Daten automatisch finden und einstufen

Tools für die Datenklassifizierung

Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Speziallösungen spüren Daten auf, ermitteln Datenkategorien und schlagen Schutzmaßnahmen vor. Damit legen sie die Basis für den Datenschutz.

Am Anfang steht die Ist-Analyse. Im Datenschutz bedeutet dies insbesondere, zuerst die Art und die Verteilung der vertraulichen Daten zu bestimmen. Leider ist dies nicht so einfach, wie es klingt. Die Menge an Daten nimmt unaufhörlich zu, wie die Big-Data-Prognosen betonen.

Gleichzeitig gibt es eine ständig wachsende Zahl an Speichermöglichkeiten für die Daten, auf den Endgeräten, im Netzwerk oder in der Cloud. Ohne geeignete Werkzeuge für die Suche nach vertraulichen Daten wird kaum ein Unternehmen einen Überblick über die aktuelle Datenverteilung erhalten. Ohne diesen Überblick gelingt aber kein zuverlässiger Datenschutz.

Ordnung und Klassifizierung weiß man auch andernorts zu schätzen...
Ordnung und Klassifizierung weiß man auch andernorts zu schätzen...
Foto: Flickr - CC-BY Flydime

Speziallösungen helfen bei der Datensuche

Erfreulicherweise kann man die Suche nach den zu schützenden Daten weitgehend automatisieren. Möglich wird dies einerseits durch explizite Lösungen für die Datensuche und Datenklassifizierung, durch Softwarewerkzeuge also, die Daten unternehmensweit aufspüren und anhand von Regeln einer bestimmten Datenkategorie zuordnen.

Die Anwenderunternehmen erhalten Berichte, wo sich welche Art von Daten befindet. Auf dieser Basis kann festgelegt werden, welcher Schutzbedarf an den verschiedenen Datenspeicherorten besteht, ob zum Beispiel eine Verschlüsselung notwendig ist oder nicht.

Eine solche Unterstützung bei der Datenklassifizierung bieten Lösungen wie dg classification, Wave Discoverer und Symantec Data Insight.

dg classification nutzt unter anderem Metadaten, definierbare Textmuster und Vergleichsverfahren, um die Dateien einzustufen. Zusätzlich zur Möglichkeit, eigene Regeln zu definieren und Musterregeln anzupassen, können Beispieldateien genutzt werden, um die Lösung automatisch passend zum Unternehmen zu konfigurieren.

Symantec Data Insight klassifiziert Daten unter anderem anhand Metadaten, Dateialter, Dateiberechtigungen und Dateibesitzer. Über ein Self-Service-Portal können die Dateibesitzer an der Datenklassifizierung mitwirken. Schnittstellen zu DLP-Lösungen und zur Archivierung helfen dabei, den zur Datenkategorie passenden Schutz direkt umzusetzen.

Wave Discoverer nutzt ebenfalls Metadaten wie Dateialter und Dateiersteller, definierte Keywords und Textmuster, um die passende Datenkategorie zuordnen zu können.

Zusätzlich unterstützen solche Datenklassifizierer eine Vielzahl von Compliance-Vorgaben wie PCI DSS und leiten daraus ab, welche Dateitypen besonderen Schutz bedürfen.

DLP-Lösungen sind auch Spürhunde

Die zweite Art von Softwareunterstützung für die Suche und Einstufung von Daten bieten DLP-Lösungen (Data Leakage Prevention).

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

Zu ihren Kernaufgaben zählt nicht nur die Kontrolle von Schnittstellen und Verbindungen, um ungewollten Datenabfluss zu verhindern. In den meisten Fällen bieten DLP-Lösungen auch eine Suchfunktion und Klassifizierung für die Daten an. Entsprechende Such- und Klassifizierungsfunktionen finden sich unter anderem bei Digital Guardian, Symantec Data Loss Prevention, DeviceLock Endpoint DLP Suite und Trustwave Data Loss Prevention, um nur einige Beispiele zu nennen.

DLP-Lösungen wie DeviceLock können so konfiguriert werden, dass sie bestimmte Dateitypen im überwachten Netzwerk aufspüren und entsprechend definierter Regeln schützen.
DLP-Lösungen wie DeviceLock können so konfiguriert werden, dass sie bestimmte Dateitypen im überwachten Netzwerk aufspüren und entsprechend definierter Regeln schützen.
Foto: DeviceLock

Im Unterschied zu den reinen Klassifizierungslösungen haben DLP-Lösungen auch Reaktionsmöglichkeiten im Gepäck und verschlüsseln automatisch die als vertraulich eingestuften Daten oder führen andere definierte Schutzmaßnahmen durch, wie die Blockade des Dateitransfers oder das Verweigern von Datenkopien.

Datenklassifizierung wird schnell und intelligent

Viele Unternehmen fürchten, die Klassifizierung ihrer Daten sei sehr aufwändig und komplex. Tatsächlich aber können spezielle Datenklassifizierer sowie DLP-Lösungen viele Schritte automatisieren, bringen bereits Musterregeln mit und können relativ leicht an den Unternehmensbedarf angepasst werden.

Die Kontrolle von Dateizugriffen kann abhängig gemacht werden von bestimmten Inhalten wie Geburtsdaten, Versicherungsnummern oder Internetadressen. Neben Keywords können DLP-Lösungen auch bestimmte Textmuster suchen, um Daten hinsichtlich ihres Schutzbedarfs einzustufen.
Die Kontrolle von Dateizugriffen kann abhängig gemacht werden von bestimmten Inhalten wie Geburtsdaten, Versicherungsnummern oder Internetadressen. Neben Keywords können DLP-Lösungen auch bestimmte Textmuster suchen, um Daten hinsichtlich ihres Schutzbedarfs einzustufen.
Foto: DeviceLock

Die Intelligenz in den Tools zur Datenklassifizierung geht inzwischen weit über die reine Keyword-Erkennung hinaus. Bei der Einstufung der Dateien finden Inhalts- und Kontext-Analysen statt, neben der Identifizierung vertraulicher Inhalte werden somit auch die Umgebungsparameter der Dateien ausgewertet, wie der Speicherort, die Dateinutzung, die Anwendungen, die auf die Dateien zugreifen, und die Besitzer der Dateien sowie deren Rollen und Berechtigungen.

Mit einer solchen Unterstützung sollten Unternehmen den ersten Schritt auf dem Weg zum Datenschutzkonzept nicht mehr überspringen, sondern wirklich mit der Ist-Analyse von Datenverteilung, Dateikategorien und Schutzbedarf beginnen. Nur so erhält das Datenschutzkonzept ein sauberes Fundament.

Mehr zum Thema?

Mehr zum Thema? Wollen Sie mehr zum Thema "Datentransparenz" erfahren, lesen Sie auch unsere Beiträge "Datenschutz durch Datentransparenz" und "Datenschutz auch ohne Personenbezug". (sh)