess der Klassifizierung an sich. Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-weite Gesetzesvorgabe, die Kunden ein Recht auf das Löschen ihrer Daten gibt. Organisationen müssen dem nachkommen, wenn sie Kundendaten in der EU speichern. Manche Datenklassifizierungstools indexieren Objekte, damit sie sich auf Kundenwunsch hin schnell entfernen lassen.

Einer der herausforderndsten Schritte beim Klassifizieren von Daten ist es, die Risiken richtig einzuschätzen. Während es für die meisten sensiblen geheimen Daten Compliance-Standards gibt, müssen sich Organisationen je nachdem, um welche Dateien und Datenbanken es sich handelt, an verschiedene Gesetzesvorgaben halten. Datenklassifizierung hilft dabei, Daten zu sichern und das Einhalten von Gesetzen sicherzustellen. Wenn Sie DSGVO-Vorgaben einhalten müssen, ist dies ein wichtiger Schritt. (Denn Organisationen müssen Kundendaten zum Beispiel indexieren, um sie auf Anfrage löschen zu können.)

Die DSGVO gibt außerdem vor, wie sekundäre persönliche Informationen geschützt werden sollen, wie etwa der ethnische Hintergrund, politische Meinungen und religiöse Überzeugungen von Kunden. Dazu müssen Organisationen diese Daten klassifizieren und die richtigen Berechtigungen für die verschiedenen digitalen Assets einsetzen. Klassifizierung legt fest, wer auf diese Daten zugreifen darf, um deren Missbrauch zu verhindern. Nur dann vermeiden sie die Herausgabe dieser privaten Kundeninformationen und damit verbundene kostspielige Datenverletzungen.

Die drei Schritte, um Daten für die DSGVO zu klassifizieren, sind:

• Aufspüren und Prüfen von Daten: Vor der Klassifizierung müssen Administratoren identifizieren, wo Daten gespeichert werden und welche Regeln auf sie zutreffen.
• Erstellen einer Klassifizierungsrichtlinie: Um gesetzeskonform zu bleiben, sollten Sie Datenklassifizierungsstandards und -prozesse erstellen, um zu definieren, wie Ihre Organisation sensible Daten speichert und transportiert.
• Organisieren und Priorisieren von Daten: Mithilfe der Priorisierung kann Ihre Organisation die Datenklassifizierung und die Berechtigungen für den Datenzugriff festlegen.

Hier sind einige Beispiele für verschieden sensible Daten, die als von hoher, mittlerer oder niedriger Sensibilität eingestuft werden könnten:

• Hohe Sensibilität: Nehmen wir an, Ihre Organisation speichert Kreditkarteninformationen von Kunden als Zahlungsmethode beim Kauf von Produkten. Bei diesen Daten sollten strikte Autorisierungskontrollen sowie Prüfungen der Zugriffsanfragen und Verschlüsselung von Daten im Ruhe- und Transferzustand gelten. Eine Datenverletzung verursacht höchstwahrscheinlich einen Schaden sowohl für den Kunden als auch für die Organisation, weshalb die Daten als hoch sensibel mit strengen Cybersicherheitskontrollen eingestuft werden sollten.
• Mittlere Sensibilität: Für jede Vereinbarung mit einem Lieferanten haben sie einen Vertrag mit handschriftlicher Unterschrift. Diese Daten schaden Kunden nicht, aber es handelt sich trotzdem um sensible Informationen, weil sie Geschäftsdetails enthalten. Diese Daten sollten als mittelsensibel eingestuft werden.
• Niedrige Sensibilität: Daten, die für die Öffentlichkeit bestimmt sind, sollten als von niedriger Sensibilität eingestuft werden. Dazu gehören zum Beispiel Marketingmaterialien auf Ihrer Website, die keine strengen Kontrollen benötigen, weil sie öffentlich zugänglich sind und für ein breites Publikum erstellt wurden.

Datenklassifizierung braucht zwar eine menschliche Interaktion, aber vieles von dem Prozess kann automatisiert werden. Für Automatisierungsprozesse, die Entscheidungen treffen können, hat Proofpoint einen Datenklassifizierungs-Engine mit einer Vorhersagegenauigkeit von 99 % erstellt. KI-Automatisierung stellt sicher, dass Organisationen ihre Dokumente fortlaufend identifizieren, klassifizieren und schützen können, das heißt der Engine scannt und prüft neue Dokumente durchgehend, sobald sie in die Umgebung kommen.

Proofpoint schafft ein Gleichgewicht zwischen menschlichen Prüfungen und KI-basierter Klassifizierung. Das Active-Learning-Modul verarbeitet etwa 20 Dokumente pro Kategorie, um den Prozess in Gang zu bringen und die Genauigkeit zu verbessern. Der Data-Classification-Engine nutzt Maschinenlernmodelle, um Muster zu erkennen. Jede Gruppe an Dateien sollte möglichst divers sein, damit die Maschinenlernalgorithmen eine bessere Genauigkeit erzielen.

Maschinenlernmodelle sagen Label für Dokumente voraus und bestimmen die Genauigkeit ihrer Vorhersagen. Einem Prüfer wird ein „Vertraulichkeitsniveau“ gezeigt, damit dieser für die nächste Runde Informationsklassifizierung die Modelldaten neu bewerten kann. Wenn das Modell sagt, dass die Genauigkeit gering ist, können menschliche Prüfer die Modelle anpassen und ein diverseres Set an Dateien aufnehmen, um die Genauigkeit zu verbessern. Der Engine trainiert sich selbst, indem er neue Informationen für neue, optimale Ergebnisse nutzt. Proofpoint hat seinen Engine so gebaut, dass er Dokumente zugriffsbasiert zuweist, das heißt er erteilt Nutzern nur auf Dateien Zugriff, die sie brauchen, um Ihren Job zu machen.

Proofpoints KI-gestützte Datenklassifizierungssoftware verringert den Großteil der laufenden Kosten für einen Prozess, der sonst Monate dauern könnte. Sie scannt alle Ihre Dateien automatisch, identifiziert den Inhalt von Dateien, vergibt die richtige Kategorie und Klassifizierungsstufen und lässt Sie dann bestimmen, welche Sicherheitsmaßnahmen notwendig sind.

Die Sensibilitätsstufe von Daten bestimmt, wie Sie sie verarbeiten und schützen. Selbst wenn Sie wissen, dass Daten wichtig sind, müssen Sie immer noch das Risiko bewerten. Der Datenklassifizierungsprozess hilft Ihnen dabei, potenzielle Bedrohungen zu erkennen und Cybersicherheitslösungen einzusetzen, die für Ihr Unternehmen den meisten Nutzen bringen.

Indem Sie Sensibilitätsstufen vergeben und Daten kategorisieren, verstehen Sie die Zugriffsregeln rund um kritische Daten. Sie können Daten auf potenzielle Datenverletzungen überwachen und, das ist am wichtigsten, gesetzeskonform bleiben. Compliance-Richtlinien helfen Ihnen die richtigen Cybersicherheitskontrollen festzulegen, aber Sie müssen als erstes eine Risikobewertung durchführen und Daten klassifizieren. Organisationen müssen die Datenklassifizierung oft auslagern, damit die Umsetzung von Cybersicherheitsmaßnahmen effizienter ablaufen kann.

Die Genauigkeit der Datenklassifizierung ist wichtig für zukünftige DLP-Strategien; viele Organisationen – kleine und große – greifen deshalb auf KI-gestützte Automatisierung zurück. Künstliche Intelligenz setzt Maschinenlernmodelle ein, um die richtige Klassifizierungsstufe und Kategorie zu bestimmen.

• Identifizieren Sie äußerst sorgfältig, wo sich sensible Daten, einschließlich geistigem Eigentum, über alle Speicherorte hinweg befindet.
• Definieren Sie Datenkategorien, damit sensible Daten gelabelt und mit den richtigen Berechtigungen versehen werden können. Die Kategorien sollten granular sein – damit die Berechtigungen ebenfalls auf granularer Ebene vergeben werden können. Kategorien sollten es Administratoren auch ermöglichen, Daten innerhalb von Gruppen zu kategorisieren.
• Klären Sie Ihre Mitarbeiter darüber auf, wie Sie sensible Daten behandeln sollen. Geben Sie ihnen das notwendige Handwerkszeug, um sensible Daten zu schützen und Cybersicherheitsregeln zu befolgen.

• Prüfen Sie alle anwendbaren gesetzlichen Vorgaben, damit alle relevanten Regeln befolgt und Strafen vermieden werden.
• Entwickeln Sie Richtlinien, die Nutzer in die Lage versetzen, falsch klassifizierte oder unklassifizierte Daten zu erkennen und das Problem zu beheben.
• Nutzen Sie KI, wo Sie können, um die Genauigkeit zu erhöhen und den Datenklassifizierungsprozess zu beschleunigen.