12 September 2022

Lernen Sie die Best Practices für die Erstellung von Datenklassifizierungen kennen

Die Datenmenge, die weltweit verarbeitet wird, wächst rasant. Um eine Vorstellung von der Größenordnung zu bekommen, über die wir hier sprechen, schauen Sie sich einfach Ihren Computer an und sehen Sie, wie viele Dateien und Dokumente darauf gespeichert sind, und multiplizieren Sie dies dann mit den Milliarden von Geräten, die weltweit in Betrieb sind. Die Gewährleistung der Sicherheit dieser Dokumente ist eine globale Herausforderung, insbesondere für die Unternehmen und Institutionen, die die meisten dieser Dokumente sammeln. Um dies effektiv zu tun, ist es wichtig, Daten angemessen zu klassifizieren, um finanzielle, betriebliche oder organisatorische Verluste zu vermeiden. Die Klassifizierung von Dokumenten ist eine der organisatorischen Sicherheitsvorkehrungen im Rahmen der ISO/IEC 27001. Wie geht man dabei vor und was kann man dadurch erreichen?

Ein Ordner für das gesamte Unternehmen

Nehmen wir ein Beispiel. In einem mittelständischen Unternehmen, das Buchhaltungsdienstleistungen anbietet, arbeiten 20 Personen. Alle Dokumente, die sich auf ihre Fälle beziehen, werden in einem Ordner zusammengefasst. Zur Erleichterung der Arbeit hat jeder Mitarbeiter Zugriff darauf, und es kommen praktisch jeden Tag neue Dokumente hinzu. Wenn ein Ordner nicht richtig geordnet, beschriftet, nach Jahren, Monaten, Kunden oder Mitarbeitern unterteilt ist, wird er bald so unübersichtlich, dass niemand mehr etwas finden kann. Die Dokumente werden herausgenommen, neu geordnet und einige werden wahrscheinlich nie wieder auftauchen. Halt! Wir leben schließlich in einem digitalen Zeitalter. Die Situation ist jedoch im Wesentlichen die gleiche für die elektronische Form von Dateien, die auf Unternehmensservern, in der Cloud, auf der Hardware der Mitarbeiter oder auf externen Datenträgern gespeichert sind. Wenn eine Organisation nicht weiß, welche Art von Dokumenten sie verarbeitet, wer sie sammelt, worauf sie sich beziehen, ob es sich um interne oder externe Dokumente handelt und wie wertvoll sie für das Unternehmen sind, dann führt die voranschreitende Desorganisation zu einem riesigen Durcheinander, das schließlich zu einem Vorfall führen kann, bei dem Informationen an Personen/Einrichtungen weitergegeben werden, die dazu nicht befugt sind. Genau wie ein einzelner Ordner.

Prozess der Datenklassifizierung

Um das Verfahren zur Klassifizierung von Dokumenten in einem Unternehmen zu beginnen, muss man sich zu Beginn einige Fragen stellen: Welche Daten werden gesammelt, wo befinden sie sich, wer hat Zugang zu ihnen und wer soll Zugang zu ihnen haben, wem gehören sie, wie werden sie verbreitet und sind sie für den internen Gebrauch bestimmt oder dürfen sie die Organisation nach außen verlassen. Der Hauptvorteil der Klassifizierung von Dokumenten besteht darin, dass sie die Verantwortlichkeit für die Daten und deren Eigentümer festlegt, was eine gesetzeskonforme Verarbeitung der Daten und folglich eine angemessene Sicherung ermöglicht.

Das Wissen über den Wert und die Sensibilität von Dokumenten kann es Ihnen ermöglichen, das Ausmaß von Sicherheitsverstoßen zu verringern und so die Standards gemäß den DSGVO- und ISO/IEC 27001-Vorschriften einzuhalten. Ein Überblick über die lokalen und Cloud-Speicherorte des Unternehmens, die Daten in verschiedenen Formaten enthalten (z. B. Bilddateien, .pdf-Dateien, Excel- oder Power-Point-Dateien, .doc-Dateien), ist für einen effektiven Prozess der Klassifizierung von Ressourcen unerlässlich. Empfehlungen zur Klassifizierung von Daten werden von der ISO/IEC 27001-Norm vorgeschlagen, die in Absatz A8.2 empfiehlt, dass Organisationen „sicherstellen, dass Informationen ein angemessenes ihrer Relevanz entsprechendes Schutzniveau aufrechterhalten“.

Klassifizierung der Daten einer Organisation in 5 Schritten:

  • Ressourcenregister – sobald bekannt ist, welche Informationen Ihr Unternehmen und Ihre Mitarbeiter verarbeiten und wo sich die Dokumente befinden, sollten diese in einem Ressourcenregister erfasst werden, wobei die für die Daten verantwortlichen Personen und die Formate, in denen sie gespeichert sind, z. B. Papierdokumente, elektronische Dokumente oder Datenträger, zu berücksichtigen sind.
  • Die Entscheidung, wie die Informationen zu kategorisieren sind – die Klassifizierung und ihre möglichen Unterkategorien –, hängt von der Größe der Organisation und einer Reihe anderer Faktoren ab, die von Unternehmen zu Unternehmen festgelegt werden.
  • Klassifizierung – die gebräuchlichste Form der Kennzeichnung der Relevanz von Dokumenten ist ihr Vertraulichkeitsgrad, der festlegt, wer Zugang zu den Informationen hat und wer Eigentümer der Informationen ist. Ein Beispiel für ein Klassifizierungsschema:
    • Stufe I – öffentlich und nicht vertraulich
    • Stufe II – intern, aber Zugang für alle Mitarbeiter
    • Stufe III – intern, aber Zugang für ausgewählte Mitarbeiter
    • Stufe IV – intern, aber nur für Führungskräfte/Management
  • Kennzeichnung – sobald Sie wissen, welche Dokumente als eine bestimmte Informationskategorie eingestuft werden sollen, müssen Sie ein organisationsweites von den Eigentümern einzuhaltendes Verfahren zur Kennzeichnung der Daten auswählen und einführen. Dies könnte z. B. eine Zahl in Kombination mit einem Buchstaben sein, der einer bestimmten Vertraulichkeitsstufe zugeordnet ist.
  • Einführung einer Datenklassifizierungsrichtlinie und Aufklärung – die angemessene Kategorisierung von Daten ist ein gestaffelter Prozess, der aus einem sehr einfachen Grund nicht abgeschlossen werden kann. Ständig kommen neue Dokumente dazu, und die Mitarbeiter müssen wissen, wie sie mit den Informationen umgehen sollen, wer Zugang zu ihnen haben soll und wie sie geschützt werden müssen.

Die Klassifizierung von Dokumenten in einer Organisation scheint eine komplizierte Aufgabe zu sein. Ein Überdenken des gesamten Prozesses, die Wahl der richtigen Strategie für die Tätigkeit und möglicherweise die Einbindung von Fachleuten, die bei der Aufgabe helfen, werden sich jedoch mit Sicherheit auf die Qualität der Arbeit und die geschäftliche Effizienz der Organisation auswirken. Wenn ein Datenklassifizierungssystem vorhanden ist, kann ein Unternehmen durch die Einführung einer DLP-Lösung wie Safetica seine Vermögenswerte leichter schützen. Es hilft bei der kontinuierlichen Überwachung der Daten und ihres Flusses, und durch die Kennzeichnung können Sicherheitsvorfälle schnell erkannt und vor externen Lecks geschützt werden.

Mateusz Piątek
product manager Safetica

Haben Sie Fragen?
Nehmen Sie Kontakt auf:
[email protected]
532 570 255