Datenkategorisierung für Unternehmen / Data categorization for companies

Tipp: So kategorisieren Sie Cloud-Daten in Ihrem Unternehmen

Kategorisiert Ihr Unternehmen Daten, bevor diese zur Archivierung, Verarbeitung oder Übertragung in die Cloud wandern? Mit dieser und ähnlichen Fragen beschäftigt sich die Mitte des Jahres in Zusammenarbeit mit TÜV SÜD und uniscon veröffentlichte IDG-Studie „Cloud Security 2021“.

Über die Hälfte der DACH-Unternehmen kategorisiert Daten vor der Cloud-Migration.

Das Ergebnis: Mehr als die Hälfte (53 Prozent) der befragten DACH-Unternehmen nimmt vor der Cloud-Migration eine Datenkategorisierung vor. Knapp ein Drittel (29 Prozent) der Entscheider gab an, eine Kategorisierung bzw. Klassifizierung von Daten zu planen, nur elf Prozent haben dies nicht vor. Das zeigt, dass die meisten Studienteilnehmer die Notwendigkeit für eine Klassifizierung der firmeneigenen Daten erkannt haben. Doch warum spielt das überhaupt eine Rolle?

Datenkategorisierung kann vor Schaden schützen

Das wird spätestens klar, wenn unternehmenskritische Daten aufgrund einer fehlenden oder fehlerhaften Kategorisierung in die falschen Hände gelangen. Denn ein Datenleck, etwa von personenbezogenen Daten, kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen (vgl. DSGVO §83, §84 u.a.). Aber auch Firmengeheimnisse, Lieferantenverträge oder anderweitige vertrauliche Informationen gehören angemessen geschützt. Dies ist nicht nur, aber besonders bei streng regulierten Branchen, die derzeit verstärkt in die Cloud drängen, von entscheidender Relevanz.

Datenkategorisierung Kriterien
Wichtigstes Unterscheidungskriterium ist für viele Unternehmen der Verwendungszweck.

Das wichtigste Kriterium bei der Kategorisierung von Daten ist laut IDG-Studie für die meisten Unternehmen der geplante Verwendungszweck. Doch es kommen auch andere Unterscheidungsmerkmale in Frage. Nachfolgend zeigen wir Ihnen, wie Sie die Datenkategorisierung in Ihrem Unternehmen umsetzen können

So kategorisieren Sie Ihre Unternehmensdaten

Legen Sie zunächst eine Richtlinie für die Datenkategorisierung fest! Diese sollte im Idealfall kurz und übersichtlich sein und allen Mitarbeitern (mindestens aber denjenigen, die mit den Daten arbeiten) kommuniziert werden.

In dieser Richtlinie können Sie unter anderem festhalten,

  • welche Ziele Sie mit der Kategorisierung verfolgen,
  • wie die Kategorisierung organisiert wird und
  • nach welchen Kriterien die Daten unterschieden werden.

Ferner können Sie Rollen und Verantwortlichkeiten festhalten und Hinweise zur Handhabung geben, etwa zu Speicherort, Verschlüsselung, Zugriffsrechten etc.

In diesem ersten Schritt gilt es bereits, gesetzliche Vorgaben und Compliance-Richtlinien zu beachten und ins Kalkül mit einzubeziehen. Entscheiden Sie auch, ob nur neue Daten kategorisiert werden sollen, oder ob zusätzlich Bestandsdaten mit einbezogen werden sollen. Letzteres ist zwar aufwändiger, in der Regel ist es aber sicherer, die Richtlinie auch auf bestehende Daten anzuwenden.

Nach welchen Kategorien Sie Ihre Unternehmensdaten klassifizieren, hängt unter anderem von der Art des Unternehmens ab; neben dem oben bereits erwähnten Verwendungszweck spielt hierbei häufig auch die Art der Daten eine entscheidende Rolle – etwa, ob es sich um personenbezogene Daten oder Geschäftsgeheimnisse handelt.

Eine häufige Unterteilung sieht beispielsweise wie folgt aus:

  • Öffentliche Daten: Daten dieser Kategorie müssen nicht speziell geschützt werden, sondern können auch für die Öffentlichkeit frei zugänglich sein. Beispiele: Kontaktdaten zu Sales und/oder Service, Referenzen, Preislisten etc.
  • Vertrauliche Daten: Vertrauliche Daten sind nicht für die Öffentlichkeit bestimmt und unterliegen bestimmten Sicherheitsanforderungen. Beispiele: Organigramme, Personas, Kampagne-Strukturen etc.
  • Geheime Daten: Die dritte Gruppe umfasst hochsensible Daten, deren Offenlegung ein finanzielles oder rechtliches Risiko für das Unternehmen bedeuten könnte und die daher besonders zu schützen sind. Beispiele: Personenbezogene Daten oder Zugangsdaten von Kunden und Mitarbeitern, Patienten- und Gesundheitsdaten, Geschäftsgeheimnisse etc.

Wählen Sie den passenden Cloud-Anbieter für Ihre Kategorien

Wenn Sie eine Kategorisierungsrichtlinie erstellt und Ihren Mitarbeitern kommuniziert, Rechte und Rollen vergeben und die Kategorisierung vorgenommen haben, folgt im nächsten Schritt die Suche nach einem passenden Anbieter für die Speicherung, Verarbeitung und Übertragung Ihrer Unternehmensdaten.

Öffentliche Daten sind etwa in einer Public Cloud gut aufgehoben; Public-Cloud-Dienste verfügen oft nur über die nötigsten Sicherheitsvorkehrungen und eignen sich daher nicht für sensible und geheime Daten, punkten dafür aber häufig mit einer intuitiven Bedienung und sind entweder verhältnismäßig günstig oder in einigen Fällen sogar kostenlos. 

Vertrauliche und geheime Daten erfordern hingegen ein höheres Sicherheitsniveau, wie es nur hochsichere Business-Cloud-Lösungen oder virtuelle Datenräume bieten können. Letztere verfügen zusätzlich meist über weitere Funktionen wie revisionssichere Dokumentationsmöglichkeiten und Protokolle, Zugangsbeschränkungen und weitere Möglichkeiten zum Verbreitungsschutz wie Wasserzeichen.

Und ja, auch personenbezogene Daten, Geschäftsgeheimnisse oder Gesundheits- und Finanzdaten dürfen in die Cloud – vorausgesetzt, diese ist dementsprechend sicher und kann das auch nachweisen. Achten Sie daher unbedingt auf Zertifizierungen und Gütesiegel, aber auch auf Details wie Serverstandort und die zugrundeliegende Technologie. Cloud-Collaboration-Dienste wie uniscons idgard® etwa setzen auf Confidential Computing, um unbefugte Datenzugriffe und Manipulation zuverlässig technisch auszuschließen. Das heißt auch, dass der Betreiber selbst keinen Zugang auf die Daten in der Cloud hat.


Sind Sie an weiteren Artikeln und Beiträgen rund um die Themen Datenschutz und Datensicherheit interessiert?

Dann melden Sie sich jetzt kostenlos und unverbindlich zu unserem privacyblog-Newsletter an! Wir informieren Sie per Mail über neue Blogbeiträge. Hier geht es zur Anmeldung.


Haben wir Sie neugierig gemacht? Dann testen Sie den hochsicheren Cloud-Collaboration-Dienst idgard® jetzt 14 Tage lang kostenlos! Kein Download, keine Installation und keine Angabe von Zahlungsinformationen – einfach Account einrichten und loslegen.

Fazit

Die Kategorisierung bzw. Klassifizierung von Daten ist natürlich kein Datenschutz-Allheilmittel: sie allein schützt nicht vor Angriffen und garantiert auch keine Rechtssicherheit. Dennoch hilft eine durchdachte und gut umgesetzte Datenkategorisierung Unternehmen nicht nur dabei, die Sicherheit erfolgskritischer Daten zu verbessern, sondern erleichtert auch die Einhaltung gesetzlicher und/oder branchenspezifischer Vorgaben. Stellen Sie also entsprechende Überlegungen an, bevor Sie Unternehmensdaten in die Cloud migrieren und lassen Sie bei der Umsetzung die nötige Sorgfalt walten, um auf der sicheren Seite zu sein.