1. Klassifizierung von Informationen

Die Klassifizierung von Informationen ist eine wesentliche Aufgabe in der Informationssicherheit. Durch die Klassifizierung wird ermittelt, welche Informationen für den Betrieb einer Organisation notwendig sind und welche nicht. Zudem wird festgelegt, wie sensibel die Informationen sind und welche Schutzmaßnahmen ergriffen werden müssen, um einen Datenabfluss zu verhindern. Die Klassifizierung von Informationen ist ein wesentlicher Bestandteil des Informationssicherheitsmanagements.

1.1 Welche Arten von Informationen gibt es?
Die klassische Einteilung von Informationen in strukturierte und unstrukturierte Daten ist in der Informationssicherheit nicht ausreichend. Strukturierte Daten sind definiert und in einem vorhersehbaren Format gespeichert, beispielsweise in einer relationalen Datenbank. Unstrukturierte Daten hingegen sind nicht in einem vorhersehbaren Format gespeichert und daher schwieriger zu verarbeiten. In der Informationssicherheit werden Informationen grundlegend weiter unterteilt in:

– Public Information: Diese Art von Information ist allgemein zugänglich und kann daher problemlos verbreitet werden. Beispiele für public information sind Zeitungsartikel oder Nachrichten im Fernsehen.

– Sensitive Information: Diese Art von Information ist nicht allgemein zugänglich und daher besonders schützenswert. Beispiele für sensitive Information sind Geschäftsgeheimnisse oder personenbezogene Daten.

Darüber hinaus gibt es mittlerweile zahlreiche Standards und Best Practice Ansätze, die sich mit der konformen Klassifizierung von Informationen hinsichtlich der Integrität, Verfügbarkeit und Vertraulichkeit dieser befassen.

1.2 Warum ist die Klassifizierung von Information so wichtig?
Die Klassifizierung von Information ist wichtig, weil sie die Grundlage für ein effektives Informationssicherheitsmanagement ist. Nur wenn die Schutzbedürftigkeit der Information ermittelt wurde, können die entsprechenden Schutzmaßnahmen ergriffen werden. Zudem kann durch die Klassifizierung festgestellt werden, ob eine Weitergabe der Information an Dritte überhaupt Sinn macht.

2. Schutzbedarf und Zweck

In den meisten Unternehmen existieren große Mengen an vertraulichen Daten, die einen Schutzbedarf erfordern. Diese Daten werden im Sinne des Datenschutzes als sensibel oder schützenswert bezeichnet. Die Verarbeitung dieser sensiblen Daten ist in der Regel nur unter Einhaltung bestimmter, gesetzlich vorgeschriebener Schutzbestimmungen zulässig. Sensible Daten sind daher besonders geschützte personenbezogene Daten, deren Missbrauch einen erheblichen Schaden für den Betroffenen verursachen kann.

3. Privilegien zum Datentransfer dediziert vergeben

Die Informationsklassifizierung dient dem Schutz vor Datenabfluss. Dabei werden Informationen in unterschiedliche Kategorien eingeteilt, die jeweils bestimmte Zugriffs- und Nutzungsrechte enthalten. So kann sichergestellt werden, dass nur berechtigte Personen auf vertrauliche Informationen zugreifen und diese nutzen können. Ein wesentlicher Bestandteil der Informationsklassifizierung ist die Vergabe von Privilegien. Diese ermöglichen es Benutzern, auf geschützte Ressourcen zuzugreifen und diese zu nutzen. Die Privilegien werden dabei dediziert vergeben, das heißt, jeder Benutzer hat genau die Privilegien, die er für seine Tätigkeit benötigt. So kann sichergestellt werden, dass kein Benutzer mehr Privilegien hat als nötig. Durch die dedizierte Vergabe von Privilegien wird auch der Datentransfer eingeschränkt. So können nur noch diejenigen Personen auf vertrauliche Informationen zugreifen und diese nutzen, die tatsächlich berechtigt sind. Dadurch wird verhindert, dass unberechtigte Personen auf sensible Daten zugreifen und diese möglicherweise weitergeben.

4. Maßnahmen zum Datenschutz

Neben einer Informationsklassifizierung ist es auch ratsam, weitere Maßnahmen zum Datenschutz zu ergreifen. Dazu gehören: -Die Regelung des Zugangs zu sensiblen Informationen. Nur autorisierte Personen sollten Zugang zu diesen Informationen haben. -Eine regelmäßige Überprüfung der Sicherheitseinrichtungen. -Ein Verbot von externen Festplatten und USB-Speichern. -Eine Einschränkung des Zugangs zu bestimmten Computern und Netzwerken. -Die Verschlüsselung wichtiger Daten.

5. Verantwortung für den Datenschutz

Der Datenschutz ist ein wichtiges Thema, dem man sich stellen muss. Informationsklassifizierung ist eine Möglichkeit, um den Datenfluss zu kontrollieren und zu verhindern, dass sensible Informationen an die falschen Leute gelangen. Die Verantwortung für den Datenschutz liegt bei jedem Einzelnen. Jeder muss sich bewusst sein, welche Information er weitergibt und an wen. Denken Sie immer daran: Vertrauliche Informationen sollten nur an Personen weitergegeben werden, die berechtigt sind, sie zu erhalten.

6. PAM für den kontrollierten Datenaustausch

Die EU-Datenschutzgrundverordnung (DSGVO) ist seit Mai 2018 in Kraft. Die Regelungen zum Schutz von personenbezogenen Daten werden international immer strenger und Unternehmen müssen sich auf die neue Situation einstellen. Ein wichtiger Aspekt ist die Kontrolle des Datenaustauschs mit externen Dienstleistern und Partnern. Hier kommt PAM ins Spiel: PAM steht für Privileged Access Management und bietet eine Möglichkeit, den Austausch von sensiblen Informationen zu kontrollieren und zu regulieren. Ziel ist es, den Zugriff auf bestimmte Datensätze oder Funktionen so einzuschränken, dass nur autorisierte Personen Zugriff haben – und diese nur dann, wenn es unbedingt notwendig ist.

Die Abwicklung von Geschäftsprozessen erfordert in der Regel die Zusammenarbeit zwischen unterschiedlichen IT-Systemen. Oftmals sind auch externe Systeme wie Lieferanten- oder Kundensysteme involviert. Dabei kommt es häufig vor, dass Daten an externe Stellen übermittelt werden – beispielsweise um Bestellungen aufzugeben oder Rechnungsdaten zu übermitteln. Dieser Datenaustausch birgt jedoch ein Sicherheitsrisiko: Wenn die Daten nicht richtig geschützt sind, können sie in falsche Hände gelangen und missbraucht werden. Mit VISULOX haben Sie die Kontrolle über den Austausch von Informationen zwischen Ihren IT-Systemen und den externen Systemen. Die Software identifiziert automatisch alle Informationsflüsse in Ihrer IT-Infrastruktur und klassifiziert sie nach Risikolevel. So sehen Sie auf einen Blick, welche Flüsse besonders sensibel sind und welche Maßnahmen ergriffen werden müssen, um einen Missbrauch zu verhindern.

VISULOX Data Transfer Control

Unsere Lösung bietet Organisationen die Möglichkeit, den gesamten Datentransfer, egal ob innerhalb der Office-IT oder beim Rollout von Patches im OT-Bereich zu managen, dokumentieren und jederzeit selbst in der Hand zu haben. Anhand individueller Regelwerke obliegt der Transfer von Dateien und Informationen ganzheitlich den Vorgaben der Informationssicherheit.

Es ist möglich Datei Transfers nur dediziert freizugeben, diese an die Klassifizierung der einzelnen Datei zu binden oder auf bestimmte Personenkreise und Zeiträume zu beschränken. Darüber hinaus erhält die Organisation einen stetig verfügbaren Überblick über alle transferierten Daten via Live-Cokcpit oder retroperspektiv über shadow copies und generierten Audit Trails.