Was bedeutet Datenklassifizierung? [4 typische Arten]

Über die einfache Organisation von Informationen hinaus kann die Datenklassifizierung Ihrem Unternehmen helfen, Daten zu schützen und zu verwalten, um eine bessere Cyberhygiene zu gewährleisten.

Was versteht man unter Datenklassifizierung? Datenklassifizierung bedeutet, dass Daten in verschiedene Kategorien eingeteilt werden, um die Verwaltung, den Schutz und die Nutzung dieser Daten zu erleichtern.

Was versteht man unter Datenklassifizierung?

Bei der Datenklassifizierung werden Daten für unbefugte Betrachter oder Leser gesperrt, um die Weitergabe dieser Daten für persönliche, geschäftliche oder behördliche Zwecke zu minimieren. Zu diesen Daten gehören in der Regel Geschäftsgeheimnisse, Staatsgeheimnisse oder identifizierbare Informationen, die Personen schaden könnten, die mit einem Unternehmen zusammenarbeiten oder Kunden oder Mitarbeiter dieses Unternehmens sind.

In Bezug auf die Klassifizierung (und in vielen anderen Formen des Datenschutzes) liegt der Schwerpunkt auf der “CIA-Triade” (Confidentiality, Integrity, Availability – zu Deutsch Geheimhaltung, Integrität, Verfügbarkeit) zum Schutz der Daten:

• Geheimhaltung: Gewährleisten der Vertraulichkeit von Informationen, indem die unbefugte Einsichtnahme in diese Informationen verhindert wird.
• Integrität: Gewährleisten der Integrität der Daten durch Kontrollen, die sicherstellen, dass die Daten unverändert und unversehrt bleiben.
• Verfügbarkeit: Gewährleisten der Zugänglichkeit von Daten für autorisierte Benutzer, so dass andere Kontrollen diese Benutzer nicht daran hindern, diese Informationen zu nutzen.

Aus diesen Elementen der Triade ergibt sich, dass eine Klassifizierung nur im Rahmen einer bestimmten Reihe von Kontrollen, Verfahren und Prozessen möglich ist, die sicherstellen, dass nur autorisierte Personen diese als vertraulich eingestuften Informationen einsehen können.

Diese Kontrollen fallen oft unter bestimmte Kategorien:

• Sicherheit und Compliance: Jedes Unternehmen, das mit sensiblen Daten arbeitet, unterliegt höchstwahrscheinlich spezifischen Bestimmungen, die technische Security Frameworks abdecken. Auch in der Privatwirtschaft gibt es Rahmenwerke, die die Anforderungen an die Sicherheit und den Umgang mit klassifizierten Daten regeln.
• Governance: Um die Vertraulichkeit, Integrität und Zugänglichkeit zu gewährleisten, müssen Unternehmen über Richtlinien verfügen, die festlegen, wie Daten verwaltet werden sollen, in welchen Systemen und mit welchen Richtlinien und Verfahren diese Daten und Systeme im Alltag geschützt werden.
• Benutzerfreundlichkeit: Zugänglichkeit setzt voraus, dass autorisierte Personen die Daten im Rahmen ihrer Arbeit einsehen und nutzen können. Dementsprechend stellen Kontrollen der Benutzerfreundlichkeit sicher, dass diese Personen dies tun können, ohne die Informationen zu gefährden.

Die Verwendung des Wortes “Klassifizierung” im Zusammenhang mit Daten kann sich also sowohl auf die korrekte Nomenklatur für die behördliche Klassifizierung als auch auf die umfassendere Bedeutung der Organisation von Daten durch Kennzeichnungen zum Schutz dieser Daten beziehen.

Arten der Datenklassifizierung

Die Diskussion über die Klassifizierung von Daten kann mehrere Kontexte umfassen, die Dutzende von Kontroll- und Bedarfsanwendungen abdecken.

Im Allgemeinen gibt es drei übergreifende Arten der Klassifizierung:

• Daten-basiert: Diese Klassifizierung erfolgt anhand der Art der zu schützenden Informationen. Die Dateien werden untersucht, um festzustellen, ob sie bestimmte geschützte Daten enthalten, wie personenbezogene Daten oder Finanzdaten in Bezug auf Einzelpersonen oder ein Unternehmen.
• Kontext-basiert: Dieser Klassifizierungsansatz berücksichtigt die Verwendung der fraglichen Informationen, wer sie erstellt hat, wo sie erstellt wurden, sowie Meta-Variablen, die anzeigen, dass etwas als sensibel eingestuft werden sollte.
• Benutzer-basiert: Einzelne Personen treffen spezifische Entscheidungen über die Klassifizierung auf Basis eines jeden Dokuments.

Diese unterschiedlichen Ansätze erstrecken sich über zahlreiche Kontexte und überschneiden sich sogar in ein und derselben Branche.

Öffentliche Klassifizierung

Die Einstufung als öffentlich ist im Allgemeinen die freizügigste. Sie kann sensible Informationen enthalten, wenn diese der Öffentlichkeit über einen anderen Mechanismus zugänglich sind. Für diese Form von Daten gelten in der Regel nicht die gleichen Sicherheitskontrollen wie für andere Formen.

Solche Daten können Folgendes umfassen:

• Organigramme
• Vor- und Nachnamen
• Presse-Informationen
• Whitepaper
• Architektur-Leitfäden

Interne Klassifizierung

Die interne Klassifizierung bezieht sich hauptsächlich auf Geschäfts- und Betriebsgeheimnisse, sprich Geschäftsinformationen, die bei Veröffentlichung das geistige Eigentum oder die Wettbewerbsfähigkeit des Unternehmens gefährden könnten.

Beispiele für solche Daten sind:

• Produkt-Schemata
• Interne E-Mails
• Intranet-Plattformen
• Budgets und Finanzprognosen

Staatliche Klassifizierung

Wenn wir an “klassifizierte Informationen” denken, denken wir häufig an die Klassifizierung durch staatliche Stellen. Mit dem zunehmenden Wachstum der digitalen Lieferkette für Bundesbehörden (Cloud-Plattformen, Anwendungen usw.) ist die Klassifizierung von Technologieanbietern ein entscheidender Punkt.

Diese Kategorie kann mehrere unterschiedliche Arten des Datenschutzes umfassen, darunter:

• Geheim-Klassifizierung: Die Regierung stuft sensible Staatsgeheimnisse als “Vertraulich”, “Geheim” oder “Streng Geheim” ein, was ein höheres Maß an Schutz und Einschränkungen bedeutet. Streng geheime Dokumente sind nur für einige wenige Personen einsehbar.

  Neben diesen Einstufungen finden Sie oft auch flexiblere Klassifizierungsbezeichnungen. So kann ein als “Streng geheim” eingestuftes Dokument auch einen spezifischeren Zugriffsschutz für Informationen haben, die lediglich nach dem Prinzip “Kenntnisnahme erforderlich” behandelt werden. Dieser Ansatz verhindert, dass die sensibelsten Geheimnisse versehentlich offengelegt werden.

  Der Zugang zu klassifiziertem Material in dieser Kategorie erfordert in der Regel eine sehr spezifische Autorisierung, und solche Informationen befinden sich in sehr privaten Netzwerken wie dem Secret IP Router Network (SIPRNET).

• Kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI): Wenn Auftragnehmer mit US-Verteidigungsbehörden zusammenarbeiten, können sie Informationen generieren, die zwar nicht als Verschlusssache eingestuft sind, aber zum Schutz der beteiligten Behörden und Unternehmen geheim bleiben sollten. CUI sind eine besondere Form dieser Daten – Daten, die wichtig genug sind, um ein ganzes Compliance Framework (Cybersecurity Maturity Model Certification [CMMC]) zu haben, das vom National Institute of Standards and Technology (NIST) und dem US-Verteidigungsministerium verwaltet wird.

  CUI können in konventionellen Netzwerken gespeichert werden, doch erfordern diese Netzwerke strenge Sicherheitskontrollen.

Vertrauliche Klassifizierung

Im privaten Sektor geht es bei der “Klassifizierung” von Daten weniger um die Kennzeichnung wichtiger Geheimnisse als vielmehr um die Identifizierung von Informationen, die aufgrund ihrer Sensibilität geschützt werden müssen. Eine solche Sensibilität kann den Schutz von Geschäftsgeheimnissen beinhalten oder, was noch wichtiger ist, den Schutz der Daten von Kunden und Patienten, die sie betreuen. Dies erfordert eine Strategie für das Cybersecurity-Risikomanagement.

Einige der sensiblen Klassifizierungen von persönlichen Daten sind:

• Personenbezogene Daten: Persönlich identifizierbare Informationen (PII) sind die Grundlage für den Datenschutz in fast allen auf dem Markt befindlichen Vorschriften. Zu diesen Daten gehören Sozialversicherungsnummern, Adressen, Telefonnummern, Finanzinformationen und alles, was dazu verwendet werden kann, eine Person zu identifizieren und sensible Informationen über diese Person zusammenzustellen (wie man sie kontaktieren kann, wo sie lebt usw.).

  Fast jeder Compliance-Standard, ob öffentlich oder privat, schützt in irgendeiner Form personenbezogene Daten.

• Geschützte Gesundheitsinformationen: Der Begriff „geschützte Gesundheitsinformationen“ (Protected Health Information, PHI) bezeichnet eine bestimmte Form von Informationen, die in den Bestimmungen des Health Insurance Portability and Accountability Act (HIPAA) festgelegt sind und die Patientenversorgung betreffen. Informationen, die von Krankenhäusern, Ärzten und Versicherungsgesellschaften bearbeitet werden, wie z. B. Krankenakten, Arztbriefe oder Zahlungsinformationen im Zusammenhang mit der Gesundheitsversorgung, gelten als PHI. Das Gleiche gilt für die Personalabteilung eines Unternehmens – oder auch für andere Abteilungen, die mit PHI arbeiten.
• Primäre Kontonummer: Die primäre Kontonummer (Primary Account Number, PAN) bezieht sich auf Karteninhaberinformationen, einschließlich Kontonummern, Chip- oder Magnetstreifendaten oder zugehörige CVV-Nummern.

In der Privatwirtschaft ist es wichtig, Daten und Datenspeichersysteme auf Grundlage der Art der Informationen und der Branche, die Sie betreuen, zu klassifizieren.

Was sind die Herausforderungen und Best Practices beim Schutz von klassifizierten Daten?

Es mag einfach erscheinen, Daten und verschiedene Klassifizierungen zu verfolgen, was in vielen Fällen auch stimmt. Die moderne Technologie eignet sich nicht für einen “Walled Garden”-Ansatz, bei dem man die Außenwelt einfach abschotten kann. Wenn diese Informationen für mehrere Personen nutzbar und verfügbar sein müssen und wenn ein Unternehmen fortschrittliche Infrastrukturen wie Online-Apps und die Cloud nutzt, muss es die besten Verfahren zur Datenklassifizierung und zum Datenschutz kennen.

Einige der Herausforderungen und Best Practices hierfür sind:

• Schwachstellen: Sensible Daten können auf unzählige Arten offengelegt werden, was sich bei komplexen Systemen als verwirrend erweisen kann. Darüber hinaus ändert sich auch die Art und Weise, wie sich die Klassifizierung auf die Einhaltung gesetzlicher Vorschriften

  Die Einhaltung wichtiger Richtlinien, einschließlich der Pflege eines Inventars sensibler Systeme und Datenströme, ist entscheidend für die Aufrechterhaltung der Sicherheit, die für verschiedene Arten der Klassifizierung angemessen ist.

• Expertise: Die Verwaltung der Klassifizierung und Sicherheit ist ein Vollzeitjob, für den man jahrelang trainiert, um ihn gut zu machen. Viele größere Unternehmen, insbesondere solche, die regelmäßig mit sensiblen Daten zu tun haben, verfügen über spezielle Compliance- und Klassifizierungsmanager, die sicherstellen, dass die Richtlinien und die Infrastruktur des Unternehmens den Anforderungen entsprechen.

  Unternehmen sollten nicht an der Expertise sparen. Wenn Sie nicht die Zeit oder die Ressourcen haben, um interne Compliance- und Sicherheitsbeauftragte zu unterhalten, arbeiten Sie mit externen Sicherheitsfirmen zusammen, die auf Ihre Branche spezialisiert sind.

• Umsetzung: Eine Richtlinie ist nur so gut, wie sie umgesetzt wird, und der beste Governance-Ansatz ist bedeutungslos ohne Menschen und Technologie, die sicherstellen, dass er funktioniert.

  Verwenden Sie Technologien, die vorschriftsmäßige Abläufe und eine sichere Datenspeicherung und -übertragung unterstützen. Nutzen Sie außerdem Tools mit entsprechender Automatisierung und Audit-Protokollierung, um sicherzustellen, dass Sie die Anforderungen erfüllen und Probleme bis zu ihrer Quelle zurückverfolgen können.

Schutz klassifizierter Informationen durch Kiteworks

Compliance und Sicherheit sind die Eckpfeiler im Umgang mit klassifizierten Daten. Das bedeutet, dass Sie in Ihrem gesamten Unternehmen – von der Speicherung über die Verarbeitung bis hin zur Übertragung – die richtige Technologie einsetzen müssen, um Daten jeglicher Klassifizierung sicher und vertraulich zu behandeln.

Das Kiteworks Private Content Network unterstützt viele Compliance Frameworks und konzentriert sich dabei auf den Datenschutz, ohne dass die Art und Weise, wie Ihr Unternehmen diese Informationen nutzt und weitergibt, beeinträchtigt wird. Das Kiteworks Private Content Network integriert Ende-zu-Ende-Verschlüsselungsfunktionen für die gängigsten Geschäftsanwendungen, wie E-Mail, sichere Dateiübertragung, APIs (Application Programming Interfaces) und Web-Formulare.

Kiteworks bietet die folgenden Funktionen:

• Sicherheit und Compliance: Kiteworks verwendet AES-256-Verschlüsselung für Daten im ruhenden Zustand und TLS 1.2+ für Daten während der Übertragung. Die gehärtete virtuelle Appliance der Plattform, die granularen Kontrollen, die Authentifizierung, die Integration anderer Security Stacks und die umfassende Protokollierung und Audit-Reporting ermöglichen es Unternehmen, einfach und schnell die Einhaltung von Sicherheitsstandards nachzuweisen.

Die Kiteworks-Plattform verfügt über Out-of-the-Box-Compliance-Berichte für branchenspezifische und gesetzliche Vorschriften und Standards, wie HIPAA, Payment Card Industry Data Security Standard (PCI DSS), SOC 2 und General Data Protection Regulation (GDPR/DSGVO).

Darüber ist Kiteworks nach diversen Standards zertifiziert und hält diese ein, darunter FedRAMP, FIPS (Federal Information Processing Standards) und FISMA (Federal Information Security Management Act).

Ebenso wurde Kiteworks nach den IRAP-Kontrollen (Information Security Registered Assessors Program) der Stufe PROTECTED bewertet. Darüber hinaus erfüllt Kiteworks nach einer kürzlich durchgeführten Bewertung fast 89% der CMMC Level 2 Verfahren. 

• Audit-Logging: Mit den unveränderlichen Audit-Protokollen von Kiteworks können Unternehmen darauf vertrauen, dass Angriffe früher erkannt werden und die korrekte Beweiskette für die Forensik erhalten bleibt.

Da das System die Einträge aller Komponenten zusammenführt und standardisiert, sparen die Teams des Security Operations Center mit Kiteworks’ vereinheitlichtem Syslog und Warnmeldungen viel Zeit und helfen den Compliance-Teams bei der Vorbereitung auf Audits.

• SIEM-Integration: Kiteworks unterstützt die Integration mit den wichtigsten SIEM-Lösungen (Security Information and Event Management), darunter IBM QRadar, ArcSight, FireEye Helix, LogRhythm und andere. Es verfügt außerdem über den Splunk Forwarder und enthält eine Splunk App.

• Transparenz und Management: Das CISO-Dashboard in Kiteworks gibt Unternehmen einen Überblick über ihre Daten: wo sie sich befinden, wer auf sie zugreift, wie sie verwendet werden und ob die gesendeten, freigegebenen oder übertragenen Daten den gesetzlichen Vorgaben und Standards entsprechen. Das CISO-Dashboard ermöglicht es Führungskräften, fundierte Entscheidungen zu treffen und bietet gleichzeitig einen detaillierten Überblick über die Compliance.

• Single-Tenant-Cloud-Umgebung: File-Sharing, automatisierte Dateiübertragungen, Dateispeicherung und Benutzerzugriff erfolgen auf einer dedizierten Kiteworks-Instanz, die lokal, auf den Infrastructure-as-a-Service (IaaS)-Ressourcen eines Unternehmens oder als private Single-Tenant-Instanz von Kiteworks in der Cloud auf dem Kiteworks Cloud-Server gehostet wird. Das bedeutet keine gemeinsame Laufzeit, keine gemeinsamen Datenbanken oder Repositorys, keine gemeinsamen Ressourcen und kein Potenzial für Cloud-übergreifende Sicherheitsverletzungen oder Angriffe.

Sehen Sie sich das Kiteworks Private Content Network an und erfahren Sie, wie es Datenschutz und Compliance für Ihre Kommunikation mit sensiblen Inhalten gewährleistet. Vereinbaren Sie noch heute einen Termin für eine individuell konzipierte Demo.

Weitere Informationen

• Video How Mandiant Uses Kiteworks to Protect the Sensitive Information Used to Help Protect Businesses Worldwide
• Brief Why Kiteworks Excels Over PreVail
• Webinar What You Need to Know About Microsoft Content Risk Gaps