Datenklassifizierung. Ein Albtraum für viele Unternehmen. Die Klassifizierung der Daten schieben viele Unternehmen aus guten Grund vor sich her. Die notwendigen personellen und zeitlichen Ressourcen fehlen bereits jetzt an vielen Ecken und Enden. Dabei macht es für sie durchaus Sinn, ihre Unternehmensdaten zu klassifizieren – und zwar nicht nur, um gesetzliche Bestimmungen einzuhalten.
Wir erklären, warum Datenklassifizierung wichtig ist und wie sie funktioniert.

Inhaltsverzeichnis

  • Lesezeit
    9 Minuten
  • Veröffentlicht
    11.05.2022
  • Aktualisiert
    27.09.2022

Schön, dass Sie hier sind! Wie Ihnen vielleicht schon aufgefallen ist, verwenden wir aus Gründen der Lesbarkeit in erster Linie die männliche Form in unseren Texten. Im Sinne der Gleichbehandlung meinen wir damit selbstverständlich immer alle Geschlechter (m/w/d). Und jetzt wünschen wir Ihnen viel Spaß beim Lesen.

Wachsende Datenberge und Quellen

Die Zunahme von verfügbaren Daten sind in den letzten Jahren explodiert und zu regelrechten Datenberge gewachsen. Mit dem Datenzuwachs wachsen auch die möglichen Quellen und Anwendungen im Unternehmen, die neue Daten erzeugen und vorhalten. Im Fachjargon werden diese Daten innerhalb der Datenberge als strukturierte und unstrukturierte Daten bezeichnet. Während man die strukturierten Daten noch mit relativem Aufwand klassifizieren kann, machen gerade unstrukturierte Daten und deren Speicherorte Probleme. Warum liegt genau hier das Problem? Je größer die Speicherpools und entsprechender Vorhaltung der Daten werden, desto schwieriger wird es, den Überblick über die Informationen zu bewahren. Auch der Zugriff auf unstrukturierte Daten wird mit zunehmender Dichter aufwendiger, um die notwendigen Informationen zum richtigen Zeitpunkt zu erhalten. Dies erschwert die Arbeitsabläufe im Unternehmen sowie das Datenmanagement. Neben den bereits existieren Problemen von Big Data kommt noch IT-Sicherheit und Datenschutz ins Spiel und können zu Konflikten kommen.

Mit der passenden Strategie zur Datenklassifizierung lassen sich strukturierte und unstrukturierten Daten sortieren, bewerten und unterstützen so die IT-Sicherheit und Datenschutz.

Was ist Datenklassifizierung?

Der Begriff Datenklassifizierung bezeichnet einen fortlaufenden Prozess im Unternehmen, bei dem Daten in verschiedenen Kategorien organisiert und mittels Richtlinien vor Unbefugten und Diebstahl geschützt werden. Damit wird einerseits die effiziente Nutzung dieser Daten ermöglicht und andererseits kritische und besonders kritische Daten im Unternehmen im besonderen Maße geschützt. Die Datenklassifizierung gehört nicht nur in die IT-Abteilung als Bestandteil des Datenmanagements zur Bereitstellung der Daten, wenn diese benötigt werden, sondern auch des Risikomanagements im Bereich IT-Sicherheit und Einhaltung rechtlicher Vorgaben und in den Bereich Datenschutz-Management.

In vielen Unternehmen wird eine drei-bis fünfstufige Klassifizierung eingeführt und darauf aufgebaut. Die Anzahl der Stufen, Bezeichnungen und eigentliche Einordnung der Daten variiert für jedes Unternehmen.

Eine recht typische Einordnung erfolgt in diesen vier Klassifizierungsebenen:

  • S1 – Öffentliche Daten:
    Unter öffentliche Daten fallen alle Informationen, die nicht besonders schützenswert sind und mit der Öffentlichkeit geteilt werden dürfen. So fallen alle Daten, die auf der Internetseite eines Unternehmens aktiv veröffentlicht werden, unter diese Klassifizierung. Aber auch Presseartikel, Produktinformationen, Werbemittel, Herstellerinformationen, AGB´s und Firmenstandorte oder Kontaktadressenwerden mit „S1 – Öffentlich“ klassifiziert.
  • S2 – Interne Daten:
    Die mit „S2 – Intern“ oder auch „S2 – Interner Gebrauch“ bezeichnete Daten dürfen nur von Mitarbeitern des Unternehmens eingesehen werden. Dabei fallen Personenstammdaten wie Name, Kennnummer, Alter, Geschlecht unter diese Klassifizierung. Auch Telefonlisten, IP-Adressen, Strategien und betriebliche Regelungen etc. werden von Klassifizierung geschützt und dürfen nicht ohne gesonderte Freigabe Externe zugänglich gemacht werden. Diese Daten müssen vor dem Zugriff von außen abgeschirmt werden.
  • S3 – Vertrauliche Daten:
    S3 – Vertrauliche Daten dürfen nur von einem bestimmten Nutzerkreis zu Erfüllung der Aufgabe zugänglich sein. Die generelle Einsicht durch alle Mitarbeitern kann schnell zu weitreichenden Problemen führen. Im Unternehmen wie auch durch Partner bei Bekanntwerden, dass solche Informationen generell einsehbar sind. Unter solchen Daten fallen unter anderem Vertragsstammdaten wie Kontonummer, Kartennummer und Verträge. Auch Personaldaten wie Gewohnheiten, Hobbys, Mitgliedschaften in Vereien fallen unter die Klassifzierung „Vertraulich“. Besonders Daten die nach der DSGVO in den Bereichen besonders Schützenwert fallen, müssen besonders behandelt werden. Das sind Daten wie:

    • Gesundheitsdaten (z.B. Größe, Gewicht, Krankenakte)
    • Gewerkschaftszugehörigkeit
    • Sexualverhalten
    • Religiöse und weltanschauliche Überzeugungen
    • Rassische und ethnische Daten (z.B. Nationalität)
    • Politische Meinungen (z.B. Parteizugehörigkeit)
    • Genetische Daten (z.B. Erbgut)

Diese Daten müssen besonders vor dem Zugriff von außen geschützt werden. Auch die elektronische und postalische Übertragung muss betrachtet werden. Notwendige Regeln wie auch Richtlinien zum Umgang mit den Daten muss im Unternehmen verankert und geprüft werden.

  • S4 – Streng vertrauliche Daten:
    Auf streng vertrauliche, klassifizierte Daten dürfen nur ganz bestimmte Personen zugreifen. Dazu zählen unter anderem Bankdaten, Finanzunterlagen, Entwicklungsstände, Authentifizierungsdaten und Zugriffsschlüssel auf die IT-Systeme und Tresore. Der Erhalt solcher Daten kann schnell einen großen Schaden am und im Unternehmen anrichten. Aus diesem Grund müssen diese Daten besonders gut geschützt werden. Schutzmaßnahmen können besondere Verschlüsselungstechniken und Zugriffskontrollen sein. Auch ein regelmäßiges Prüfen der Zugriffsberechtigungen und Unterweisungen wie auch Sensibilisierung können den Schutz der beisteuern.

Die reine Identifizierung und Klassifizierung der Daten reicht nicht aus. Es müssen aktive Schutzmaßnahmen angewendet werden, um die Daten aktiv zu schützen. Gerade im Bereich Datenschutz versteht der Gesetzgeber kein Spaß und es können hohe Strafzahlungen bei vorsätzlicher Missachtung folgen.

Daten klassifizieren – wichtig für den Datenschutz

Um die Datenschutzgrundverordnung (DSGVO) einzuhalten, ist in jedem Unternehmen eine Datenklassifizierung unumgänglich. Jedes Unternehmen erhebt auf die eigene Art Daten, die unter die DSGVO fallen und somit geschützt werden müssen. Nur Unternehmen, die Daten klassifiziert haben und sich an die Vorgaben des Gesetzgebers halten, können bei einer Prüfung bestehen. Darunter fällt nicht nur der Schutz der Daten, sondern auch wie lange diese Daten vorgehalten werden dürfen und ab wann diese gelöscht werden müssen, spielen eine Rollen in der Klassifizierung der Daten.

Dazu reicht es natürlich nicht aus, eine reine Klassifizierung der Daten vorzunehmen, sondern es müssen aktive Schutzmaßnahmen und Aufbewahrungs- und Löschkonzepte im Unternehmen implementiert und ausgebaut werden.
Eine implementierte und gelebte Datenklassifizierung sorgt also nicht nur für Transparenz, sondern auch dafür, dass die Compliance fest im Geschäftsalltag verankert ist. Neben der DSGVO gibt es übrigens noch einige weitere Compliance-Richtlinien, die auf eine Datenklassifizierung in Unternehmen Wert legen. Auch Unternehmenszertifizierung wie die ISO 27001 legt einen hohen Stellenwert auf die Klassifizierung und Schutz der Daten.

Datenklassifizierung – wichtige Schritte für Unternehmen

Wenn Sie in Ihrem Unternehmen noch keine Datenklassifizierung implementiert haben, sollten Sie dringend darüber nachdenken bzw. Die Datenklassifizierung gehört zu einer IT-Sicherheitsstrategie zwingend dazu. Die Sicherheit kann nur gesteigert werden, wenn man weiß, welche Daten man als Unternehmen überhaupt hat und welche Schutzziele und welchen Schutzbedarf es gibt. Die gute Nachricht: Sie stehen nicht alleine mit dem Thema. Wir unterstützen Sie als externer IT-Dienstleister in diesem möglichen langen Prozesse der Klassifizierung und Implementierung notwendiger Schutzmaßnahmen.

1. Schritt: Strategie & Richtlinie zur Datenklassifizierung definieren

Im ersten Schritt muss eine passende Datenklassifizierung-Strategie erstellt werden. In dieser werden alle notwendigen Ansprechpartner im Unternehmen zu einer Taskforce zusammengeführt. Inhalt der Strategie sind die Kategorien zur Einordnung der Daten und Parameter, wann welche Daten in die jeweilige Kategorie fallen. Auch Schutzmaßnahmen wie Übertragungsformen, Freigaben, Lösch- und Vernichtungsthemen werden in der Strategie erarbeitet. Ebenso Teil der Strategie ist die Einbindung in bestehende Arbeitsabläufe und Businessprozesse sowie der neue Datenklassifizierungsprozess.
Sobald die Strategie für das Unternehmen steht, kann die Richtlinie erstellt werden, mit der später alle Mitarbeiter und Partner des Unternehmens zu arbeiten haben. Die Richtlinie regelt den Umgang mit Daten und soll den Mitarbeitern eine Unterstützung in der korrekten Klassifizierung der Daten sein. Es empfiehlt sich, dass Sie darin zunächst die Gründe für die Einführung einer Datenklassifizierung sowie die Ziele nennen. Außerdem sollten Sie darin den Arbeitsablauf des Datenklassifizierungsprozesses darzustellen – mit Hinweisen darauf, welche Auswirkungen diese neue Methodik auf die Arbeit des einzelnen Mitarbeiters hat.

2. Schritt: Bestandsaufnahme durchführen

Bei der Bestandsaufnahme werden alle verfügbaren Systeme und Datenpools auf ihre Daten geprüft und Sie erhalten eine Übersicht, welche Systeme welche Klassen beinhalten. Die Schwierigkeit besteht an dieser Stelle darin, dass Sie wirklich sämtliche Speichermöglichkeiten in die Bestandsaufnahme einbeziehen. Es müssen wirklich alle Netzwerksysteme, Cloud-Systeme und Endgeräte in die Prüfung aufgenommen werden. Ohne Spezial-Software ist dies fast nicht möglich, wirklich alle Daten in die Übersicht der Datenverteilung zu erhalten.

3. Schritt: Daten nach Klassifizierung kennzeichnen

Im dritten Schritt geht es an die praktische Anwendung der Klassifizierungsrichtlinien. Alle erfassten Daten werden im ersten Schritt entsprechender der zugehörigen Kategorie klassifiziert. Dafür werden visuelle Labels, oder Metadaten verwendet, um die Daten korrekt zur zuzuordnen. Bei analogen Daten kann hier keine Software helfen. Diese Informationen müssen manuell entsprechend gekennzeichnet werden. Die zur Analyse verwendeten Tools können auch genutzt werden, um solche Daten mittels Pattern, also Regeln, automatisch zu klassifizieren. Dies reduziert den händischen Aufwand drastisch. Einige dieser Tools leiten anhand von Compliance-Vorgaben sogar ab, welche Dateien besonderen Schutz bedürfen und geben entsprechend Empfehlungen ab.

4. Schritt: Sicherheit und Compliance überprüfen

Nach der Kennzeichnung der Daten müssen Sie sicherstellen, dass die Klassifizierung auch funktioniert. Sprich: Werden die Daten gemäß Ihrer Kategorie tatsächlich durch die in Schritt 1 definierten Datenschutz-Maßnahmen geschützt? Prüfen Sie nach, ob die in der Theorie festgelegten Mechanismen in der Praxis greifen. Dieser vierte Schritt ist essenziell. Denn nur durch die Absicherung des Prozesses ist der Datenschutz letztendlich gewährleistet und die Compliance-Richtlinien werden eingehalten.
Auch die kontinuierliche Wiederholung des Schrittes sollte fest im Unternehmen integriert werden. In der heutigen Zeit werden fast wöchentlich neue Tools eingeführt und das Thema Schatten-IT erleichtert es nicht.

Bei Ihnen steht die Inhaltsklassfizierung im Haus?

Sie stehen vor der Herausforderung vorhandenen und zukünftigen Daten zu klassifizieren, aber Expertise oder Manpower fehlen sollten. Wir stehen Ihnen gerne zur Seite und begleiten Sie auf diesem Weg. Von der Strategie bis zur Implementierung wirksamer Schutzmaßnahmen zum Schutz der Daten und vorbeugender Verlust der Daten.

Datenklassifizierung und der Erfolg in Ihrem Unternehmen

Zugegebenermaßen klingt das alles erst einmal nach einem recht komplizierten Prozess. Aber: Nach dem initialen Aufwand und der Implementierung der Datenklassifizierungsstrategie und ihrer Schutzmechanismen können Sie die Früchte ernten. Die Datenklassifizierung bringt Ihrem Unternehmen entscheidende Vorteile:

  • Mit der Klassifizierung von Daten führen Sie ein Grundelement einer umfassenden IT-Sicherheit ein – schließlich ist der Schutz von Daten ein wesentliches Ziel einer jeden IT-Sicherheitsstrategie.
  • Die Angst davor, dass Daten in die falschen Hände geraten, können Sie ad acta legen. Dank Zugriffsmanagement gemäß der Kategorisierung wissen Sie, welche Personen Daten einsehen kennen – und welche nicht.
  • Sie können sicher sein, dass der Umgang mit sensiblen, personenbezogenen Daten in Ihrem Unternehmen korrekt abläuft – und können zumindest in diesem Punkt einem Audit durch die Datenschutzbehörde beruhigt entgegentreten.
  • Investitionen in IT-Sicherheitsmaßnahmen können Sie gezielter tätigen: Für geheime Daten beispielsweise können Sie kostenintensivere Maßnahmen, für interne Daten günstigere Methoden wählen. Budget und andere Ressourcen werden folglich effizienter eingesetzt.
  • Mit der Datenklassifizierung haben Sie den Durchblick bezüglich sämtlicher im Unternehmen vorhandenen Daten. Sie wissen genau, was wo gespeichert ist und wie Sie an bestimmte Daten kommen. Dadurch können Sie an Ende des Tages auch viel größeren Nutzen aus dem vorhandenen Datenpool ziehen.