Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Beitrag teilen

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das Risiko besser einschätzen zu können, hilft es, Klassifizierungsansätze im Unternehmen anzuwenden.

Oft liest man die Verlautbarung „In einem Unternehmen sind Daten das wertvollste Gut“. Doch das ist nur eine Seite der Medaille, denn in den falschen Händen sind Daten regelrechtes Gefahrengut. Bestimmte Informationen werden im Fall eines Datenlecks sogar zur existentiellen Gefahr für ein Unternehmen. Wenn Logindaten, sensible Unternehmensdaten oder gar Kundeninformationen abgeschöpft wurden, stehen der Verlust des guten Firmenrufes, eine langfristige Schädigung des Vertrauens der Kunden und hohe Geldstrafen wegen Datenschutzverletzungen im Raum.

Anzeige

Doch man muss unterscheiden: Nicht alle Informationen sind ein Pulverfass. Das heißt nicht, dass manche Daten entbehrlich sind, sondern dass der Verlust gewisser Daten verhängnisvoller ist als der anderer. IT-Sicherheitsverantwortliche müssen wissen, auf welche Daten das zutrifft und auf welche nicht. Doch vor allem müssen sie entscheiden, welche Personen und Identitäten auf diese vertraulichen Daten zugreifen dürfen. Dafür braucht es Klassifizierungsprozesse, die Risiken einbeziehen.

Was bedeutet Klassifizierung in IGA?

In der Identity Governance and Administration (IGA) bedeutet Klassifizierung, dass man Identitäten, Rollen und Berechtigungen innerhalb der IT-Infrastruktur in Kategorien einteilt. Diese Klassifizierung ist nicht nur für die Verwaltung von Zugriffsrechten unerlässlich. Sie gewährleistet auch die Einhaltung von Compliance-Richtlinien, erhöht die Sicherheit, rationalisiert Verwaltungsaufgaben und: Sie ist hochgradig individuell. Keine zwei Organisationen werden den gleichen Klassifizierungsprozess verwenden. Jedes Unternehmen muss sich daher zunächst die Frage stellen, welchen Geschäftszweck es verfolgt und welche spezifischen Risiken es mindern will.

Ein Klassifizierungsprozess muss im Kontext der IT-Strategie auf die allgemeine Unternehmensstrategie abgestimmt werden. Innerhalb der IT-Sicherheit muss der Klassifizierungsprozess spezifische Branchenvorschriften (z. B. DSGVO, NIST, COBIT5, HIPAA, SOX, usw.), Compliance-Anforderungen und Standard-Frameworks berücksichtigen. Zudem erfordert auch NIS2 künftig von Unternehmen einen größeren Fokus auf das Management der potenziellen Risiken. Dies sind die wichtigsten Faktoren, die ein Klassifizierungsschema beeinflussen.

Der risikobasierte Ansatz zur Klassifizierung

Ein Klassifizierungsansatz sollte zwischen risikoreichen und risikoarmen Kategorien unterscheiden. Für einen grundlegenden Fahrplan empfehlen sich die folgenden Schritte:

  • Bestandsaufnahme: Erfassung aller Daten und Anwendungen in der IT-Infrastruktur des Unternehmens.
  • Verantwortlichkeiten zuweisen: Jedes Objekt sollte man einem internen Verantwortlichen zuweisen, der dann die Klassifizierung vornimmt.
  • Zugriffsbeschränkungen festlegen: Hier muss definiert werden, wer auf welche Objekte zugreifen darf, wie der Zugriff gewährt und entzogen wird und wer den Genehmigungsprozess verwaltet.

Nun folgt das Kernstück risikobasierter Klassifizierung: Die Kategorisierung nach den potenziellen Folgen einer unbefugten Offenlegung. Sie sollte in folgende Stufen eingeteilt werden:

  • Kein Schaden: Die Offenlegung hätte keine nachteiligen Folgen.
  • Geringer Schaden: Die Offenlegung würde zu einem geringen Imageschaden führen.
  • Erheblicher Schaden: Die Offenlegung würde die Organisation kurzfristig erheblich beeinträchtigen.
  • Existenzbedrohlicher Schaden: Die Offenlegung würde eine glaubwürdige existenzielle Bedrohung darstellen.

Die meisten Unternehmen verwenden bereits Tools, um Daten und Anwendungen intern zu klassifizieren, aber hier gibt es oft eine entscheidende Diskrepanz: zwischen der Art und Weise, auf die das Unternehmen Daten und Anwendungen verwaltet, und der Methode, nach der ein IGA-System den Zugriff verwaltet. So kann ein Unternehmen beispielsweise einen SharePoint-Ordner haben, der sowohl öffentliche als auch sensible Daten enthält. Eine IGA-Lösung kann aber nicht feststellen, ob oder wann sensible Assets hinzugefügt oder entfernt werden. Aus diesem Grund ist ein kontextbezogenes Klassifizierungsschema für eine effektive IGA-Strategie so wichtig.

Was sollte man klassifizieren und nach welchen Kriterien?

Pauschalisierte Antworten gehen hier oftmals an der Unternehmenswirklichkeit vorbei, da relevante, zum Teil branchenspezifische Informationen unberücksichtigt bleiben. Der beste Ausgangspunkt sind branchenspezifische Vorschriften und Standards zur Dokumentation. Diese liefern einen wichtigen Kontext für den hausinternen Klassifizierungsprozess. Starten sollte man damit, Antworten auf die folgenden Fragen zu finden: Verlangen die Vorschriften den Schutz der Privatsphäre des Einzelnen? Muss das Unternehmen das Risiko der Offenlegung sensibler Daten wie Finanztransaktionen verringern? Ist es zudem verpflichtet, Branchenstandards transparent zu machen und/oder nachweisen, dass man die Regeln durchsetzt?

In vielen Fällen verlangen die Industriestandards, dass Unternehmen die Lücken füllen, die sie daran hindern, die Vorschriften vollständig einzuhalten oder zumindest einen Plan erstellen, um diese zeitnah zu schließen. Zeitgemäßes Identity Lifecycle Management ist dabei entscheidend und ermöglicht es, Identitäten ihre Zugriffsrechte zum richtigen Zeitpunkt zu gewähren, diese zu sichern und zu kontrollieren.

Im nächsten Schritt erstellt man Kategorien und Tags, die zur Erfüllung der Anforderungen beitragen. Losgehen sollte es mit der Erstellung einer Hierarchie für den Zugriff auf bestimmte Ressourcen auf der Grundlage von Rollen. Privilegierte Zugriffs-Tags sollten Administratoren vorbehalten sein. Kategorien und Tags für die Risikobewertung sollte man entlang der Rollen erstellen, die Personen im Unternehmen haben. Kategorien auf der Grundlage von geschäftlichen Rollen zu erstellen ist hier empfehlenswert, um strenge Zugriffsanforderungen durchzusetzen und den Benutzern nur so viel Zugriff zu gewähren, wie sie für die Erledigung ihrer Aufgaben brauchen.

Sechs Kriterien eines Klassifizierungsschemas

Bei der Entwicklung eines Klassifizierungsschemas helfen folgende Kriterien:

  • Geschäftszweck: Für jede Klassifizierungsgruppe sollte man klar definieren, welchen Geschäftszweck sie erfüllt. Einzelne Tags innerhalb einer Klassifizierungskategorie sollte man begründen und zudem mit einer prägnanten und leicht verständlichen Beschreibung versehen.
  • Hierarchische Struktur: Kategorien sollte man in Ebenen oder Unterkategorien einteilen, damit man auch große Datenmengen detailliert organisieren und verwalten kann.
  • Klassifizierungsregeln: Damit Anwendungen und Anwendungsrollen die richtige Klassifizierung erhalten, sollte man Regeln und Konsequenzen objektiv, konsistent und klar definieren.
  • Dokumentation: Sowohl den generellen Zweck als auch den Umfang des Klassifizierungsschemas sollte man erläutern. Obendrein empfiehlt es sich, Kategorien und Attribute zu beschreiben, sie an Beispielen zu erklären und Benutzern eine Anleitung zur Anwendung der Klassifizierungskriterien zur Verfügung zu stellen.
  • Qualitätskontrolle: Implementierung von Governance-Mechanismen, um die Konsistenz und Genauigkeit der Klassifizierung zu gewährleisten. Fehler bei der Klassifizierung müssen durch Überprüfungen, Audits und Validierungsprozesse identifiziert und korrigiert werden.
  • Benutzer-Feedback: Benutzer sollten die Möglichkeit bekommen, Probleme zu melden und Verbesserungen vorzuschlagen, um das Schema im Laufe der Zeit zu verfeinern und zu optimieren.

Schlussfolgerung

Ein IGA-Klassifizierungsschema ist vor dem Hintergrund der derzeitig prekären Bedrohungslage unverzichtbar. Es hilft dabei, den Compliance-Vorgaben zu genügen und gleichzeitig Firmengeheimnisse und Kundendaten vor Fremdzugriff zu schützen. Engmaschige Kategorien für Zugriffsrechte in Verbindung mit effektivem Identity Lifecycle Management automatisieren die Zugriffsverwaltung, erhöhen die Sicherheit und entlasten IT-Teams. Denn Cyberkriminelle suchen nach Accounts, die mit möglichst vielen Zugriffsprivilegien ausgestattet sind, gelangen aber schnell an ihre Grenzen, wenn man in Sachen IGA seine Hausaufgaben gemacht hat. Ein risikobasiertes Klassifizierungsschema ist dafür das technische Fundament und obendrein eine tragende Säule für Least-Privilege und Zero Trust-Prinzipien.
Von Thomas Müller-Martin, Global Partner Lead bei Omada

Mehr bei OmadaIdentity.com

 


Über Omada

Omada, ein globaler Marktführer im Bereich Identity Governance and Administration (IGA), bietet eine umfassende, unternehmenstaugliche, Cloud-native IGA-Lösung, mit der Unternehmen die Einhaltung von Vorschriften erreichen, Risiken reduzieren und die Effizienz maximieren können. Omada wurde im Jahr 2000 gegründet und bietet innovatives Identitätsmanagement für komplexe hybride Umgebungen auf der Grundlage unseres bewährten Best-Practice-Prozess-Frameworks und Implementierungsansatzes.


Passende Artikel zum Thema

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Automobilindustrie: Zertifizierung bietet höchsten Datenschutz

Die TISAX-Zertifizierung ist der Sicherheitsstandard in der Automobilindustrie. Ein Anbieter von Cybersecurity-Lösungen bietet durch seine neue TISAX-Zertifizierung Stufe 3 der ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen

NIS2-Richtlinie: Ziele und Herausforderungen bei der Umsetzung

Ziel der NIS-Direktive war es, für eine hohe Cyberresilienz in Unternehmen mit kritischer Infrastruktur in allen Mitgliedsstaaten der EU zu ➡ Weiterlesen

Wie CISOs höhere Cyberresilienz sicherstellen können

Die Cybersicherheit in Unternehmen hat sich in den vergangenen Jahren deutlich weiterentwickelt – die Techniken der Cyberkriminellen allerdings ebenso. Aber ➡ Weiterlesen