Die meisten großen Unternehmen verfügen über Millionen und Abermillionen an unstrukturierten Daten (z. B. Dokumente, Präsentationen, Excel Sheets und Emails), die über viele verschiedene Systeme und Datenspeicher in der ganzen Welt verstreut sind, und diese Daten sind nicht statisch. In einem typischen unternehmerischen Umfeld nehmen Daten schnell ein Eigenleben an, sie werden mit anderen geteilt, kopiert, per Email versandt etc., und sind so in erhöhtem Maße schutzbedürftig.
Die wichtigste Voraussetzung für einen effektiven Schutz ist die akkurate Identifizierung
Viele Unternehmen setzen Softwarelösungen wie Data Leak Prevention (DLP) für die Sicherheit und Zugriffskontrolle ein um Datenschlupflöcher zu schließen und ihre sensiblen geschäftlichen Daten zu schützen.
Der erste Schritt um eine solche Lösung umzusetzen ist die korrekte Identifizierung der sensiblen geschäftlichen Daten, die schutzbedürftig sind. Die akkurate Identifizierung ist eine unbedingte Voraussetzung für die erfolgreiche Umsetzung der Sicherheitslösung und umfassenden Datenschutz. Ist diese nicht gegeben, wird die Lösung entweder mit zu vielen false/positiv Meldungen überschüttet und die Geschäftsprozesse dadurch nachhaltig gestört, oder sensible Informationen gehen durch Datenlecks verloren und setzen das Unternehmen so beträchtlichen finanziellen, geschäftlichen und rechtlichen Risiken aus.
DLP Lösungen nutzen eine Vielzahl an Data Discovery Methoden um sensible Daten zu identifizieren, wie Keywords, Wörterbücher, musterbasierte Methoden (z. B. Abgleich mit Kreditkartennummern, Kontonummern, Identifizierungsnummern etc.) und Abgleich mit vordefinierten Dokumenten. Einmal identifiziert, werden die Dokumente mit einem “Fingerabdruck” versehen, d. h. mit einem eindeutigen Code gekennzeichnet der das Dokument als sensibel identifiziert. An diesem “Fingerabdruck” erkennt die DLP Lösung welche Sicherheitslösung bei dem entsprechenden Dokument zur Anwendung kommt.
Der geschäftliche Kontext der Information ist der Schlüsselfaktor
Auch wenn diese Discovery Techniken bis zu einem gewissen Grad in der Lage sind, sensible Daten zu identifizieren, so generieren sie doch mit hoher Wahrscheinlichkeit eine große Anzahl falscher Positivmeldungen und verfehlen wichtige, sensible Informationen. Das liegt daran dass Discovery Techniken nur Daten suchen und ausfindig machen die innerhalb eines Dokumentes schon existieren. Es fehlt die Fähigkeit eine Verbindung zwischen den greifbaren, identifizierbaren Daten und dem nicht greifbaren geschäftlichen Kontext eines jeden Dokumentes herzustellen.
Ein Unternehmen sollte z. B. in der Lage sein den Aktienoptionsplan für die Arbeitnehmer auf einfache Weise zu identifizieren und zu schützen, ein Dokument jedoch, das eine Liste aller Arbeitnehmer enthält, die einen Betrag zu einem Geburtstagsgeschenk für einen Kollegen beigesteuert haben, zu ignorieren. Beide Dokumente enthalten einfach zu identifizierende Informationen über Mitarbeiter des Unternehmens, doch der geschäftliche Kontext der Information entscheidet darüber ob diese Informationen vertraulich und schutzbedürftig sind oder nicht.
Datenklassifizierung im geschäftlichen Kontext ist ausschlaggebend
Eine umfassende und akkurate Data Discovery für Sicherheitslösungen erfordert eine Datenklassifizierungstechnologie, die in der Lage ist Daten zu identifizieren und ganzheitlich zu analysieren und so den geschäftlichen Kontext und den Grad an Schutzbedürftigkeit einer Information zu erfassen.
Dies bedeutet dass die Daten basierend auf der Geschäftsterminologie des entsprechenden Unternehmens analysiert und klassifiziert werden. Jedes Unternehmen verfügt über eine Vielzahl an Einheiten die die Unternehmensorganisation definieren und identifizieren, wie z. B. Kunden, Arbeitnehmer, Lieferanten, Produkte, Geschäftspartner, Standorte etc. Jede dieser Einheiten beinhaltet wiederum eine große Anzahl an identifizierenden Details. Die Einheit Kunden beinhaltet z. B. alle Namensvarianten wie BMW, Bayerische Motoren Werke AG usw, Adressdetails, Tochterfirmen, alle mit dem Unternehmen verbundenen Ansprechpartner etc. Diese Wirtschaftseinheiten bilden die Geschäftsterminologie des Unternehmens.
Die Datenklassifizierung ermöglicht es Unternehmen automatisch alle geschäftlichen Dokumente zu lokalisieren und zu klassifizieren, und zwar sowohl gemäß den spezifischen Wirtschaftseinheiten des Unternehmens als auch nach Dokumentenart (z. B. Verträge, Rechnungen, Geschäftsberichte, Produktdatenblätter etc.), unabhängig von Speicherort, Dateiname oder –format.
Die Datenklassifizierung bringt Data Discovery auf ein neues Level und geht weit über die einfache und höchst subjektive Datenidentifizierung standardisierter Discovery Lösungen hinaus. Durch die Bewertung der Daten aus einer ganzheitlichen Perspektive heraus, die Erfassung des geschäftlichen Kontextes, bietet die Datenklassifizierung das fehlende Puzzlestück für die Data Discovery.
Zudem erleichtert die Identifizierung der Informationen im geschäftlichen Kontext die Kommunikation und Zusammenarbeit zwischen IT, Security und Compliance Officern und den Eigentümern des geschäftlichen Contents. Die Datenklassifizierung ermöglicht es all diesen Gruppen eine gemeinsame unternehmensweite Sprache zu geben um Informationen zu benennen und Sicherheitsrichtlinien zu definieren. Letztendlich führt dies zu einer effektiveren und auf die geschäftlichen Abläufe zugeschnittenen Herangehensweise an das Information Risk Management im ganzen Unternehmen.