• Fachbeitrag
  • Management, Awareness & Compliance

Schutz vor unbemerktem Datenverlust durch Data Discovery und Klassifizierung

Data Discovery und Datenklassifizierung können die Anfälligkeit für Datenverstöße und unbemerkten Datenabfluss sowie teure Bußgelder bei Nichteinhaltung von Vorschriften reduzieren.

itsa 365: infinity sign, combines protection and security against data loss
Eine der nach wie vor größten Herausforderungen eines IT-Sicherheitsverantwortlichen ist und bleibt die Absicherung von sensiblen Firmen- und personenbezogenen Daten. Dabei ist es unerheblich, wo diese Daten generiert, verarbeitet oder gespeichert werden. Das einzige, was zählt, ist die Strategie, wie Daten erkannt, klassifiziert und letztlich vor unbefugten Zugriffen geschützt werden. Leider hat das Thema nach wie vor nicht in den wichtigsten Hierarchie-Stufen – den Chefetagen – Fuß gefasst, wie nicht zuletzt eine Umfrage der Allianz für Cybersicherheit von 2018 feststellte. Zwar halfen Gesetze wie die DSGVO, das IT-Sicherheitsgesetz und dessen Erweiterung zur Version 2.0, ein Bewusstsein zu schaffen, dennoch besteht Nachholbedarf. 


Leider sorgen nach wie vor Schlagzeilen dafür, dass das Thema Datenabfluss im Zweifel auch von allein an Priorität gewinnt. Bei zu vielen Sicherheitsvorfällen mit entsprechendem Datenverlust waren Server oder Datenbanken betroffen, die zuvor unzureichend abgesichert wurden. Im Darknet existiert ein lukrativer Schwarzmarkt, der nur deshalb floriert, weil die Cyberkriminellen genau wissen, dass viele Unternehmen – insbesondere solche, die in Multi-Cloud-Umgebungen arbeiten – immer noch keinen Überblick darüber haben, wo sich all ihre sensiblen Daten befinden.


Datenabfluss vermeiden durch Datenerkennung

Datenverstöße und -pannen mögen vielleicht nicht gänzlich auszuschließen sein, aber Datenlecks sind durchaus vermeidbar und es können Schritte unternommen werden, um die Sicherheitsbemühungen eines Unternehmens zu verstärken. Die eigenen Daten zu kennen bedeutet, durch Datenermittlung, also Data Discovery und Datenklassifizierung, ein gutes Verständnis dafür zu haben, wo sich sensible Daten befinden. Ohne diese wichtige Grundlage können Organisationen nicht wissen, welche Inhalte zu schützen sind, wo sie sich befinden, wer auf sie zugreifen kann, wann sie erstellt wurden und so weiter.


Sobald Daten entdeckt oder generiert werden, sollten sie klassifiziert (identifiziert und gruppiert) werden, basierend auf bestimmten Mustern und Algorithmen. Auf diese Weise können IT-Fachleute fundierte Entscheidungen über Sicherheit, gemeinsame Datennutzung, Datenzugriff, digitale Transformation, Cloud-Migration und Priorisierung von Schutzmaßnahmen treffen. Daten sollten nicht so behandelt werden, als seien sie alle gleich risikobehaftet. Sie sollten vielmehr nach ihrer Kritikalität – hoch, mittel oder niedrig – klassifiziert werden.


Risikoanalyse als Sicherheitsbasis und Stärkung von Compliance

Wenn auf die Datenermittlung und -klassifizierung eine Risikoanalyse folgt, lässt sich eine umfassende und ganzheitliche Sicherheitsgrundlage aufbauen. Eine solche Analyse hilft IT-Teams dabei, die Sensibilität von Daten zu verstehen und dann den Risikograd der Daten zu klassifizieren. Diese Fähigkeiten helfen Unternehmen auch bei der Durchsetzung der Datenhoheit und der Einhaltung von Datenschutz- und Sicherheitsvorschriften wie der DSGVO, PCI DSS und HIPAA.

Die Datenermittlung ist für die Identifizierung, Minimierung und Eindämmung von Risiken unerlässlich und ermöglicht Unternehmen:

  • den Aufbau eines umfassenden, aktuellen Datenbestands. 
  • die Analyse und Klassifizierung der Daten nach Risikokategorie.
  • die Priorisierung von Schutzmaßnahmen unter Verwendung von Datenverschlüsselungs- und Tokenisierungslösungen.
  • die Nutzung von effizienten Scans, um strukturierte und unstrukturierte Daten im gesamten Unternehmen zu entdecken.
  • die Nutzung von Entdeckungs- und Klassifizierungswerkzeugen, die den Compliance-Teams helfen, Auditoren und Aufsichtsbehörden die Erfüllung der Anforderungen nachzuweisen.


Darüber hinaus sollten sich Organisationen an Richtlinien und Vorschriften zur Datensicherheit und zum Datenschutz halten, denn deren Nichteinhaltung kann kostspielige Strafen nach sich ziehen.