Schaden durch Datenverlust oft fehleingeschätzt
Daten sind nicht nur wertvoll, sie können auch gefährlich werden. In falschen Händen können sensible Informationen wie Logindaten oder Kundeninformationen ein Unternehmen ruinieren – durch Vertrauensverlust, Rufschädigung und hohe Strafen wegen Datenschutzverstößen. Allerdings sind nicht alle Daten gleich kritisch. IT-Sicherheitsverantwortliche müssen wissen, welche Daten besonders schützenswert sind und wer darauf zugreifen darf. Dafür sind klare Klassifizierungsprozesse notwendig, die auch Risiken berücksichtigen.
In der Identity Governance and Administration (IGA) bedeutet Klassifizierung, dass Identitäten, Rollen und Berechtigungen in der IT-Infrastruktur in verschiedene Kategorien eingeteilt werden. Diese Einteilung ist entscheidend für die Verwaltung von Zugriffsrechten und die Einhaltung von Compliance-Vorgaben. Außerdem steigert sie die Sicherheit, vereinfacht Verwaltungsaufgaben und wird individuell auf das Unternehmen zugeschnitten. Jedes Unternehmen muss sich zuerst fragen, welchen Geschäftszweck es verfolgt und welche spezifischen Risiken es minimieren will.
Ein Klassifizierungsprozess sollte auf die IT- und Unternehmensstrategie abgestimmt werden. Er muss branchenspezifische Vorschriften wie DSGVO, NIST oder SOX sowie neue Regelungen wie NIS2 berücksichtigen, die einen stärkeren Fokus auf das Risikomanagement legen.
Der risikobasierte Ansatz zur Klassifizierung:
Ein Klassifizierungsansatz teilt Daten in risikoreiche und risikoarme Kategorien ein. Dafür sind folgende Schritte wichtig:
- Bestandsaufnahme: Erfassen aller Daten und Anwendungen.
- Verantwortlichkeiten zuweisen: Bestimmen, wer für welche Daten und Anwendungen verantwortlich ist.
- Zugriffsbeschränkungen festlegen: Definieren, wer Zugriff erhält und wie dieser verwaltet wird.
Zentral ist die Klassifizierung nach dem möglichen Schaden einer unbefugten Offenlegung:
- Kein Schaden: Keine negativen Auswirkungen.
- Geringer Schaden: Leichte Imageschäden.
- Erheblicher Schaden: Kurzfristige, deutliche Beeinträchtigung des Unternehmens.
- Existenzbedrohlicher Schaden: Gefahr für das Überleben des Unternehmens.
Oft verwenden Unternehmen bereits Tools zur internen Klassifizierung, doch es gibt häufig Lücken zwischen der Verwaltung von Daten und Anwendungen und der Verwaltung von Zugriffen durch IGA-Systeme. Eine kontextbasierte Klassifizierung ist daher unerlässlich, um sicherzustellen, dass sensible Informationen korrekt geschützt sind.
Was sollte man klassifizieren und nach welchen Kriterien?
Allgemeine Antworten auf diese Frage greifen oft zu kurz, da sie wichtige, branchenspezifische Informationen übersehen. Der beste Ansatz ist, sich zunächst an den Vorschriften und Standards der jeweiligen Branche zu orientieren. Diese bieten einen wichtigen Kontext für den eigenen Klassifizierungsprozess. Dabei sollten Unternehmen folgende Fragen beantworten:
- Müssen die Vorschriften den Schutz der Privatsphäre von Personen gewährleisten?
- Ist es notwendig, das Risiko der Offenlegung sensibler Daten, wie etwa Finanztransaktionen, zu reduzieren?
- Besteht die Verpflichtung, Branchenstandards transparent zu machen und nachzuweisen, dass diese eingehalten werden?
Oft verlangen diese Standards von Unternehmen, bestehende Lücken zu schließen, um die Vorschriften vollständig zu erfüllen, oder zumindest einen Plan dafür zu entwickeln. Ein modernes Identity Lifecycle Management ist dabei entscheidend, um Identitäten die richtigen Zugriffsrechte zum passenden Zeitpunkt zuzuweisen, diese zu sichern und zu überwachen.
Im nächsten Schritt sollten Kategorien und Tags erstellt werden, die helfen, die Anforderungen zu erfüllen. Dabei ist es sinnvoll, eine Hierarchie für den Zugriff auf bestimmte Ressourcen basierend auf Rollen zu entwickeln. Privilegierte Zugriffs-Tags sollten ausschließlich Administratoren vorbehalten sein. Kategorien und Tags zur Risikobewertung sollten entlang der Rollen erstellt werden, die Mitarbeiter im Unternehmen innehaben.
Kriterien für ein Klassifizierungsschema:
- Geschäftszweck: Definieren Sie klar, welchen Zweck jede Klassifizierungsgruppe erfüllt. Begründen Sie die einzelnen Tags innerhalb der Kategorie und fügen Sie verständliche Beschreibungen hinzu.
- Hierarchische Struktur: Teilen Sie Kategorien in Ebenen oder Unterkategorien ein, um auch große Datenmengen effizient organisieren und verwalten zu können.
- Klassifizierungsregeln: Legen Sie klare, konsistente Regeln für die richtige Klassifizierung von Anwendungen und Rollen fest.
- Dokumentation: Erläutern Sie den Zweck und Umfang des Klassifizierungsschemas. Beschreiben Sie Kategorien und Attribute mit Beispielen und stellen Sie eine Anleitung für die Anwendung der Kriterien bereit.
- Qualitätskontrolle: Implementieren Sie Mechanismen, um die Konsistenz und Genauigkeit der Klassifizierung sicherzustellen. Fehler sollten durch regelmäßige Überprüfungen und Audits identifiziert und behoben werden.
- Benutzer-Feedback: Geben Sie Benutzern die Möglichkeit, Probleme zu melden und Verbesserungsvorschläge zu machen, um das Schema kontinuierlich zu optimieren.
Resümee
Ein IGA-Klassifizierungsschema ist angesichts der aktuellen Bedrohungslage unverzichtbar. Es hilft, Compliance-Vorgaben einzuhalten und schützt gleichzeitig Firmengeheimnisse sowie Kundendaten vor unbefugtem Zugriff. Durch engmaschige Kategorien für Zugriffsrechte in Kombination mit effektivem Identity Lifecycle Management wird die Zugriffsverwaltung automatisiert, die Sicherheit erhöht und IT-Teams entlastet. Cyberkriminelle suchen oft nach Konten mit vielen Zugriffsprivilegien, stoßen jedoch schnell an ihre Grenzen, wenn das Unternehmen seine IGA-Aufgaben sorgfältig erledigt hat. Ein risikobasiertes Klassifizierungsschema bildet dabei das technische Fundament und ist eine wichtige Grundlage für die Prinzipien von Least Privilege und Zero Trust.
Thomas Müller-Martin, Global Partner Lead bei Omada