Sichere Daten durch Klassifizierungen
Richtig sortiert
Wenn wertvolle Informationen aus einem Unternehmen heraussickern, kann das teuer, peinlich oder beides werden. Wer solche Missgeschicke wirksam verhindern will, muss die richtigen Schutzmaßnahmen treffen.
Nicht alle in einem Unternehmen oder einer Behörde gesammelten Informationen sind gleich wichtig und gleich wertvoll. Einige benötigen starken Schutz, für andere reichen lockere Maßnahmen. Voraussetzung für die ungleiche Behandlung: Es muss klar sein, welche Daten in welche Kategorie gehören.
Klarheit erreicht man durch Klassifizierung. Sie kann organisatorischer Natur sein, beispielsweise könnte man Textdokumente in der Fußzeile als „öffentlich“, „vertraulich“ oder „streng vertraulich“ kennzeichnen. Es gibt Software, die solche Informationen in die Metadaten verschiedener Dateitypen schreibt, um das Auswerten und Einhalten von Regeln zu automatisieren. Ein Beispiel ist Azure Information Protection (AIP), das Office-Dokumente, PDFs und andere Dateien klassifiziert und geeignete Schutzmaßnahmen umsetzt.
Informationssicherheit definiert die drei Ziele Verfügbarkeit, Integrität und Vertraulichkeit. Ihre Wichtigkeit kann stark schwanken. Beispielsweise könnte die Verfügbarkeit eines Schichtplans sehr wichtig sein, weil sonst die Mitarbeiter nicht erscheinen und der Betrieb stillsteht, der Schichtplan ist hingegen nicht sonderlich vertraulich. Hohe Integrität ist vielleicht weniger relevant, Hauptsache, die Arbeiter sind zur Stelle. Und an das gut gehütete Rezept einer koffeinhaltigen Limonade muss man nur heran, wenn etwa Produktionsmaschinen neu eingestellt werden müssen. Dann kommt es womöglich auf ein paar Tage nicht an.
Daten lassen sich in mehreren unabhängigen Dimensionen klassifizieren, zum Beispiel nach jedem der drei genannten Ziele. Dieser Artikel befasst sich mit der Vertraulichkeit, einige Prinzipien gelten jedoch auch für die anderen Schutzziele.
Vertraulichkeit ist ein hohes Gut
Es gibt interne und externe Gründe, Vertraulichkeit herzustellen. Unternehmen haben zum Beispiel ein starkes Interesse daran, ihr geistiges Eigentum zu schützen. Vor allem will man verhindern, dass der Konkurrenz wertvolle Daten etwa über Prototypen, Patentanträge und Produktionsabläufe in die Hände fallen. Das gilt auch für Geschäftsstrategien, Preisgestaltungen, Fusionspläne und Zukäufe. Falls solche Informationen oder Daten über Kunden und Angestellte unbeabsichtigt an falscher Stelle auftauchen, bleibt meist ein ramponiertes Image.
Bei den fremdbestimmten Gründen geht es um das Einhalten von Gesetzen, Verordnungen und Zertifizierungsrichtlinien. Besonders zu erwähnen ist hier die DSGVO, an die sich jeder halten muss, der personenbezogene Daten verarbeitet. Um diese wirksam schützen zu können, muss man sie zwecks Sonderbehandlung zunächst herausfiltern. Anderes Beispiel: Aktiengesellschaften sind gesetzlich verpflichtet, ihre Umsatzzahlen bis zum offiziellen Veröffentlichungstermin geheim zu halten.
Bei einem unbeabsichtigten Datenabfluss oder einer ungeplanten Veröffentlichung haben in der Regel entweder Mitarbeiter Fehler gemacht oder böswillige Akteure die Daten entwendet. Einige Schutzinstrumente verhindern Irrtümer, andere helfen gegen aktive Angriffe, manche auch gegen beides.