idgard logo small
Glossar

Was ist Datenklassifizierung – und warum ist sie so wichtig?

Nicht zuletzt aufgrund fortschreitender Digitalisierung und vermehrter Zusammenarbeit in der Cloud fallen in Unternehmen mittlerweile täglich Unmengen an Daten an. Hierbei den Überblick zu bewahren, gestaltet sich oft schwierig – doch das ist fatal für die IT-Sicherheit und den Datenschutz. Genau hier kommt die Datenklassifizierung ins Spiel. Warum sie wichtig ist und, was es damit genau auf sich hat, verraten wir im Folgenden.

Keyfacts

  • Datenklassifizierung ist der Schlüssel zum Datenschutz.
  • Die Klassifizierung erlaubt es, Daten hinsichtlich ihrer Sensibilität und Kritikalität einzustufen und so erforderliche Sicherheitsmaßnahmen zu ermitteln.
  • Die Kategorisierung von Daten ist ein kontinuierlicher Prozess.
  • Die Datenklassifizierung bietet viele Vorteile wie beispielsweise IT-Sicherheit, zielgerichtete IT-Investitionen und Datenintegrität.

Kostenlosen Guide „Schutz kritischer Geschäftsinformationen – So klassifizieren Sie Ihre Daten richtig“ direkt herunterladen.

Inhaltsverzeichnis

  1. Was sind Geschäftsdaten und welche Arten gibt es?

  2. Was ist Datenklassifizierung?

  3. Was ist der Zweck der Datenklassifizierung?

  4. Warum ist die Datenklassifizierung wichtig?

  5. Welche Stufen der Datenklassifizierung gibt es?

  6. Was sind die Vorteile der Datenklassifizierung?

  7. Welche Schritte umfasst die Datenklassifizierung?

  8. Welche Herausforderungen gilt es bei der Datenklassifizierung zu beachten?

  9. Was ist der Unterschied zwischen Datenklassifizierung und Datenkategorisierung?

  10. Best Practices | Praxisbeispiele

  11. FAQs

1. Was sind Geschäftsdaten und welche Arten gibt es?

Unter Geschäfts- oder auch Unternehmensdaten versteht man alle Informationen in einem Unternehmen, die durch elektronische Datenverarbeitung entstehen und für geschäftliche Zwecke genutzt werden.

Grundsätzlich ist zwischen sieben verschiedenen Datenarten zu unterscheiden:

  1. Stammdaten
    Stammdaten (engl. Master Data) zählen zu den wichtigsten Daten eines Unternehmens. Da sie alle essenziellen Informationen zu Produkten, Mitarbeitern, Kunden, Geschäftspartnern und ähnlichen für den Betrieb relevanten Objekten beinhalten, sind sie elementar für den korrekten Betrieb sowie für geschäftliche Aktivitäten des Unternehmens. Beispiele dafür sind Kundenadressen, der Name und die Staatsangehörigkeit eines Mitarbeiters oder im Produkt verwendete Materialien.

  2. Transaktionsdaten
    Transaktionsdaten – oder Bewegungsdaten – sind Informationen über die Veränderung eines bestimmten Zustands. So sind beispielsweise Kontobewegungen oder Veränderungen am Warenbestand typische Transaktionsdaten.

  3. Metadaten
    Metadaten wiederum sind beschreibende Informationen zu Daten. Sie ermöglichen es, den Datenbestand nach bestimmten Merkmalen zu durchsuchen. Zu den Metadaten gehören etwa das Erstell- und Änderungsdatum, der Autor des Dokuments oder der Name und die Größe einer Datei.

  4. Referenzdaten
    Unter Referenzdaten versteht man Daten, die andere Daten klassifizieren oder kategorisieren. In der Regel sind sie statisch oder verändern sich mit der Zeit nur wenig. Typische Referenzdaten sind Maßeinheiten, Umrechnungsfaktoren für Gewichts-, Temperatur- und Längeneinheiten oder Währungsbezeichnungen.

  5. Inventardaten
    Als Inventardaten bezeichnet man Informationen zu den Unternehmenswerten. So etwa gelten der exakte Ist-Bestand im Lager oder der genaue Stand des Firmenkontos als Inventardaten.

  6. Unternehmensweite Strukturdaten
    Unternehmensweite Strukturdaten sind Informationen darüber, wie ein Unternehmen und dessen Portfolio strukturiert und organisiert sind. Hierzu zählen nicht nur das Produkt- und Serviceangebot, sondern etwa auch die Zuständigkeiten der Mitarbeiter.

  7. Transaktionsstrukturdaten
    Transaktionsstrukturdaten beschreiben, wie Transaktionen im Unternehmen aufgebaut und strukturiert sind. So gehören die üblicherweise an einer Transaktion beteiligten Größen zu dieser Kategorie, zum Beispiel der Kunde oder das Produkt bei einem Kauf.

2. Was ist Datenklassifizierung?

Per Definition ist Datenklassifizierung die Einstufung geschäftlicher Daten in unterschiedliche Kategorien hinsichtlich ihrer Kritikalität und Sensibilität. Dabei handelt es sich nicht um eine einmalige Aktion, sondern um einen kontinuierlichen Prozess.

Mithilfe der Klassifizierung kann ein Unternehmen ermitteln, wer auf welche Daten zugreifen soll und welche Schutzmaßnahmen erforderlich sind, um eine sichere Verarbeitung, Übertragung und Speicherung der geschäftlichen Informationen zu gewährleisten. Ohne eine derartige Kategorisierung ist ein angemessener Schutz sensibler Daten sogar gar nicht erst möglich. Denn durch die Klassifizierung von Daten in verschiedene Vertraulichkeitsstufen werden schnell vorhandene Sicherheitslücken erkennbar, die ansonsten womöglich nicht aufgedeckt worden wären. Dies gestattet dem Unternehmen, adäquate IT-Security-Tools zu finden und festzulegen, welche Sicherheitsmaßnahmen für die jeweilige Kritikalitätsstufe erforderlich sind. So lassen sich beispielsweise Benutzerrechte definieren oder Zugriffe protokollieren. Daher ist die Datenklassifizierung auch ein integraler Teil des Risikomanagements. Da immer mehr Unternehmen ihre Entscheidungen anhand fundierter Informationen fällen, deren Komplexität und Menge aber stetig wachsen, dürfte Datenklassifikation auch künftig eine immer größere Rolle in der Verwaltung von Daten einnehmen.

3. Was ist der Zweck der Datenklassifizierung?

Egal, welche Größe ein Unternehmen hat oder in welcher Branche es tätig ist: In jedem Betrieb gibt es geschäftskritische Informationen, die nicht für jedermann gedacht sind. Gehen diese Daten verloren oder werden sie versehentlich offengelegt, kann dies schwerwiegende Konsequenzen nach sich ziehen. Solche Daten gilt es also besonders zu schützen.

Ausschlaggebend für den Schutzbedarf der Daten ist neben dem Informationsgehalt auch das Kostenverhältnis zwischen den drohenden Konsequenzen bei einem Verlust der Daten und dem Aufwand, den es kostet, den Schaden abzuwenden. Genau hier spielt die Datenklassifizierung ihre Stärken aus: Sie ermöglicht ein Einstufen der Daten hinsichtlich ihrer Sensibilität und Kritikalität und somit eine Einschätzung des Kosten-Nutzen-Verhältnisses angedachter Sicherheitsmaßnahmen.

4. Warum ist die Datenklassifizierung wichtig?

Eine solche Kategorisierung von geschäftlichen Informationen ist für die Unternehmen aus wirtschaftlichen, aber auch aus rechtlichen Gründen relevant. Denn Konformität sowohl mit der EU-Datenschutzgrundverordnung (DSGVO) als auch den unterschiedlichen Compliance-Richtlinien gelingt nur mithilfe einer methodischen Datenklassifizierung. Der Grund: Die Unternehmen müssen nicht nur dem Schutz personenbezogener Daten sowie Aufbewahrungspflichten Rechnung tragen, sondern insbesondere verhindern, dass kritische Informationen unautorisiert offengelegt werden. Die Klassifizierung der Daten wiederum lässt das erforderliche Schutzniveau erkennen und somit, welche der Informationen zu anonymisieren oder zu verschlüsseln sind, damit Unbefugte nicht darauf zugreifen können. Dafür ist es jedoch notwendig, erst einmal zu definieren, welche Daten besonders sensibel sind, wer Zugang zu welchen Informationen haben sollte und wann welche Daten gelöscht werden müssen. Daraus abgeleitet lassen sich dann die erforderlichen Sicherheitsvorkehrungen für jede einzelne Kategorie treffen. Somit ist die Datenklassifizierung ein Garant für Konformität mit DSGVO & Co.

5. Welche Stufen der Datenklassifizierung gibt es?

Üblicherweise werden die Daten in vier verschiedene Geheimhaltungsstufen eingeteilt. In welche Kategorie eine Information fällt, ist dabei abhängig von den Auswirkungen ihres Verlusts oder ihrer Offenlegung.

Zu den vier Stufen der Datenklassifizierung gehören:

  1. Frei zugängliche Daten
    Diese Informationen sind für jedermann öffentlich einsehbar, etwa die Adresse des Unternehmens, das Leistungsangebot, Infobroschüren oder die Firmenhistorie. Da ihr Inhalt nicht vertraulich oder sensibel ist, sind auch keine besonderen Schutzmaßnahmen erforderlich.

  2. Eingeschränkt zugängliche Daten
    Als „eingeschränkt zugänglich“ gelten Informationen, die nur den Mitarbeitern im Unternehmen vorbehalten sind. Beispiele sind interne Telefonlisten oder allgemeine Informationen zur Strategie des Unternehmens. Hier gilt es, Sicherheitsvorkehrungen zu treffen, die einen externen Zugriff verhindern.

  3. Vertrauliche Daten
    In diese Kategorie fallen Informationen, die so sensibel sind, dass sie nur einem begrenzten Personenkreis zugänglich sein dürfen. Hierzu zählen unter anderem Personaldaten, aber auch Gehaltslisten oder Geschäftsgeheimnisse. Bei diesen Informationen ist nicht nur ein externer Zugriff zu verhindern, auch heißt es, firmenintern Zugriffsrechte einzuschränken.

  4. Streng vertrauliche Daten
    Als streng vertraulich gelten hochsensible Daten, deren Offenlegung schwerwiegende Konsequenzen für das Unternehmen bedeuten könnte – etwa finanzielle Einbußen oder Imageschäden. Diese Informationen sind daher auch nur einem kleinen Kreis autorisierter Personen zugänglich. Beispiele für solche geheimen Daten sind geistiges Eigentum, detaillierte Unternehmensstrategien, Authentifizierungs- und Bankdaten, Mandanteninformationen oder Gesundheitsdaten. Hier heißt es, strengstmögliche Sicherheitsvorkehrungen zu treffen und die Anzahl von Zugriffsberechtigten auf das absolute Minimum zu limitieren.

Expertentipp:

Lösungen auf Basis der Sealed-Cloud-Technologie wie idgard decken alle vier Stufen der Absicherung ab und sorgen für den Schutz der Daten in jedem Zustand – sei es im Ruhezustand, bei der Übertragung oder während der Nutzung. Da unautorisierte Zugriffe damit sogar technisch ausgeschlossen sind, sind solche Lösungen für den Austausch auch höchst sensibler Daten bestens geeignet.

Möchten Sie die Sealed Cloud auch in Ihrem Unternehmen testen? Registrieren Sie sich jetzt und erhalten Sie sofort Ihren kostenfreien Zugang zur 14-Tage-Demoversion!

6. Was sind die Vorteile der Datenklassifizierung

Eine gut durchdachte Datenklassifizierungsstrategie verschafft dem Unternehmen gleich mehrere Vorteile:

  • IT-Security
    Die Klassifizierung von Daten in verschiedene Sicherheitsstufen erlaubt es, sensible Informationen zu identifizieren und gezielt für deren Schutz zu sorgen. Dadurch sind auch Investitionen zielgerichteter möglich, sodass das Budget erheblich effizienter genutzt werden kann. Somit bildet die Datenklassifizierung das Fundament der IT-Security eines Unternehmens.

  • Kontrollierter Zugriff
    Auf Basis einer Kategorisierung der Informationen lässt sich festlegen, wer Zugang zu welchen Daten hat. Unautorisierte Zugriffe sind somit passé.

  • Korrekter Umgang mit sensiblen Daten
    Eine gut durchdachte Klassifizierung sorgt für effektiven Datenschutz. Denn sie ermöglicht dem Unternehmen einen korrekten Umgang mit personenbezogenen Informationen und somit die Einhaltung geltender Gesetze und Richtlinien. Mit einer Datenklassifizierungsstrategie können Unternehmen möglichen Audits durch Datenschutzbehörden beruhigt entgegensehen.

  • Transparenz über vorhandene Daten
    Ein Klassifizierungsprozess legt offen, welcher Datenschatz sich im Unternehmen verbirgt, wo welche Informationen zu finden sind und wie Berechtigte den Zugriff darauf erhalten.

☝ Schon gewusst?

 

Die Vorteile der Datenklassifizierung gehen weit über die simple Gesetzeskonformität hinaus. So versetzt ein gut durchdachtes Kategorisierungssystem ein Unternehmen auch in die Lage, die Integrität seiner Daten sicherzustellen und die eigene Risikoanfälligkeit zu minimieren. Da sich dadurch Datenschutzverletzungen und Sicherheitsvorfälle eindämmen lassen, trägt die Datenklassifizierung auch zu einer Kostenreduktion bei.

7. Welche Schritte umfasst die Datenklassifizierung?

Für die Umsetzung einer Kategorisierung von Informationen, sind insbesondere diese 10 Schritte wichtig:

  1. Durchführen einer Risikoanalyse
    Eine Risikoanalyse macht Schwachstellen erkennbar. Auch zeigt sie mögliche Konsequenzen von Datenlecks oder unberechtigten Zugriffen auf.

  2. Erstellung eines Inventars sensibler Daten
    Hierbei gilt es, alle Quellen und Typen der im Unternehmen anfallenden Informationen zu identifizieren und zu eruieren, wo überall sensible Daten gespeichert sind.

  3. Erstellen von Datenklassifizierungsrichtlinien
    Auch erforderlich ist es, klare Richtlinien zur Klassifizierung von Daten festzulegen. Diese stellen sicher, dass die Einteilung der Informationen stets nach dem gleichen Schema erfolgt, sodass die Fehlerquote gering bleibt.

  4. Klassifizieren der Daten in Vertraulichkeitsstufen
    In diesem Schritt gilt es, die Informationen so präzise wie möglich in passende Kategorien einzuteilen. Je granularer die Datenklassifizierung, desto zielgenauer lassen sich im Anschluss die Zugriffsrechte festlegen.

  5. Definition von Zugriffsrechten
    Wer auf welche Daten zugreifen können soll, hängt von den Verantwortlichkeiten des jeweiligen Mitarbeiters ab. Mit Kontrollmechanismen wie Authentifizierungsmaßnahmen lässt sich der Zugriff auf autorisierte Personen beschränken.

  6. Festlegen des Speicherorts
    Auch gilt es festzulegen, wo die Daten abzulegen sind, damit autorisierte Personen einfachen Zugang dazu erhalten. Anhand des passenden Speicherortes lässt sich dann erkennen, welche Maßnahmen für den Schutz der Daten zu treffen sind.

  7. Schulung der Belegschaft
    Eine Schulung der Mitarbeiter in Sachen Datenklassifizierung ist unabdingbar. Hier gilt es aufzuzeigen, welche Rolle die Kategorisierung für die Datensicherheit spielt und wie sensible Daten zu handhaben sind.

  8. Erstellen von Richtlinien zur Fehlerkorrektur
    Eindeutige Richtlinien helfen den Mitarbeitern fehlerhafte oder fehlende Datenklassifizierungen zu erkennen und daraufhin Korrekturschritte einzuleiten.

  9. Moderne Technologien
    Mithilfe modernster Technologien wie etwa einer Künstlichen Intelligenz (KI), gelingt es, die Datenklassifizierung schneller und mit einer höheren Genauigkeit vorzunehmen. Im Anschluss heißt es, für jede Kategorie passende Schutzmechanismen zu implementieren. Hierzu gehören etwa die bereits erwähnten Zugriffskontrollen, aber auch Verschlüsselungen, Firewalls und Confidential-Computing-Technologien wie zum Beispiel die Sealed Cloud.

  10. Regelmäßige Kontrolle und Korrektur des Datenkategorisierungsprozesses
    Ebenso wichtig ist es, die unternehmenseigene Datenklassifizierungsstrategie regelmäßig genauer unter die Lupe zu nehmen und gegebenenfalls an neue Anforderungen und Gesetze anzupassen. Hierzu gehört auch das kontinuierliche Überwachen der Daten, das Anomalien erkennen lässt, die auf einen Hackerangriff schließen lassen.

Checkliste: 10 Schritte zur erfolgreichen Datenklassifizierung

Die ausführliche Checkliste „10 Schritte zur erfolgreichen Datenklassifizierung“ steht zum kostenlosen Download zur Verfügung.
Checkliste direkt downloaden

8. Welche Herausforderungen gilt es bei der Datenklassifizierung zu beachten?

Bei der Klassifizierung der Daten in die jeweiligen Sicherheitsstufen stehen Unternehmen einer Vielzahl an Herausforderungen gegenüber. Diese umfassen:

  • Komplexität und Sensibilität der Daten: Die Vielfalt und Sensibilität der Daten erhöhen die Schwierigkeit der Klassifizierungsaufgaben erheblich.

  • Ressourcenbedarf: Eine adäquate Datenklassifizierung erfordert signifikante Ressourcen, darunter Zeit, Fachwissen und technologische Hilfsmittel.

  • Anwachsen des Datenvolumens: Die stetige Zunahme der Datenmengen erschwert die umfassende Bewertung und Klassifizierung.

  • Verteilte Datenspeicherung: Das Speichern von Daten an verschiedenen Standorten und in unterschiedlichen Systemen macht die Klassifizierung und den Schutz dieser Daten komplizierter.

  • Unbekannte Speicherorte: Ein bedeutender Teil der Daten befindet sich an unbekannten Orten, was die Überwachung und den Schutz erschwert.

  • Konsistenz der Klassifizierung: Je mehr Personen involviert sind, desto schwieriger ist eine konsistente Klassifizierung. Diese aber ist notwendig, um die Sicherheit der Daten zu gewährleisten.

9. Was ist der Unterschied zwischen Datenklassifizierung und Datenkategorisierung?

Nicht nur die Datenklassifizierung, sondern auch die Datenkategorisierung ist ein elementares Instrument für die Verwaltung von Informationen. Grundsätzlich dienen beide dazu, große Mengen an Daten schnell und präzise auszuwerten. Dies wiederum ermöglicht es Unternehmen, fundiertere (da datenbasierte) Entscheidungen zu treffen und ihre Effizienz zu steigern. Dennoch unterscheiden sich die zwei Konzepte sowohl von der Herangehensweise her als auch in der Zielsetzung. Inwiefern das der Fall ist, zeigt die folgende Tabelle:

Datenklassifizierung

Datenkategorisierung

Definition

Gruppieren von Daten in logisch passende Informationscluster

Einordnung von Daten in vordefinierte Kategorien

Kriterien bei der Einteilung

Gemeinsame Merkmale, Verhaltensweisen, Muster etc.

Ähnlichkeiten, Relationen oder beabsichtigter Verwendungszweck

Ziel

Schnellerer Zugriff auf die Informationen

Vereinfachte Analyse und verbessertes Verständnis von Daten

Beispiele

Sortieren von Kundendaten nach Verhaltensmustern

Einteilung von Kundendaten nach geografischen Kriterien oder demografischen Merkmalen wie Alter oder Geschlecht

10. Best Practices | Praxisbeispiele

Datenklassifizierung kommt häufig bei Banken zum Einsatz. So kann die Kreditabteilung bisherige Verhaltensmuster ihrer Kunden nutzen, um letztere mittels Datenklassifizierung in Hochrisiko- und Niedrigrisiko-Kandidaten einzustufen. War ein Kunde etwa schon öfter nicht in der Lage, seine Rechnungen zu bezahlen, ist die Wahrscheinlichkeit hoch, dass er auch einen Kredit nicht bedienen kann. Dank einer passenden Klassifizierung ist es möglich, ihn entsprechend zu markieren und das finanzielle Risiko für die Bank zu reduzieren.

Im Bereich Cybersicherheit beispielsweise wird Datenklassifizierung eingesetzt, um potenzielle Bedrohungen und Schwachstellen in Netzwerken zu identifizieren. Entsprechende Tools analysieren kontinuierlich den Datenverkehr und können Anomalien erkennen, die auf potenziell schädliche Aktivitäten hindeuten. So lassen sich etwa Datenpakete mit ungewöhnlichen Mustern automatisiert als potenzielles Sicherheitsrisiko klassifizieren, so dass die IT-Abteilung schnell reagieren kann.

Gut zu wissen: Praxisbeispiel Datenkategorisierung

Eine Kategorisierung von Kundenkäufen in Produkte/Marken und Preisspannen hingegen gestattet es dem Unternehmen, gezieltere Marketingmaßnahmen durchzuführen und so höhere Umsätze zu erzielen.

11. FAQs

Wer ist für die Datenklassifizierung im Unternehmen verantwortlich?

Rein rechtlich ist zwar die oberste Führungsebene verantwortlich für den Schutz und somit indirekt auch die Klassifizierung der Daten. In größeren Unternehmen gibt es daher häufig einen Chief Information Officer (CIO) oder Chief Information Security Officer (CISO), der für die Entwicklung und die anschließende Umsetzung der unternehmensweiten Datenklassifizierungsstrategie in allen Unternehmensbereichen zuständig ist. Dennoch ist die Kategorisierung der geschäftlichen Informationen eine Gemeinschaftsaufgabe, die jeden Einzelnen im Unternehmen betrifft. Für die Mitarbeiter ist es daher unerlässlich, sich mit den festgelegten Klassifizierungsrichtlinien vertraut zu machen und die Daten konform einzuordnen. Damit es mit der Umsetzung auch gut funktioniert, ist es sinnvoll, eine Taskforce mit Mitgliedern aus allen Abteilungen zu bilden. Dies stellt nicht nur sicher, dass alle Unternehmensbereiche die Möglichkeit haben, wertvollen Input zu geben, sondern auch, dass allen bewusst ist, welche große Bedeutung die Datenklassifizierung für das Unternehmen hat. Dadurch wiederum gestaltet sich die Umsetzung wesentlich einfacher.

Welche Tools benötigt man für die Datenklassifizierung?

Für die Datenklassifizierung gibt es unterschiedliche Lösungen, beispielsweise Spezial-Tools wie Datenklassifizierungssoftware, Datenmanagementplattformen oder Software zur Verhinderung von Datenverlust (Data Loss Prevention, DLP).

Spezialisierte Datenklassifizierungslösungen sind meist intelligente Software-Tools, die Daten automatisch anhand bestimmter Kriterien in die passenden Kategorien einstufen. Einige sind sogar in der Lage, anhand von Compliance-Richtlinien zu eruieren, welche Daten besonderen Schutz erfordern und entsprechende Vorschläge hinsichtlich der Klassifizierung zu machen. Viele von ihnen bedienen sich mittlerweile einer Künstlichen Intelligenz, wodurch die Kategorisierung erheblich beschleunigt und präziser wird.

Mit welchen Tools lässt sich die Datenklassifizierung in die Praxis umsetzen?

Auch hier gibt es verschiedenste Lösungen, die den sicheren Austausch von Daten und die ebenso sichere digitale Zusammenarbeit bewerkstelligen – allen voran virtuelle Datenräume. Wichtig bei der Auswahl des geeigneten Produkts: Es muss nicht nur alle Stufen der Klassifizierung abdecken, sondern zudem zu jeder Zeit den Schutz der Daten sicherstellen. Viele Cloud-Service-Anbieter beachten zwar die Sicherheit der Daten während der Speicherung („Data at rest“) und der Übertragung („Data in Transit“), vergessen jedoch, die Informationen auch während der Bearbeitung („Data in Use“) abzusichern. Und genau das ist der Knackpunkt: Während ihrer Bearbeitung liegen die Daten im Klartext vor – sprich, die Verschlüsselung greift nicht, sodass eine Sicherheitslücke entsteht. Schließen lässt sich diese mit smarten Lösungen, etwa solchen auf Basis der Sealed-Cloud-Technologie: Sie umfassen alle vier Stufen der Absicherung und sorgen zu jeder Zeit für den Schutz der Daten – sei es im Ruhezustand, bei der Übertragung oder während der Nutzung. Da unautorisierte Zugriffe zudem technisch ausgeschlossen sind, und selbst Betreiber und Administratoren nachweislich zu keinem Zeitpunkt Zugriff auf die Daten haben, sind diese Tools für den Austausch auch höchst sensibler Daten bestens geeignet. Kurzum: Für höchstmögliche Sicherheit ist es unabdingbar, sich einen Anbieter zu suchen, der auch „Data in Use“ im Blick hat.

Welche passenden Schutzmechanismen gibt es jeweils für die Datenklassifizierungsstufen?

Prinzipiell gibt es vier verschiedene Stufen der Absicherung gegen unbefugte Zugriffe auf die Daten:

  1. Verschlüsselte Datenübertragung (Encrypted Data Transmission)
    Anwendungsfall: Übertragung der Daten über ein Netzwerk (Data in Transit)
    Hierbei handelt es sich um die Verschlüsselung von Daten, die über ein Netzwerk ausgetauscht werden sollen. Dies stellt sicher, dass sie während der Übertragung geschützt sind und nicht von unbefugten Parteien abgefangen oder abgehört werden können.
  2. Verschlüsselte Speicherung (Encrypted Storage)
    Anwendungsfall: Daten im Ruhezustand (Data at Rest)
    Dieser Ansatz dient der Verschlüsselung von gespeicherten Daten. Das schützt sie im Falle eines unbefugten physischen Zugriffs auf das Speichermedium oder bei versehentlichem Offenlegen der Daten.
  3. Versiegelte Verwaltung (Sealed Management)
    Anwendungsfall: Bearbeitung der Daten (Data in Use)
    Dieser Schutzmechanismus betrifft den Betrieb und die Überwachung des Systems und deckt folgende Punkte ab:
    – Sicherer Systemstart
    Mithilfe automatischer Hardwareüberprüfung wird vor dem eigentlichen Start kontrolliert, ob die angeschlossenen Hardwarekomponenten überhaupt im System sein dürfen. Hat jemand etwa eine nicht autorisierte Festplatte angeschlossen, fährt das System gar nicht erst hoch.
    – Abgeschirmte Schlüsselverwaltung (Shielded Key Handling)
    Hierbei gibt es nirgendwo einen Schlüsselbund oder Master Key, der den Zugang zu allen Daten ermöglicht. Stattdessen wird technisch sichergestellt, ob die betreffende Person die nötigen Nutzer- und Zugriffsrechte für die spezifischen Daten hat.
    – Kein individuelles Tracking
    Ohne individuelles Tracking der Nutzeraktionen ist nicht nachvollziehbar, was die einzelnen User tun oder wer an welchen Dateien arbeitet.
  4. Versiegelte Verarbeitung (Sealed Processing)
    Anwendungsfall: Protected Data in Use
    Damit die Informationen auch während ihrer Bearbeitung vor den Augen Unbefugter geschützt sind, trifft das Sealed Processing einige Vorkehrungen:
    – Kein Zugang durch Unbefugte – auch nicht durch den Service-Anbieter oder Systemadministrator
    – Systemabschaltung bei Zugriffsversuch (Switch-off on Intrusion Attempt)
    Stellt das System Ungereimtheiten fest, schaltet es automatisch ab, und ein Zugriff auf die Daten ist nicht mehr möglich.
    – Verwendung von flüchtigen Daten (RAM): Data Clean-Up Area
    Bei den Informationen handelt es sich um flüchtige Daten. Das heißt, in dem Moment, in dem das System herunterfährt oder der Stecker gezogen wird, werden sie unwiederbringlich gelöscht. Dadurch bleiben keine unverschlüsselten Daten übrig, auf die ein etwaiger Hacker zugreifen könnte.

Was hat Datenklassifizierung mit Compliance zu tun?

Eine Datenklassifizierung ist maßgeblich für die Compliance-Bestrebungen eines Unternehmens. Denn ein Betrieb muss nicht nur personenbezogene Informationen gemäß DSGVO angemessen vor unautorisierter Offenlegung oder unbefugtem Zugriff schützen, sondern gegebenenfalls auch branchenspezifische Richtlinien einhalten. Beides funktioniert nicht ohne methodische Datenklassifizierung. Erst sie legt offen, welche Informationen besonderen Schutz benötigen – sei es eine Anonymisierung oder eine Verschlüsselung –, welche Daten eventuell sogar nach einer gewissen Zeit zu löschen sind und auf welche von ihnen nur ein beschränkter Personenkreis Zugriff haben darf. Das wiederum gibt Aufschluss auf die jeweils für die Kategorie zu treffenden Sicherheitsvorkehrungen. Somit wird klar: Datenklassifizierung ist der Schlüssel zu Compliance.

Sie möchten mehr über das Thema Datenklassifizierung erfahren?

Hier geht’s zum kostenlosen Guide „Schutz kritischer Geschäftsinformationen – So klassifizieren Sie Ihre Daten richtig“. Jetzt herunterladen!
Jetzt direkt downloaden

Mehr zum Thema Datenklassifizierung

Hier geht’s zum kostenlosen Guide „Schutz kritischer Geschäftsinformationen – So klassifizieren Sie Ihre Daten richtig“.
Guide direkt downloaden
Verwandte Inhalte
Beliebte Inhalte

Möchten Sie weitere verwandte Inhalte lesen?

Mails verschlüsseln und Anhänge sicher versenden – so geht’s

Wenn Sie sensible Daten oder Informationen per E-Mail versenden, sollten Sie diese unbedingt verschlüsseln. Wir zeigen Ihnen, wie Sie Ihren Mailverkehr zuverlässig vor fremden Augen schützen. Außerdem erklären wir ihnen, wie Sie Ihre E-Mail-Verbindung und Ihre archivierten Mails verschlüsseln. Weiterlesen >

Data Governance in der Cloud – wie gelingt der richtige Umgang mit Daten?

In Zeiten von Homeoffice und hybriden Arbeitsplätzen ist Data Governance in der Cloud unverzichtbar. Sie regelt, wer wann und wie lange Zugriff auf welche Daten haben darf, wie Informationen im Unternehmen zu verwalten sind und wie sich deren Sicherheit und Qualität gewährleisten lässt. Hier gehts zum Blogbeitrag >

Datensicherheit: Oft unterschätzt, wichtiger denn je

Datensicherheit ist in der heutigen internetgestützten Geschäftswelt unerlässlich. Denn: Betriebliche Informationsflüsse erfolgen zunehmend digital – und die Menge der verarbeiteten Daten steigt dabei täglich an. Für Unternehmen wächst damit auch die Gefahr, ins Visier von Cyberkriminellen zu geraten. Mehr lesen >