Welche Datensätze würden Sie schützen?

Unstrukturierte Daten, personenbezogene Informationen, sensible, gar kritische Daten: Sind bestimmte Datenkategorien schützenswerter als andere? Sind die von der Datenschutz-Grundverordnung stark ins Augenmerk gefassten Daten nicht der sprichwörtliche Baum, hinter dem sich der Wald verbirgt?

Seit ihrem Inkrafttreten im Mai 2018 in Europa hat die Datenschutz-Grundverordnung (DSGVO) zur Verbreitung neuer Begriffe beigetragen: personenbezogene und/oder sensible Daten. Bei näherer Betrachtung ist allerdings der Umfang sensibler Daten laut der von der Europäischen Kommission veröffentlichten Liste eher begrenzt. Und dennoch: Die Verarbeitung dieser Daten, einschließlich ihrer Erhebung und Verwendung, ist gesetzlich streng geregelt. Aber sind sie tatsächlich die einzigen, die besonderen Schutz benötigen?
 

Anzeige

Im Dschungel der Datenvielfalt

Die in einem Unternehmen produzierten Daten sind weitaus vielfältiger als nur „sensible Daten“. Durch die NIS-Richtlinie für als „Kritis“ zu betrachtende Organisationen sorgte ein neuer Begriff, ergo „kritische Daten“, für Diskussion. Anders als bei personenbezogenen Informationen handelt es sich bei letzteren grundsätzlich um Daten, die wesentlich für das reibungslose Funktionieren eines Unternehmens sind: Produktionsdaten, Finanzdaten, Patente, Daten aus der Forschung und Entwicklung (z. B. das Geheimrezept für ein Getränk oder der Algorithmus einer Suchmaschine). Also Daten, die das Kerngeschäft eines Unternehmens betreffen – oder das, was es ausmacht. Deren Weitergabe, Manipulation, Diebstahl oder Verlust hätte kritische Auswirkungen auf das Unternehmen, etwa den Wegfall eines Wettbewerbsvorteils oder gar der Daseinsberechtigung der Firma. In der Praxis führt der durch eine Cyberattacke verweigerte Zugriff auf Auftragsbücher oder auf andere für die korrekte Durchführung von Unternehmensprozessen wesentliche Informationen dazu, dass die gesamte Tätigkeit eines Klein- oder mittelständischen Unternehmens zumindest zeitweise ins Stocken gerät. Das ist der Grund, warum genau diese Daten zunehmend ins Visier von Cyberkriminellen gelangen und weshalb immer öfter auch kleinere Organisationen Angriffen ausgesetzt sind, deren Ziel es ist, diese Daten unzugänglich und dadurch das Unternehmen erpressbar zu machen.

Welche Daten sind nun schützenswert? „Alle Daten eines Unternehmens sind wichtig und nützlich“, so Uwe Gries, Country-Manager DACH bei Stormshield. „Oft denkt man zuerst an strategische Daten, von Personal- und Finanz- bis hin zu Produktionsdaten. Doch haben alle vom Unternehmen generierten Daten einen Wert. Dies gilt auch für unstrukturierte Daten“, deren jährliche Wachstumsrate laut Gartners „Magic Quadrant for Distributed File Systems and Object Storage“ jährlich zwischen 30 und 60 Prozent liegt.
 

Identifizierung und Klassifizierung von Daten zum optimalen Schutz

Die erste Herausforderung bei der Absicherung der Daten besteht darin, dass man die eigenen Datenbestände kennt. Und da man nur das gut schützt, was man kennt, ist es erforderlich, Daten, die sowohl automatisch als auch nicht automatisiert erstellt und verarbeitet werden, die Datenträger, auf denen sie sich befinden, die Hardware (z. B. Server, Laptops, Festplatten), die Software (z. B. Betriebssystem, Unternehmensanwendungen), aber auch die Kommunikationskanäle (z. B. Internetanschluss, WLAN) zu identifizieren und klassifizieren.

Anzeige

„Dazu ist eine Bestandsaufnahme notwendig. Dabei sind nicht nur die Nutzdaten, sondern auch die verfeinerten, mit Querverweisen versehenen Daten relevant“, so Gries. In welcher Beziehung stehen diese Daten mit den anderen? Nach welchem Kriterium schreibt man diesen Daten einen Wert zu? Diese Prüfung ermöglicht erst eine Klassifizierung der Daten nach Kritikalität und damit die Bestimmung des Vertraulichkeitsniveaus und der erforderlichen Freigaben, um darauf zugreifen zu können. Es gibt jedoch keine einheitliche Nomenklatur. „Jede Organisation hat ihre eigene Klassifizierung: C1, C2, C3 (Vertraulichkeitsstufe 1 usw.); D1, D2, D3 (Datensatzrelevanz 1 usw.), intern oder extern – und sogar nach Farbe (Gelb/Rot usw.). Dies ist, wie so oft, eine Frage der ‚Cyberreife‘ vom Unternehmen selbst“, erklärt Gries.
 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Der Reifegrad von Organisationen in Bezug auf Daten

Für die Klassifizierung von Daten gibt es ebenfalls verschiedene Lösungen: Kleinere Unternehmen bieten oft eine E-Mail-Vorlage an, bei der Nutzer durch Ankreuzen des jeweiligen Kästchens die Klassifizierung selbst vornehmen. Großunternehmen verfügen hingegen oft über Tools, die automatisch Schlüsselwörter in der Datei erkennen, die Daten gegebenenfalls automatisch verschlüsseln, damit verhindert wird, dass Externe sie lesen können.

Das Einstufungsverfahren kann von einer Organisation zur anderen variieren. Wo es ein solches gibt, legt der Datenschutzbeauftragte in der Regel den Einstufungsrahmen fest, und dann ist es Sache der Hersteller solcher Daten zu entscheiden, ob diese vertraulich sind oder nicht. Dies wirft allerdings Fragen bezüglich der digitalen Hygiene auf. Um Daten zu klassifizieren und zu schützen bzw. ihre Weitergabe einzuschränken, muss sich ihr Eigentümer oder Erzeuger über ihren Wert bewusst sein. Es geht darum, vorsichtig damit zu sein, was man mit wem über welchen Kanal teilt. Die „digitale Hygiene“ setzt einen gewissen Reifegrad des Unternehmens in Bezug auf Datensicherheit und Schulungen des Personals in diesem Bereich voraus. Da das Cybersicherheitsthema noch nicht alltäglich geworden ist, sollten Datenschutzbeauftragte das Personal jährlich bezüglich grundsätzlicher Datenschutzregeln schulen. Das ist zwar zeitaufwendig, aber unverzichtbar.

Die Frage des Reifegrads stellt sich nicht nur bei der Wahrnehmung des Wertes von bestimmten Daten, sondern auch bei deren Absicherung. Diese Verantwortung wird sowohl von der IT-Abteilung als auch vom Unternehmen selbst getragen. Das Unternehmen muss feststellen, ob es über Daten verfügt, die für die Weiterführung der Geschäftstätigkeit wertvoll sind – und wie problematisch deren Zerstörung, Verlust oder Diebstahl sein könnte. Demnach muss es sich stark für deren Schutz engagieren. Die IT-Abteilung muss sich dieser Daten bewusst sein, um die richtigen Tools und die richtige Infrastruktur zu deren Schutz bereitzustellen und zu garantieren, dass sich die Daten im Bedarfsfall nahtlos wiederherstellen lassen. Das sieht auf dem Papier einfach aus, ist aber in der Realität dramatisch komplex, besonders wenn Mitarbeiter öfter auf Schatten-IT -Infrastrukturen zurückgreifen, um „bequemer“ auf die Daten zurückgreifen zu können.

Zusammenfassend lässt sich sagen, dass wirksame Datensicherheit auf einem globalen Ansatz beruht, der den Schutz der Arbeitsumgebung, der Arbeitsplätze und der Daten miteinander verbindet. „Aufgrund der Vielfalt an produzierten Daten besteht Bedarf an Sicherheitskonzepten, die verschiedene Schutzschichten miteinbeziehen: Firewalls für Netzwerke, Endpunktlösungen für Workstations, Verschlüsselungs- oder Data-Loss-Prevention-Lösungen für die Daten selbst“, so Gries. Und man muss unternehmensweit strenge Datenschutzrichtlinien umsetzen. Zu guter Letzt müsste man auch einen „Disaster Recovery Plan“ (DRP) bzw. einen „Business Continuity Plan“ (BCP) haben. Diese sollten sowohl auf Papier an einem sicheren Ort als auch in digitaler Form auf einem vom Rest des Netzes isolierten Server aufbewahrt werden, wenn sie nicht auch Chiffrierungs-Malware zum Opfer fallen sollen.

 

Uwe

Gries

Country Manager DACH

Stormshield

Uwe Gries ist seit Januar 2018 als Country Manager DACH bei Stormshield tätig. Mit über 20 Jahren Erfahrung in Führungs- und Managementpositionen im Vertrieb von Soft- und Hardware, verfügt er über umfangreiche Kenntnisse der IT/ITC-Märkte und leitet erfolgreich die Aktivitäten des Unternehmens im gesamten deutschsprachigen Raum.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.