Datenklassifizierung ist ein Thema, welches viele Unternehmen gerne vor sich herschieben. Sind jedoch die Daten im Unternehmen ordentlich klassifiziert, ist es für IT-Abteilungen deutlich einfacher, die kritischen Daten richtig zu schützen. Darüber hinaus unterstützt die Datenklassifizierung auch die Einhaltung der Anforderungen an den Datenschutz.
Was ist Datenklassifizierung?
Die Datenklassifizierung bezeichnet einen fortlaufenden Prozess, bei dem Daten in verschiedenen Kategorien klassifiziert werden. Dies einerseits, um eine effiziente Nutzung dieser Daten zu ermöglichen und andererseits, um besonders kritische Daten im Unternehmen in besonderem Masse schützen zu können.
Der Control A.8.2 des Anhanges A der ISO/IEC 27001 sieht als Ziel der Informationsklassifizierung vor, sicherzustellen, dass
„Information ein angemessenes Schutzniveau entsprechend ihrer Bedeutung für die Organisation erhält.“
Die Datenklassifizierung gehört damit zwingend zur IT-Sicherheitsstrategie eines jeden Unternehmens. Ferner verlangen Compliance-Standards und gesetzliche Regulierungen wie der Datenschutz von Unternehmen, bestimmte Daten wie Kreditkarteninformationen, Finanzdaten oder generell Personendaten angemessen zu schützen. Die Datenklassifizierung trägt somit zum Risikomanagement eines Unternehmens bei, welches wiederum hilft, die Sicherheit erfolgskritischer Daten als auch die Einhaltung gesetzlicher Vorschriften zu verbessern.
Datenklassifizierung ein wichtiges Element zur Einhaltung der datenschutzrechtlichen Vorgaben
Nach den Vorgaben sind Personendaten angemessen mit technischen und organisatorischen Massnahmen zu schützen. Personendaten finden sich nicht nur in Verträgen (Bezeichnung der Vertragspartei), sondern auch in E-Mails (insbesondere Absender), Prüfungen (Name oder zurechenbare Nummer), Seminararbeiten (Name), Word-Dateien (Metadaten), HR-Unterlagen, Logdaten (IP-Adresse) usw.
Der Schutzbedarf der Daten ist abhängig von der jeweiligen Datenkategorie. „Normale Personendaten“ wie Name und Adresse sind weniger stark zu schützen, als „besonders schützenswerte Daten“, wie etwa Gesundheitsdaten oder politische Daten, bei denen von einem höheren Risiko für die betroffenen Personen ausgegangen wird.
Mit der Datenklassifizierung kann der jeweilige Schutzbedarf der Daten definiert sowie die technischen und organisatorischen Massnahmen entsprechend abgeleitet werden. Das Datenklassifizierungskonzept bildet deshalb ein wichtiges Element zur Einhaltung der datenschutzrechtlichen Vorgaben.
Welche Klassifizierungsstufen sind üblich?
Meist kommt eine drei- bis fünfstufige Klassifizierung zum Tragen. Wie die Anzahl der Stufen variiert auch deren Bezeichnung. Eine typische Einordung erfolgt nach folgenden Klassifizierungskriterien:
- Öffentliche Daten
Unter öffentliche Daten fallen Daten, die mit der Öffentlichkeit geteilt werden dürfen und beispielsweise auf der Internetseite eines Unternehmens einzusehen sind. Das können die Adresse des Firmenstandorts, ein Werbeprospekt über die Leistungen (AGBs), bereits publizierte Geschäftsberichte oder Informationen zur Firmenhistorie sein. Diese Daten erfordern keine speziellen Schutzmechanismen. - Interne Daten
Interne Daten dürfen nur innerhalb des Unternehmens verfügbar sein. Es handelt sich hierbei in der Regel um all jene Daten, die ohne besondere Ansprüche hinsichtlich Vertraulichkeit grundsätzlich allen Mitarbeitenden zugänglich sind. Dabei kann es sich um Telefonlisten mit der Durchwahl aller Mitarbeiter handeln, um Daten aus dem Intranet oder um interne Richtlinien. Dementsprechend sind interne Daten auch vor dem Zugriff von aussen zu schützen. - Vertrauliche Daten
In der Regel sind vertraulichen Daten nur für einen begrenzten Kreis von Personen innerhalb des Unternehmens bestimmt. Typische Beispiele dafür sind Personaldaten, Geschäftsdaten zu Projekten, Aufträgen oder Verträgen, Revisionsberichte. Diese Daten sind noch besser vor dem Zugriff von ausserhalb zu schützen, zudem sind Zugriffsrechten innerhalb des Unternehmens zuzuweisen. - Geheime Daten
Auf geheime Daten dürfen nur ganz bestimmte Personen zugreifen. Dazu zählen unter anderem Bankdaten, Finanzunterlagen oder auch Authentifizierungsdaten. Da solche Informationen in den falschen Händen grossen Schaden anrichten können, gilt für geheime Daten entsprechend die höchste Schutzbedarfsstufe.
Welches sind die wichtigsten Schritte für eine Datenklassifizierung?
Die Datenklassifizierung muss aktiv angewendet und mit den notwendigen Schutzmechanismen versehen werden. Dabei empfiehlt sich folgendermassen vorzugehen:
- Ermittlung der Daten im Unternehmen;
- Erarbeitung einer Richtlinie für die Datenklassifizierung;
- Ist-Analyse der bestehenden Daten im Unternehmen;
- Daten (physische und elektronische Dokumente) nach Klassifizierung kennzeichnen; und
- Sicherheit und Compliance kontinuierlich überprüfen.
Fazit
Die Datenklassifizierung bringt dem Unternehmen entscheidende Vorteile:
- Mit der Datenklassifizierung erhält das Unternehmen den Durchblick bezüglich sämtlicher im Unternehmen vorhandenen Daten (nicht nur der Personendaten);
- Die Datenklassifizierung ermöglicht eine effiziente Nutzung der Daten – inkl. Personendaten – wie auch die Identifizierung der dazugehörigen Schutzmassnahmen;
- Mit der Klassifizierung von Daten führt ein Grundelement der IT-Sicherheitsstrategie ein;
- Datenklassifizierung gilt auch als Grundelement des Schutzes von Personendaten;
- Letztendlich erlaubt die Datenklassifizierung, das Budget und andere Ressourcen effizienter einzusetzen sowie die Kosten für Sicherheit und Compliance zu minimieren.
Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.
