Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 16.09.2019
Datenklassifizierung – wichtig für den Schutz unternehmenskritischer und personenbezogener Daten
16. September 2019, secriso Consulting
Daten sind und werden immer wichtiger für Unternehmen und Organisationen. Dabei kann es sich sowohl um kritische Unternehmensdaten, selbst entwickelte Software, sensible personenbezogene Daten oder etwa auch um Konstruktionsdaten handeln. Die Gründe des Schutzes und der Geheimhaltung können somit aufgrund der unterschiedlichen Datenkategorien variieren. Auf der einen Seite gibt es gesetzliche Vorgaben, die Unternehmen verpflichten Daten angemessen zu schützen, denke man nur an das österreichische Datenschutzgesetz (DSG) oder an das Bundesgesetz gegen den unlauteren Wettbewerb. Auf der anderen Seite stellen Unternehmensdaten bzw. Geschäftsgeheimnisse einen unheimlich großen Stellenwert im Hinblick auf die Konkurrenz dar.
Man kann sich nun fragen, was eine Datenklassifizierung mit der Geheimhaltung und dem Schutz von Daten zu tun hat. Die Antwort ist recht einfach: sollen Daten geschützt werden, muss man zuerst wissen und erkennen, welche Daten schützenswert sind. Genau aus diesem Grund wird eine Datenklassifizierung benötigt. Diese ermöglicht es im Unternehmen den Schutzbedarf der Daten festzustellen und im Anschluss zu kategorisieren. Eine Möglichkeit der Kategorisierung wäre beispielsweise eine Bewertung der Daten als „vertraulich“, „intern“ oder „öffentlich“. Der Mehrwert liegt darin, dass Mitarbeiter die vorliegenden Informationen entsprechend ihres Schutzbedarfs richtig einordnen können und dementsprechend damit umgehen.
Vorteile der Datenklassifizierung
Eine Datenklassifizierung hilft Unternehmen dabei, Compliancevorgaben und den Schutzbedarf vorhandener Daten festzulegen und zu kategorisieren. Die Kategorisierung legt fest, wie schützenwert bestimmte Daten sind und wie mit ihnen umzugehen ist. Dieser allumfassende Überblick ermöglicht eine Risikobewertung und in weiterer Folge die Bestimmung des Risikoniveaus im Unternehmen. Darauf aufbauend können dann in weiterer Folge die erforderlichen Sicherheitsmaßnahmen geplant und umgesetzt werden. Ein weiterer Vorteil der Datenklassifizierung ist, dass Mitarbeiter im Umgang mit Daten sensibilisiert sind und sich vorsichtiger verhalten, wodurch Fehler vermieden werden.
Datenbestandsaufnahme
Als Grundlage für die Klassifizierung dient eine Bestandsaufnahme der vorhandenen Daten innerhalb des Unternehmens. Wichtig ist dabei auch die Betrachtung der Granularität der Klassifizierung, ist diese nämlich zu hoch, hemmt das die Umsetzung, da die Prozesse bei der Datenbearbeitung komplexer werden. Die Umsetzung selbst kann dann auf verschiedene Arten erfolgen. Entweder klassifiziert jeder Organisationsbereich seine Daten selbständig oder die Daten werden entsprechend der Systeme, in denen sie verarbeitet werden, klassifiziert. Das Vorgehen dazu an den geschäftlichen Anforderungen der Organisation orientieren.
Interne Vorgaben
Im Zuge der Durchführung sind klare interne Vorgaben in Form von Richtlinien oder Arbeitsanweisungen zu treffen. Diese geben eine Orientierung, wie die Informationen klassifiziert werden müssen – sowohl bei automatisierter als auch manueller Verareitung. Sind die Daten klassifiziert, gilt es den erlangten Standard zu festigen und kontinuierlich zu verbessern. Die einzelnen Mitarbeiter müssen über die Klassifizierung selbst und über den richtigen Umgang mit klassifizierten Daten unterrichtet werden, um eine konforme Umsetzung in den innerbetrieblichen Prozessen zu garantieren.
Abschließend kann gesagt werden, dass eine Datenklassifizierung – auch wenn sie nur im Zuge einer Zertifizierung nach ISO/IEC 27001 gefordert ist – aus unternehmerischer Sicht immer Sinn macht. Sei es, um Kunden- oder Mitarbeiterdaten oder auch betriebliche Daten zu schützen.
secriso Consulting kann Sie bei der Umsetzung einer Datenklassifikation unterstützen. Wir besitzen umfassende Erfahrung bei der Prozessintegration und liefern gerne auch Vorlagen zur Datenerhebungen sowie erforderliche Richtlinien und Arbeitsanweisungen.
Wenn Sie mehr dazu erfahren wollen, informieren Sie sich unverbindlich unter office@secriso.com oder unter 0463/276376.