Autor Peter Forster (Lead Architect | Base-IT)
Viele von Ihnen werden bereits auf Papier eine Datenklassifizierung erstellt haben. Diese dient als Grundlage für die technische Umsetzung. Vor einer solchen Umsetzung muss geprüft werden, ob und wie sich die geschriebene Datenklassifizierung umsetzen lässt.
Viele unserer Kunden haben, je nach Schutzbedarf, unterschiedliche Klassen definiert. Die häufigsten Klassen sind:
Mit dieser Klassifizierung ist der erste Schritt in Richtung technischer Umsetzung gelegt. Wichtig bei der Datenklassifizierung ist nicht nur die Benennung der Klassen, sondern auch die Nennung der Dokumenttypen, welche in die jeweilige Klasse fallen. Nur so lassen sich später manuell bzw. automatisch die richtigen Klassen den jeweiligen Dokumenten zuordnen.
Beachten Sie, dass typischerweise folgende Untergliederung der Datenmengen in einem prozentualen Spiegel dargestellt werden können:
Hinweis: Die Kategorie Privat wird nicht in der Tabelle gezeigt, da teilweise Unternehmen die Speicherung privater Daten gemäß organisatorischer Richtline nicht erlauben.
In den wenigsten Unternehmen ist gemäß der Datenklassifizierung ein erheblicher Anteil der Daten hoch schützenswert. Streng Vertrauliche Dateien können meist auf folgende Kategorien heruntergebrochen werden:
Je nach Branche können sich hier eigene Datenkategorie ergeben, welche einem hohen Schutzbedarf unterliegen. Für eine Aktiengesellschaft können dies Vorgänge im Umfeld von Merger & Acquisitions bzw. Carve-In oder Carve-Out Projekte sein. Diese Vorgänge können den Aktienkurs beeinflussen und gemäß der Rechtsprechung aus der in Österreich gültigen Rechtsvorschrift für Emittenten-Compliance-Verordnung 2007 ergibt sich hier auch rechtlich ein entsprechender Schutzbedarf.
Dateien bezieht sich auf alle innerhalb eines Dateisystems gespeicherten Inhalte. Aufgrund der technischen Limitierung für gewisse Dateiformate muss hier unterschieden werden, ob eine native Unterstützung des Dateiformats für Microsoft Purview Information Protection gegeben ist, oder ob mit so genannten Wrapper-Dateien gearbeitet werden muss.
Die Schutzklassifizierung einer E-Mail bezieht sich auf den Inhalt der E-Mail (Betreff sowie Body-Text). Technisch kann eine Unterscheidung der Schutzstufe zwischen einer E-Mail und einem Anhang einer E-Mail gegeben sein.
Bei einem Container-Label wird eine Schutzklassifizierung auf ein Microsoft Team oder eine SharePoint-Site gelegt. Dabei lassen sich verschiedene Einstellungen später für ein Team bzw. eine SharePoint Site definieren. Beispielsweise kann mit Hilfe der Container-Labels festgelegt werden, ob Gäste in einem Team erlaubt sind oder nicht.
Die derzeit in Preview befindliche Funktion für Datenassets erlaubt es in verschiedenen Systemen wie beispielsweise SQL, Azure SQL, Azure Files, oder Azure Blob Storage ein Label anzuwenden. Ein Beispiel für SQL wäre, dass in einer Table der Datenbank sensitive Informationen gespeichert werden und nur diese Table mit einem Label versehen wird.
Bei der manuellen Zuweisung von Klassifizierungen zu einem Dokument sind Ihre Benutzer im Unternehmen gefragt. Diese weisen bei der Erstellung/Bearbeitung von Dokumenten die Labels manuell zu. Hierfür ist es notwendig die Benutzer entsprechend zu schulen und ausreichend Beispiele von Dokumenttypen bereitzustellen, damit die Klassifizierung korrekt durchgeführt wird. Ein Beispiel wie das für den Anwender in Microsoft Word aussieht:
Zusätzlich kann im Datei-Explorer eine Klassifizierung durchgeführt werden. Dies ist notwendig, wenn Elemente bereits gespeichert sind, bzw. Dateiformate vorliegen, die nicht Microsoft Office sind.
Hier kommt, wie erwähnt, für nicht unterstützte Dateiformate ein Wrapper-File zum Tragen. Dabei wird das zu schützende Dokument in eine weitere Datei gepackt und nur diese Datei ist gemäß den Richtlinien mit Microsoft Purview Information Protection geschützt.
Wichtig zu wissen ist:
Der Schutz ist immer auf der Datei, egal an welchem Speicherort diese Datei abgelegt ist. Es ist somit irrelevant, ob diese auf einem on-premises Dateiserver, bei Microsoft in der Cloud, bei einem Drittanbieter in der Cloud, auf einem USB-Stick oder in einem Backup liegt. Die angewandte Schutzstufe wird bei jeder Verwendung der Datei geprüft.
Die automatische Zuweisung von Schutzklassifizierungen kann auf unterschiedliche Arten erfolgen. Es wird dabei unterschieden, ob die Dateien in der Cloud gespeichert sind (SharePoint, Teams), durch den Anwender soeben erstellt werden, oder auf einem on-premises Fileserver abgelegt sind.
In der Cloud gespeicherte Dateien (Microsoft Teams, SharePoint)
Wenn die Dateien bereits in der Cloud gespeichert sind, kann per Richtlinien vorgegeben werden, dass z.B. gesamte SharePoint Dokumentenbibliotheken mit der gleichen Datenschutzklassifizierung geschützt werden. Zusätzlich kann jedoch auch definiert werden, dass nur Dokumente mit gewissen Inhalten geschützt werden. Hierbei kommen die so genannten Sensitive Information Types zum Tragen, welche eine Definition der Suchkriterien innerhalb der Datei beinhalten.
Wenn neue Dateien erstellt werden, kann auf Basis des geschriebenen Textes eine Erkennung der Inhalte durchgeführt werden und der Anwender wird in der Zuteilung der korrekten Klassifizierung unterstützt. Hierbei muss über vordefinierte Kriterien festgelegt werden, welche Keywords geprüft werden und dem Benutzer wird dann ein entsprechender Vorschlag zur Klassifizierung unterbreitet. Der Benutzer kann diesen Vorschlag annehmen oder ändern.
Dateien auf einem on-premises Fileserver
Mit Hilfe des on-premises Scanners, den wir im ersten Artikel bereits erwähnt haben, lassen sich on-premises File-Repositorien scannen und wiederum gemäß den Inhalten die entsprechende Datenklassifizierung für die Dateien definieren. Auch hier kann unterschieden werden zwischen dem Speicherort und der Zuweisung einer Klassifizierung oder dem Inhalt der Dateien.
Gerne erstellen wir mit Ihnen gemeinsam eine Datenschutzklassifizierung, welche sich an die aktuellen Normen gemäß ISO 27001 bzw. TiSAX® Level 2/3 orientiert. Im Rahmen eines Workshops erörtern wir, welche Feinheiten es gibt und differenzieren die technischen Umsetzungsmöglichen bei Office-Dateien, anderen Dateiformaten sowie dem Schutz von E-Mails. Zusätzlich prüfen wir mit Ihnen gemeinsam den Einsatzzweck hinsichtlich der Konfiguration innerhalb der so gennannten Container-Labels für Microsoft Teams und SharePoint.