Datenkategorisierung für Unternehmen / Data categorization for companies

So kategorisieren Sie Cloud-Daten in Ihrem Unternehmen

Veröffentlicht am von

(Dieser Artikel wurde im Juli 2021 veröffentlicht und im Oktober 2022 aktualisiert.)
Kategorisiert Ihr Unternehmen Daten, bevor diese zur Archivierung, Verarbeitung oder Übertragung in die Cloud wandern? Mit dieser und ähnlichen Fragen beschäftigt sich die Mitte des Jahres in Zusammenarbeit mit TÜV SÜD und uniscon veröffentlichte IDG-Studie „Cloud Security 2021“.

Über die Hälfte der DACH-Unternehmen kategorisiert Daten vor der Cloud-Migration.

Das Ergebnis: Etwas mehr als die Hälfte (53 Prozent) der befragten DACH-Unternehmen nimmt vor der Cloud-Migration eine Datenkategorisierung vor. Knapp ein Drittel (29 Prozent) der Entscheider gab an, eine Kategorisierung bzw. Klassifizierung von Daten zu planen, nur elf Prozent haben dies nicht vor. Das zeigt, dass die meisten Studienteilnehmer die Notwendigkeit für eine Klassifizierung der firmeneigenen Daten erkannt haben. Doch warum spielt das überhaupt eine Rolle?

Datenkategorisierung kann vor Schaden schützen

Das wird spätestens klar, wenn unternehmenskritische Daten aufgrund einer fehlenden oder fehlerhaften Kategorisierung in die falschen Hände gelangen. Denn ein Datenleck, etwa von personenbezogenen Daten, kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen (vgl. DSGVO §83, §84 u.a.). Aber auch Firmengeheimnisse, Lieferantenverträge oder anderweitige vertrauliche Informationen gehören angemessen geschützt. Dies ist nicht nur, aber besonders bei streng regulierten Branchen, die derzeit verstärkt in die Cloud drängen, von entscheidender Relevanz.

Datenkategorisierung Kriterien
Wichtigstes Unterscheidungskriterium ist für viele Unternehmen der Verwendungszweck.

Das wichtigste Kriterium bei der Kategorisierung von Daten ist laut IDG-Studie für die meisten Unternehmen der geplante Verwendungszweck. Doch es kommen auch andere Unterscheidungsmerkmale in Frage. Nachfolgend zeigen wir Ihnen, wie Sie die Datenkategorisierung in Ihrem Unternehmen umsetzen können.

So kategorisieren Sie Ihre Unternehmensdaten

Legen Sie zunächst eine Richtlinie für die Datenkategorisierung fest! Diese sollte im Idealfall kurz und übersichtlich sein und allen Mitarbeitern (mindestens aber denjenigen, die mit den Daten arbeiten) kommuniziert werden.

In dieser Richtlinie können Sie unter anderem festhalten,

  • welche Ziele Sie mit der Kategorisierung verfolgen,
  • wie die Kategorisierung organisiert wird und
  • nach welchen Kriterien die Daten unterschieden werden.

Ferner können Sie Rollen und Verantwortlichkeiten festhalten und Hinweise zur Handhabung geben, etwa zu Speicherort, Verschlüsselung, Zugriffsrechten etc.

In diesem ersten Schritt gilt es bereits, gesetzliche Vorgaben und Compliance-Richtlinien zu beachten und ins Kalkül mit einzubeziehen. Entscheiden Sie auch, ob nur neue Daten kategorisiert werden sollen, oder ob zusätzlich Bestandsdaten mit einbezogen werden sollen. Letzteres ist zwar aufwändiger, in der Regel ist es aber sicherer, die Richtlinie auch auf bestehende Daten anzuwenden.

Nach welchen Kategorien Sie Ihre Unternehmensdaten klassifizieren, hängt unter anderem von der Art des Unternehmens ab; neben dem oben bereits erwähnten Verwendungszweck spielt hierbei häufig auch die Art der Daten eine entscheidende Rolle – etwa, ob es sich um personenbezogene Daten oder Geschäftsgeheimnisse handelt.

Eine häufige Unterteilung sieht beispielsweise wie folgt aus:

  • Öffentliche Daten: Daten dieser Kategorie müssen nicht speziell geschützt werden, sondern können auch für die Öffentlichkeit frei zugänglich sein. Beispiele: Kontaktdaten zu Sales und/oder Service, Referenzen, Preislisten etc.
  • Vertrauliche Daten: Vertrauliche Daten sind nicht für die Öffentlichkeit bestimmt und unterliegen bestimmten Sicherheitsanforderungen. Beispiele: Organigramme, Personas, Kampagne-Strukturen etc.
  • Geheime Daten: Die dritte Gruppe umfasst hochsensible Daten, deren Offenlegung ein finanzielles oder rechtliches Risiko für das Unternehmen bedeuten könnte und die daher besonders zu schützen sind. Beispiele: Personenbezogene Daten oder Zugangsdaten von Kunden und Mitarbeitern, Patienten- und Gesundheitsdaten, Geschäftsgeheimnisse etc.

Wählen Sie den passenden Cloud-Anbieter für Ihre Kategorien

Wenn Sie eine Kategorisierungsrichtlinie erstellt und Ihren Mitarbeitern kommuniziert, Rechte und Rollen vergeben und die Kategorisierung vorgenommen haben, folgt im nächsten Schritt die Suche nach einem passenden Anbieter für die Speicherung, Verarbeitung und Übertragung Ihrer Unternehmensdaten.

Öffentliche Daten sind etwa in einer Public Cloud gut aufgehoben; Public-Cloud-Dienste verfügen oft nur über die nötigsten Sicherheitsvorkehrungen und eignen sich daher nicht für sensible und geheime Daten, punkten dafür aber häufig mit einer intuitiven Bedienung und sind entweder verhältnismäßig günstig oder in einigen Fällen sogar kostenlos. 

Vertrauliche und geheime Daten erfordern hingegen ein höheres Sicherheitsniveau, wie es nur hochsichere Business-Cloud-Lösungen oder virtuelle Datenräume bieten können. Letztere verfügen zusätzlich meist über weitere Funktionen wie revisionssichere Dokumentationsmöglichkeiten und Protokolle, Zugangsbeschränkungen und weitere Möglichkeiten zum Verbreitungsschutz wie Wasserzeichen.

Und ja, auch personenbezogene Daten, Geschäftsgeheimnisse oder Gesundheits- und Finanzdaten dürfen in die Cloud – vorausgesetzt, diese ist dementsprechend sicher und kann das auch nachweisen. Achten Sie daher unbedingt auf Zertifizierungen und Gütesiegel, aber auch auf Details wie Serverstandort und die zugrundeliegende Technologie. Cloud-Collaboration-Dienste wie idgard etwa setzen auf Confidential Computing, um unbefugte Datenzugriffe und Manipulation zuverlässig technisch auszuschließen. Das heißt, dass auch der Betreiber selbst keinen Zugang auf die Daten in der Cloud hat.

Fazit

Die Kategorisierung bzw. Klassifizierung von Daten ist natürlich kein Datenschutz-Allheilmittel: sie allein schützt nicht vor Angriffen und garantiert auch keine Rechtssicherheit. Dennoch hilft eine durchdachte und gut umgesetzte Datenkategorisierung Unternehmen nicht nur dabei, die Sicherheit erfolgskritischer Daten zu verbessern, sondern erleichtert auch die Einhaltung gesetzlicher und/oder branchenspezifischer Vorgaben. Stellen Sie also entsprechende Überlegungen an, bevor Sie Unternehmensdaten in die Cloud migrieren und lassen Sie bei der Umsetzung die nötige Sorgfalt walten, um auf der sicheren Seite zu sein.

Übrigens: Weitere Informationen zum Thema „Datensicherheit“ finden Sie in unserem kostenlosen Whitepaper „Datensicherheit: So schützen Unternehmen ihre sensiblen und geschäftskritischen Daten“.

Whitepaper gratis herunterladen

In diesem Whitepaper erfahren Sie:

  • was Datensicherheit ist und welche gesetzlichen Grundlagen es dazu gibt,
  • welche Risiken sich aus mangelnder Datensicherheit ergeben und
  • welche Maßnahmen Unternehmen treffen können, um sich und ihre sensiblen Daten wirksam zu schützen.

Darüber hinaus finden Sie hier nützliche Checklisten und hilfreiche Tipps rund um das Thema “Datensicherheit”.

Datenklassifizierung IDG uniscon
IDG Studie „Cloud Security 2021“: Datenklassifizierung in der Cloud Nehmen deutsche Unternehmen vor der Cloud-Migration eine Datenklassifizierung vor? Nach welchen Kriterien wird dabei unterschieden? Erfahren Sie mehr! Weiterlesen »
"Cloud Security“ Studie von IDG Research Services in Zusammenarbeit mit uniscon, München 2021
IDG Studie „Cloud Security 2021“: Mehrheit der Cloud-Nutzer fürchtet Datendiebstahl, schätzt Datensicherheit Cloud-Nutzer fürchten Datendiebstahl, aber schätzen die Datensicherheit in der Cloud. Wie sich diese scheinbar gegensätzlichen Ergebnisse der aktuellen IDG-Studie "Cloud Security 2021" vereinbaren lassen, erfahren Sie hier. Weiterlesen »
Gratis-Download: IDG-Studie „Cloud Security 2021“ – ausgewählte Ergebnisse Exklusiv für Sie haben wir einige Key Insights der aktuellen IDG-Studie „Cloud Security 2021“ in einem kostenlosen White Paper zusammengefasst. Erfahren Sie, warum die größten [...] Weiterlesen »
Wir halten Sie sicher auf dem Laufenden.
Ja, ich will informiert bleiben!