Für die Datensicherheit ist eine umfassende und korrekte Klassifizierung fundamental. Nur wenn man weiß, welche Daten (besonders) schützenswert sind, kann man entsprechende Maßnahmen umsetzen. Dies gilt umso mehr in Zeiten der KI-Assistenten wie Microsoft Copilot.
Der Zugriff des Tools auf Informationen hängt wesentlich von den Zugriffsrechten des Users sowie der Einstufung der Daten ab. Nur wenn beide Faktoren clever kontrolliert werden, lassen sich KI-Risiken reduzieren.
Entsprechend ist die Datenklassifizierung ein grundlegendes Element einer starken Sicherheitsstrategie. Viele Klassifizierungsprojekte scheitern jedoch, weil die Scan-Engine große Datensätze nicht verarbeiten kann oder zu viele Fehlalarme produziert. Auf der Suche nach der passenden Lösung, sollte man auf Anbieter achten, deren Anwendungen bei ähnlichen Unternehmen wie dem eigenen (im Hinblick auf die Größe und Art der Daten) erfolgreich eingesetzt werden. Dabei kommt es vor allem auf fünf Fähigkeiten an, über die eine Klassifizierungslösung verfügen sollte.
1. Skalierbares und effizientes Scannen in Echtzeit
Es besteht ein großer Unterschied zwischen dem Scannen eines Terabytes Speicherplatzes eines mittelständischen Betriebs und dem Scannen von 12 Petabytes an Daten eines weltweiten Konzerns. Setzt man auf Produkte, die aufgrund von Latenzproblemen nicht skaliert werden können, führt dies dazu, dass Scans nie abgeschlossen werden oder veraltete und unvollständige Datenklassifizierungserkenntnisse liefern. Dies hat selbstredend negative Auswirkungen auf wichtige Sicherheitsentscheidungen.
Umgebungen mit Hunderten großen Datenspeichern benötigen eine verteilte Multi-Thread-Engine, die mehrere Systeme gleichzeitig bearbeiten kann, ohne zu viele Ressourcen zu verbrauchen. Zudem sollte man auf Lösungen setzen, die inkrementelle Echtzeit-Scan-Methoden verwenden und nur die Daten scannen, die seit dem letzten Scan neu erstellt oder geändert wurden.
2. Präzise Klassifizierung
Die Genauigkeit ist das wesentliche Element der Datenklassifizierung. Eine unzuverlässige Datenerkennung und -analyse untergräbt Data Loss Prevention (DLP)-Richtlinien, CASB-Funktionen und die Erkennung von Bedrohungen. Laut Gartner scheitert jedes dritte DLP-Projekt an einer mangelhaften Datenklassifizierung und -erkennung.
Viele Klassifizierungstools verlassen sich auf Bibliotheken von Drittanbietern oder Open-Source-Pakete mit ungeprüften und nicht validierten regulären Ausdrücken, Wörterbüchern und Mustern, um sensitive Daten zu finden. Moderne Klassifizierungslösungen verfügen über eigene Datenbanken und spezifische Muster (etwa zur DSGVO), Proximity-Matching und algorithmische Überprüfung, um präzise Ergebnisse zu liefern. Grundsätzlich sollte während der Evaluierung eines Tools dessen Genauigkeit getestet werden, indem man Testdaten etwa von dlptest.com verwendet.
3. Vollständige Ergebnisse
Eine Klassifizierung ist nur dann erfolgreich, wenn auch alle Bereiche von ihr erfasst werden. Dies gilt sowohl für Speicherorte als auch für Dateitypen. Wenn ein Scan nach der Hälfte (beispielsweise aus den oben genannten Gründen) abbricht, erhält man nur das halbe Bild und damit auch nur den halben Schutz. Denn während Sampling bei Datenbanken ein effektives Mittel sein kann, gilt dies leider nicht für Datenspeicher wie NAS-Arrays oder Objektspeicher wie AWS S3 und Azure Blob. Wenn man zweiTB eines S3-Kontos gescannt und keine sensitiven Inhalte gefunden hat, kann man nicht davon ausgehen, dass die anderen 500 TB an Daten ebenfalls nicht sensitiv sind.
Bevor man sich für ein Klassifizierungs-Tool entscheidet, sollte man sich vergewissern, dass es die für das Unternehmen wichtigen Datentypen unterstützt. Dabei kann es sich um CAD-Zeichnungen, Office-Dokumente oder auch um Bilder handeln. Eine robuste Klassifizierungslösung sollte in der Lage sein, alle strukturierten, semi- und unstrukturierten Daten zu scannen und zu klassifizieren, unabhängig von Typ, Format, Speicherort oder Plattform. Nur so erhalten Sicherheitsverantwortliche einen zentralen und umfassenden Überblick zum Schutz von Daten über SaaS, IaaS, Datenbanken, Dateifreigaben vor Ort und hybride NAS-Geräte hinweg. Cloud-basierte Lösungen sind zudem in der Lage, auf aktualisierte gesetzliche Vorgaben oder Standards zu reagieren und schnell neue Klassifizierungsrichtlinien ohne zeitraubende Upgrades, Paket-Downloads oder Patches bereitzustellen.
4. Kontextbezogene Erkenntnisse
Die Klassifizierung von Daten ist zwar ein wichtiger erster Schritt, reicht aber in der Regel nicht aus, um wertvolle Daten zu schützen. Sicherheitsverantwortliche benötigen zusätzlichen Kontext, um ihre Sicherheitsziele zu erreichen. Dabei spielen insbesondere Zugriffsrechte und Datei-Aktivitäten eine Schlüsselrolle. Der Schlüssel zur Risikominimierung liegt darin, das Risiko zu erkennen und zu wissen, wer auf die Daten zugreifen kann. Dieser Zugriff muss dann so minimiert werden, dass die Produktivität nicht beeinträchtigt wird.
Gleichzeitig müssen Sicherheitsverantwortliche in der Lage sein, ungewöhnliches Verhalten zu erkennen und es zu unterbinden, festzustellen, wer auf Daten zugreift, und übermäßigen Zugriff so zu unterbinden, dass die Produktivität nicht beeinträchtigt wird. All dies ist nur mit dem entsprechenden Kontext möglich. Durch die Analyse der Metadaten können so die wesentlichen Fragen wie „Welche Daten sind sensitiv, verfügen über zu weit gefasste Zugriffsrechte oder werden nicht mehr benötigt?“ beantwortet werden.
5. Laufende Überprüfung
Einige Tools verwenden periodische oder geplante Scans, die Daten in festen Intervallen scannen. Dateien werden jedoch ständig geändert. Und entsprechend ändert sich auch häufig die Kritikalität. Nur wenn eine Klassifizierungslösung hierbei Schritt halten kann, können die Daten dauerhaft geschützt werden. Deshalb sollte sie ein Echtzeit-Auditprotokoll sämtlicher Aktivitäten führen.
Die für das eigene Unternehmen passende Klassifizierungslösung kann Sicherheitsverantwortliche dabei unterstützen, Datenschutzverletzungen zu verhindern, Vorfälle schnell zu untersuchen und sicherzustellen, dass sie die immer strengeren Vorschriften einhalten. Dabei sollten sie insbesondere auf die Abdeckung der wichtigsten vom Unternehmen genutzten Datenspeicher, SaaS und IaaS, eine hohe Präzision und Skalierbarkeit achten. Nur so lassen sich wertvolle und dynamische Assets wie Daten auch in Zukunft optimal schützen.
Autor: Volker Sommer, Regional Sales Director DACH & EE von Varonis Systems