Inhaltsverzeichnis

Was ist Datenklassifizierung?

Inhaltsverzeichnis

Die Klassifizierung von Daten - oder die Organisation und Kategorisierung von Daten auf der Grundlage ihrer Sensibilität, Wichtigkeit und vordefinierter Kriterien - ist die Grundlage für Datensicherheit. Es ermöglicht Organisationen die effiziente Verwaltung, den Schutz und den Umgang mit ihren Datenbeständen durch die Zuweisung von Klassifizierungsstufen. Auf diese Weise können Organisationen Prioritäten bei den Ressourcen setzen und Sicherheitsmaßnahmen anwenden, die auf die Anforderungen der einzelnen Datenkategorien zugeschnitten sind.

 

Datenklassifizierung erklärt

Die Datenklassifizierung hilft bei der Identifizierung und dem Schutz sensibler Informationen, wie z. B. persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI) und Finanzdaten. Durch die Kategorisierung von Daten nach dem Grad ihrer Sensibilität, ihrer Wichtigkeit oder anderen Kriterien können Organisationen ihre Datenbestände effektiv schützen und mit für jeden Datentyp geeigneten Sicherheitsmaßnahmen behandeln. Die Compliance mit gesetzlichen Standards wie GDPR, HIPAA oder CCPA hängt stark von der Datenklassifizierung ab.

Klassifizierung sensibler Daten
Abbildung 1: Klassifizierung sensibler Daten

Wie die Datenklassifizierung funktioniert

Die Datenklassifizierung beginnt mit der Definition eines Klassifizierungsschemas, in dem die Kategorien und Kriterien für jeden Datentyp festgelegt sind. Zu den üblichen Klassifizierungsstufen gehören öffentlich, interner Gebrauch, eingeschränkt und vertraulich. Die Organisationen identifizieren dann ihre strukturierten und unstrukturierten Datenbestände und bestimmen die geeignete Klassifizierungsstufe für jeden Bestand.

Automatisierte Tools und Lösungen können den Klassifizierungsprozess unterstützen, indem sie fortschrittliche Algorithmen verwenden, um Daten zu scannen und zu analysieren und sie anhand von Inhalten, Metadaten oder anderen Attributen den definierten Kategorien zuzuordnen. Darüber hinaus kann eine manuelle Klassifizierung mit menschlichen Eingriffen ins Spiel kommen, wenn Fachwissen erforderlich ist, um die Sensibilität oder Bedeutung der Daten zu bewerten.

Sobald die Daten klassifiziert sind, können Organisationen auf diese Informationen reagieren, indem sie geeignete Sicherheitskontrollen und Richtlinien für jede Klassifizierungsstufe implementieren. Diese Maßnahmen können die Verschlüsselung sensibler Daten, Zugriffskontrollen auf der Grundlage von Benutzerrollen und Richtlinien zur Datenaufbewahrung umfassen, die auf die Anforderungen der einzelnen Kategorien zugeschnitten sind.

Die Integration der Datenklassifizierung in ihre Sicherheitspraktiken ermöglicht es Organisationen, die Ressourcenzuweisung zu optimieren, Schutzmaßnahmen zu priorisieren und fundierte Entscheidungen über Datenspeicherung, Zugriffskontrollen, Datenfreigabe und Aufbewahrungsfristen zu treffen. Wie in allen Bereichen der Cloud-Sicherheit mindert ein proaktiver und gezielter Ansatz die Risiken und stärkt die Sicherheitslage.

 

Warum Datenklassifizierung wichtig ist

Das Verständnis für die Bedeutung der Datenklassifizierung ist entscheidend für den Schutz sensibler Informationen und die Minderung von Risiken. Sicherheitsexperten können die kritischsten und sensibelsten Werte innerhalb des Datenökosystems einer Organisation identifizieren, indem sie die Daten klassifizieren. Dieses Wissen ermöglicht es ihnen, den risikoreichsten Datenkategorien geeignete Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrollen und Überwachung zuzuordnen.

‍Mithilfe der Datenklassifizierung können Organisationen die Sicherheitsprotokolle gezielt einsetzen, um ihre wertvollen und sensiblen Informationen bestmöglich zu schützen. Über die Sicherheit hinaus ermöglichen verschiedene Arten der Datenklassifizierung den Organisationen, ihre Sicherheitsbemühungen auf branchenspezifische Vorschriften und gesetzliche Anforderungen abzustimmen.

Was ist PCI?

Organisationen in allen Branchen müssen sich mit den anspruchsvollen Standards der Payment Card Industry (PCI) auseinandersetzen. Diese von den großen Kreditkartenunternehmen festgelegten Standards dienen als Bollwerk zum Schutz von Karteninhaberdaten bei Zahlungstransaktionen. Hier kommt der Payment Card Industry Data Security Standard (PCI DSS) ins Spiel, ein Rahmenwerk, das Unternehmen, die Zahlungskartendaten bearbeiten, verarbeiten oder speichern, Richtlinien und Anforderungen auferlegt.

Die Compliance mit PCI ist für Unternehmen, die Daten von Karteninhabern akzeptieren, übermitteln oder speichern, unverzichtbar - denken Sie an Händler, Finanzinstitute und Service Provider. Der PCI DSS löst eine Flut von Sicherheitsmaßnahmen aus: Verstärkung der Netzwerksicherheit, Einsatz von Verschlüsselung, Verschärfung der Zugangskontrollen und Durchführung regelmäßiger Schwachstellenanalysen.

Was ist PII?

Wenn es um sensible Informationen geht, sind Daten, die eine Person identifizieren, auch bekannt als persönlich identifizierbare Informationen (PII), ein weiteres Problemfeld. Dieser Begriff umfasst eine Vielzahl von Daten, einschließlich, aber nicht beschränkt auf:

  • Namen
  • Sozialversicherungsnummern (SSN)
  • Adressen
  • Telefonnummern
  • E-Mail-Adressen
  • Angaben zum Finanzkonto
  • Biometrische Daten

PII sind für Einzelpersonen und Organisationen von großem Wert, da sie leicht für Identitätsdiebstahl, Betrug oder andere bösartige Aktivitäten ausgenutzt werden können. Die Identifizierung und der Schutz von PII ist für den Schutz der Privatsphäre und die gesetzliche Compliance von entscheidender Bedeutung. Organisationen müssen robuste Sicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrolle und Datenanonymisierung implementieren, um die Vertraulichkeit und Integrität von PII zu gewährleisten.

Was ist PHI?

Im medizinischen Bereich umfasst der Begriff geschützte Gesundheitsinformationen (PHI) alle sensiblen Daten, die sich auf die Gesundheit, den Gesundheitszustand oder die Behandlung einer Person beziehen, oft einschließlich personenbezogener Daten. Diese wertvollen Informationen umfassen eine Reihe von Daten, darunter:

  • Krankenakten
  • Diagnoseergebnisse
  • Verschreibungen
  • Details zur Krankenversicherung
  • alle anderen persönlich identifizierbaren gesundheitsbezogenen Daten

Die Verwaltung von PHI in den USA ist eine Herausforderung, da sie unter dem Health Insurance Portability and Accountability Act (HIPAA)stark reguliert ist, der die Datenschutz- und Sicherheitsstandards sicherstellt, die von den Leistungserbringern eingehalten werden müssen. Mitarbeiter des Gesundheitswesens und Organisationen müssen die Vertraulichkeit von PHI sicherstellen, um die Privatsphäre der Patienten zu schützen, unbefugten Zugriff zu verhindern und die gesetzlichen Anforderungen zu erfüllen. Die Erfüllung dieser Anforderungen erfordert extreme Sicherheitsmaßnahmen, die die höchsten Protokolle für Zugriffskontrollen, Verschlüsselung und Prüfpfade umfassen.

Herausforderungen der GDPR

Für alle Organisationen, die Daten von Bürgern oder Einwohnern der Europäischen Union (EU) speichern, stellt der Datenschutz eine größere Herausforderung dar als nur die Identifizierung bestimmter Datentypen. Sie müssen die General Data Protection Regulation (GDPR)einhalten, die strenge Anforderungen an Organisationen stellt, die mit personenbezogenen Daten umgehen, und Transparenz, Verantwortlichkeit und Kontrolle darüber gewährleisten, wie personenbezogene Daten gesammelt, verarbeitet und gespeichert werden. Als Anreiz zur Compliance sieht die DSGVO außerdem erhebliche Strafen für die Nichteinhaltung vor. Die Geldbußen können bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.

Darüber hinaus gewährt sie den Bürgern und Einwohnern der EU verschiedene Rechte, darunter das Recht auf Zugang zu ihren Daten, das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit. Jedes dieser Rechte muss von den Organisationen, die ihre Daten speichern, unterstützt werden, so dass sie jederzeit wissen müssen, wo die entsprechenden Daten gespeichert sind und wer auf sie zugreifen kann, um die Compliance mit der DSGVO zu gewährleisten. Sie müssen auch Verfahren vorsehen, mit denen diese Daten auf Antrag einer Person gelöscht werden können, was voraussetzt, dass man weiß, wo die entsprechenden Daten gespeichert sind.

 

Daten-Klassifizierungsebenen

Die Datenklassifizierung kann manuell oder automatisch erfolgen, wobei eine Kombination aus menschlichem Urteilsvermögen und fortschrittlichen Algorithmen verwendet wird. Die Datenklassifizierungsstufen können variieren und reichen von einfachen Bezeichnungen wie "öffentlich", "vertraulich" und "sensibel" bis hin zu detaillierteren Kategorien, die auf spezifischen Vorschriften und Industriestandards basieren.

Beispiel für Datenklassifizierungsebenen:

  1. Vertrauliche Daten: Dies ist die sensibelste Kategorie und umfasst Daten, die um jeden Preis geschützt werden müssen, wie z.B. Geschäftsgeheimnisse, Finanzinformationen, persönlich identifizierbare Informationen (PII) und vertrauliche Geschäftsinformationen.
  2. Nur für den internen Gebrauch: Diese Kategorie umfasst sensible Daten, die jedoch nicht so kritisch sind wie vertrauliche Daten, wie z. B. Informationen zur Gehaltsabrechnung von Mitarbeitern, interne Memos und Projektpläne.
  3. Eingeschränkte Daten: Diese Kategorie umfasst sensible Daten, die jedoch nicht so kritisch sind wie vertrauliche Daten, wie z.B. Kundeninformationen, Marketingpläne und Preisinformationen.
  4. Öffentliche Daten: Zu dieser Kategorie gehören Daten, die nicht sensibel sind und frei mit der Öffentlichkeit geteilt werden können, wie z.B. Pressemitteilungen und Marketingmaterialien von Unternehmen.
  5. Archivierte Daten: Zu dieser Kategorie gehören Daten, die nicht mehr aktiv genutzt werden, aber aus rechtlichen, gesetzlichen oder historischen Gründen aufbewahrt werden müssen, wie z.B. alte Finanzberichte und Personalakten.
Gründe für die Implementierung eines Datenklassifizierungsprozesses
Abbildung 2: Die für die Datensicherheit so wichtige Rolle der Datenklassifizierung.

 

Anwendungsfälle zur Datenklassifizierung

Unabhängig von der Anzahl der Compliance-Vorschriften, die eine Organisation befolgen muss, ist die Einführung der Datenklassifizierung von entscheidender Bedeutung. Die Implementierung von Data Discovery als Best Practice kann die Sicherheit auf gezielte und effiziente Weise erheblich verbessern. Indem sie die sensiblen Daten in ihrem Ökosystem verstehen und entsprechend kategorisieren, können Organisationen ihre Ressourcen effektiver zuweisen und die Sicherheitsmaßnahmen entsprechend priorisieren.

Die Datenklassifizierung hilft nicht nur bei den Compliance-Bemühungen, sondern spielt auch eine entscheidende Rolle bei der Verhinderung von Sicherheitsverstößen. Durch die Identifizierung und den Schutz sensibler Daten können Organisationen die Risiken eines unbefugten Zugriffs und potenzieller Sicherheitsverletzungen mindern und die negativen Folgen einer beeinträchtigten Sicherheit vermeiden. Die Klassifizierung von Daten und der Einsatz von Discovery-Techniken sind ein proaktiver Schritt zum Schutz wertvoller Informationen und zur Gewährleistung der Integrität und Vertrauenswürdigkeit der Datenbestände einer Organisation.

‍‍Was sind einige Beispiele für Datenklassifizierung?

Für eine wirksame Datensicherheit müssen verschiedene Arten von Daten klassifiziert werden, da diese Arten als sensibel gelten und vor unbefugtem Zugriff, Diebstahl oder Verlust geschützt werden müssen.

  1. Personal identifiable information (PII) umfasst Daten, die zur Identifizierung einer Person verwendet werden können, wie z.B. den vollständigen Namen, die Sozialversicherungsnummer, die Führerscheinnummer oder die Reisepassnummer.
  2. Finanzinformationen beziehen sich auf Daten, die sich auf finanzielle Transaktionen und Konten beziehen, wie Kreditkartennummern, Bankkontonummern und Investitionsinformationen.
  3. Vertrauliche Geschäftsinformationen umfassen geschützte Daten, die einem Unternehmen einen Wettbewerbsvorteil verschaffen, wie Geschäftsgeheimnisse, Geschäftspläne und Marktforschung.
  4. Gesundheitsinformationen sind Daten, die sich auf den Gesundheitszustand und die medizinische Vorgeschichte einer Person beziehen, wie z.B. Diagnosen, Behandlungspläne und Verschreibungsinformationen.
  5. Geistiges Eigentum umfasst Daten im Zusammenhang mit Patenten, Marken, Urheberrechten und Geschäftsgeheimnissen.
  6. Regierungsinformationen sind von Regierungsbehörden eingestuft oder eingeschränkt, wie z.B. Informationen zur nationalen Sicherheit, Strafverfolgungsunterlagen und geheime militärische Informationen.
  7. Informationen für Mitarbeiter: Dazu gehören Daten in Bezug auf Mitarbeiter, wie z.B. Informationen zur Gehaltsabrechnung, Leistungsbewertungen und Disziplinarakten.

Dies sind nur einige Beispiele für die Klassifizierungsdaten, die für eine bessere Datensicherheit unerlässlich sind. Die spezifischen Datentypen, die klassifiziert werden müssen, hängen von den Sicherheitsanforderungen der Organisation ab. Das Ziel der Datenklassifizierung besteht jedoch nach wie vor darin, den Grad der Sensibilität von Daten zu verstehen und die entsprechenden Sicherheitsmaßnahmen zu bestimmen, die zu ihrem Schutz erforderlich sind.

Gemeinsame Compliance-Standards
‍‍Abbildung 3: Regulierungsbehörden für einen Überblick über den Schwerpunkt der Data Compliance

 

Wie verbessert die Datenklassifizierung die Datensicherheit?

Die Datenklassifizierung bestimmt die angemessenen Sicherheitsmaßnahmen, die erforderlich sind, um Daten vor unberechtigtem Zugriff, Diebstahl oder Verlust zu schützen. Als solche ist sie die Grundlage für viele Praktiken der Datensicherheit.

Risikobewertung

Die Datenklassifizierung dient dazu, die kritischsten Assets zu identifizieren und dem Schutz sensibler Daten Priorität einzuräumen. Dies hilft Organisationen, ihre Bemühungen im Bereich der Cybersicherheit auf die Bereiche zu konzentrieren, die die meiste Aufmerksamkeit erfordern.

Zugangskontrolle

Die Datenklassifizierung hilft Organisationen dabei, zu bestimmen, wer Zugang zu sensiblen Daten haben sollte und welche Zugriffsstufe er/sie haben sollte. So können beispielsweise hochsensible Daten nur für eine kleine Gruppe von autorisierten Mitarbeitern zugänglich sein, während weniger sensible Daten für eine größere Gruppe von Mitarbeitern zugänglich sein können.

Datenverschlüsselung

Die Datenklassifizierung hilft Organisationen zu bestimmen, welche Daten verschlüsselt werden müssen und welche Verschlüsselungsstufe erforderlich ist. So kann es beispielsweise sein, dass einige hochsensible Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden müssen, während weniger sensible Daten nur im Ruhezustand verschlüsselt werden müssen.

Datensicherung und -wiederherstellung

Die Datenklassifizierung hilft Organisationen zu bestimmen, welche Daten wie oft gesichert werden müssen. Hochsensible Daten müssen beispielsweise täglich gesichert und an einem sicheren externen Ort aufbewahrt werden, während weniger sensible Daten vielleicht nur wöchentlich gesichert werden müssen.

Compliance

Die Datenklassifizierung wird auch verwendet, um die Compliance mit Datenschutzbestimmungen wie der General Data Protection Regulation (GDPR), dem Health Insurance Portability and Accountability Act (HIPAA) oder dem Payment Card Industry Data Security Standard (PCI DSS) sicherzustellen. Diese Anforderungen verlangen häufig, dass Organisationen spezifische Sicherheitsmaßnahmen zum Schutz sensibler Daten implementieren. Die Datenklassifizierung ist der erste Schritt, um zu bestimmen, welche Daten in diese Kategorie fallen.

 

FAQs zur Datenklassifizierung

Zu den Arten der Datenklassifizierung gehören öffentlich, für den internen Gebrauch, eingeschränkt und vertraulich, die sensibelste Kategorie, die in der Regel personenbezogene Daten (PII) und Geschäftsgeheimnisse umfasst.
Beispiele für die Klassifizierung von Daten sind personenbezogene Daten (PII), geschützte Gesundheitsdaten (PHI), Finanzdaten, geistiges Eigentum wie Geschäftsgeheimnisse und Patente sowie staatliche Informationen.

Datenschutz Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften und Industriestandards durch eine Organisation, die die Erfassung, Speicherung, Verarbeitung und Weitergabe von persönlichen und sensiblen Daten regeln.

Die Compliance-Anforderungen variieren je nach Rechtsprechung, Branche und Art der betroffenen Daten. Beispiele hierfür sind die General Data Protection Regulation (GDPR), der Health Insurance Portability and Accountability Act (HIPAA)

Die Compliance mit der GDPR bezieht sich auf die Einhaltung der Allgemeinen Datenschutzverordnung der Europäischen Union, einem umfassenden Datenschutzgesetz, das im Mai 2018 in Kraft getreten ist. Die Verordnung gilt für jede Organisation, die personenbezogene Daten von in der EU ansässigen Personen verarbeitet, unabhängig von ihrem geografischen Standort.

Zur Compliance mit der DSGVO gehört die Implementierung von Datenschutzmaßnahmen wie Datenminimierung, Verschlüsselung und Pseudonymisierung sowie die Sicherstellung, dass die Rechte der Betroffenen, einschließlich des Rechts auf Auskunft, Berichtigung und Löschung, respektiert werden. Organisationen müssen außerdem Datenschutz-Folgenabschätzungen durchführen, bei Bedarf einen Datenschutzbeauftragten benennen und Datenschutzverletzungen innerhalb von 72 Stunden melden.

Die HIPAA-Vorschriften beziehen sich auf den Health Insurance Portability and Accountability Act, ein US-Bundesgesetz, das Standards für den Schutz der Privatsphäre und der Sicherheit von Gesundheitsdaten von Patienten festlegt. Die Vorschriften bestehen aus der Privacy Rule, die die Verwendung und Offenlegung geschützter Gesundheitsinformationen (PHI) regelt, und der Security Rule, die spezifische Anforderungen an die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI stellt.

Organisationen, die mit PHI umgehen, wie z.B. Gesundheitsdienstleister und ihre Geschäftspartner, müssen administrative, physische und technische Sicherheitsvorkehrungen implementieren sowie angemessene Schulungen und Risikomanagementpraktiken gewährleisten, um die HIPAA Compliance zu erreichen.

Verwandter Inhalt
DSPM: Brauchen Sie es?
Entdecken Sie fünf vorherrschende Ansätze für die Datensicherheit, zusammen mit Anwendungsfällen und Anwendungen für jeden Datensicherheitsansatz.
Schutz von Daten und KI im Jahr 2024: Was CISOs wissen müssen
Erfahren Sie gemeinsam mit Datensicherheitsexperten, wie die neuesten Fortschritte im Bereich der Datensicherheit Ihnen helfen können, Daten in Cloud-Umgebungen zu entdecken, zu kl...
Absicherung der Datenlandschaft mit DSPM und DDR
Bleiben Sie den Datensicherheitsrisiken voraus. Erfahren Sie, wie Data Security Posture Management (DSPM) mit Data Detection and Response (DDR) die Sicherheitslücken füllt, um Ihre...
Der Leitfaden für Käufer von DSPM und DDR
Erfahren Sie, worauf Sie bei einem Anbieter von Cloud-Datensicherheit achten sollten und wie DSPM und DDR die Sicherheitslage Ihrer Organisation erheblich verbessern können.
Zurück Was ist Cloud-Datenschutz?

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen