Daten klassifizieren leicht gemacht
Das Wichtigste in Kürze
- Datenklassifizierung mit Microsoft Purview: Baggenstos empfiehlt pragmatischen Start mit manuellem Labeling (teilbar, nicht teilbar, Management-only), dann schrittweise Automatisierung
- Vierstufiger Fahrplan: Bestandsaufnahme im Workshop, Verantwortlichkeiten zuweisen, Zugriffsbeschränkungen festlegen, Umsetzung mit regelmässiger Überprüfung
Daten sind der Treibstoff der Unternehmen. Daten in den falschen Händen oder in falschen Speichern verwandeln sich jedoch in Gefahrengut. Datenlecks können sogar zur existenziellen Gefahr werden, etwa wenn Cyberkriminelle sensible Daten veröffentlichen oder hohe Lösegeldforderungen gestellt werden. In jedem Fall beschädigt ein Datenabfluss die Reputation. Eine Verletzung von Vorschriften wie dem Datenschutzgesetz (DSG) oder der DSGVO in Europa kann zudem empfindliche Bussen nach sich ziehen.
Start mit manueller Klassifizierung
Wer Daten sinnvoll klassifiziert, legt die Basis für einen nachhaltigen Datenschutz und wirksame Zugriffsberechtigungen. Doch Sven Nittmann, Cloud Solution Engineer bei Baggenstos, weiss aus Erfahrung, dass das Thema gerade bei kleineren und mittleren Unternehmen erst noch reift, vor allem durch die zunehmende Etablierung von Copilot, den man in sicheren und blickdichten Schranken wissen möchte. Oft herrscht aber Unsicherheit über das Vorgehen und den Umfang der Arbeiten. Sven Nittmann beruhigt: «Der Aufwand für die Umsetzung hält sich in Grenzen», sagt er. «Die Herausforderung ist eher, sich langfristig an das einmal etablierte Klassifizierungsmodell zu halten.»
Baggenstos geht pragmatisch vor und empfiehlt zuerst ein manuelles Labeling mithilfe von Microsoft Purview.«Es sollte einfach sein», sagt Sven. «Im Prinzip kann man damit beginnen, zwischen teilbaren und nicht teilbaren Daten zu unterscheiden.» Zudem kann eine dritte Klasse für die Managementebene eingeführt werden. Diese umfasst Daten, die im normalen Geschäftsalltag auf unteren Hierarchiestufen nicht einsehbar sein sollen.
Automatisierung im zweiten Schritt
Die Systematik wird komplexer, je grösser der Datenberg und je komplexer die Organisationsstruktur ist. Dann müssen allenfalls weitere Labels eingeführt werden, beispielsweise für bestimmte Projekte, Produkte oder hochsensible Bereiche im Unternehmen. Möglich ist auch, die Kategorisierung nach einem potenziellen Schaden vorzunehmen, von «kein Schaden» bis «existenzbedrohend». Erst einmal sollte aber das manuelle Labeln funktionieren, sagt Sven Nittmann. Danach könne man sich an die Automatisierung wagen. Dazu kann der Gebrauch der manuell gesetzten Labels von der KI ausgewertet und das System erweitert werden.
«Automatisierung bedingt harte Arbeit an den Kriterien.»
Sven Nittmann, Cloud Solution Engineer
Bewusstsein für Datenklassen schaffen
Den Wert der Datenklassifizierung erkennt man oft erst, wenn es zu einem Abfluss gekommen ist. Ob durch einen Angriff oder unabsichtlich, spielt keine Rolle – der Effekt ist derselbe. Sie ist Teil eines umfassenden Security Frameworks mit Passkeys sowie intelligenten Benutzer- und Zugriffsberechtigungen. In M365 wird automatisch das Teilen von Dateien mit einem bestimmten Label verhindert oder werden Nutzerinnen und Nutzer mit individuell anpassbaren Meldungen dazu aufgefordert, den Datenschutz einzuhalten. Microsoft Purview schützt ganzheitlich, indem unter anderem Dateien und nicht Speicherorte geschützt werden. Kurz: Das Tool ermöglicht eine umfassende Übersicht über die Datenlandschaft des Unternehmens und stellt Datensicherheit, Governance und Compliance sicher.
Iteratives Vorgehen
Die Arbeit an der Datenklassifizierung bedingt ein mehrstufiges Vorgehen. Erst einmal sollte sich ein Unternehmen darüber klar werden, wo welche Daten überhaupt verfügbar sind, wer heute Zugriff hat und wie diese geteilt werden. In einem Workshop nimmt dann das künftige Datenmodell Form an. Befindet sich das KMU bereits in der Microsoft-Welt, dann sei ein erstes praxisgerechtes Modell eine Sache von wenigen Tagen, sagt Sven Nittmann. Müssten aber noch Verbindungen zu Drittherstellern geschaffen werden, erst dann wächst sich die Klassifizierung zu einem IT-Projekt von mehreren Wochen aus. Der schwierigste Teil: «Das Bewusstsein – KMU sollten sich bewusst werden, welche Risiken sie eingehen, wenn sie Daten nicht klassifizieren.»
Fahrplan
Die Umsetzung ist bei jedem Unternehmen unterschiedlich, doch generell umfasst ein Fahrplan:
- Bestandesaufnahme mittels Workshop
- Verantwortlichkeiten zuweisen
- Zugriffsbeschränkungen festlegen
- Umsetzung und regelmässige Überprüfung mit Nachjustierung der Kategorien
