Datenhoheit auch im Home Office – Wie Unternehmen im Besitz Ihrer Daten bleiben
Alle Unternehmen möchten und müssen dafür Sorge tragen, dass alle Informationen nur die Mitarbeiter zu Gesicht bekommen, die Sie auch sehen sollen. Hierfür gibt es viele verschiedene Strategien.
Eine sehr bekannte Strategie wären die altbekannten Netzwerkfreigaben. Hierzu berechtigt man einfach verschieden Nutzer dazu, auf bestimmte Bereiche Ihres Netzwerks zuzugreifen. So soll verhindert werden, dass Daten nicht an Personen gelangen, die nicht dazu befugt sind. Es gibt nur einen großen Nachteil, wenn die Datei außerhalb dieser Struktur auftaucht ist sie für alle lesbar.
Kurz, es gibt eine bessere Lösung, welche die oben genannte entscheidend unterstützt und verbessert. Mithilfe von Microsofts Azure Information Protection (AIP). In diesem Artikel möchten wir Ihnen einige Hilfestellungen, zum Thema Klassifizierung und Verschlüsslung, bieten.
Was ist Azure Information Protection?
Kurz erklärt ist AIP eine Lösung zur Klassifizierung und optional auch zur Verschlüsselung von Dokumenten und Mails. Hierfür lassen sich verschiedene Klassifizierungen (Label) benennen. Diese können dann vom Nutzer manuell für ein Dokument bzw. eine Mail gewählt oder sogar automatisch zugewiesen werden.
Die verschiedenen Klassifizierungen setzen dann für das Dokument / die Mail, die definierten Berechtigungen. So wird dann ein Dokument zum Beispiel verschlüsselt, ist nur für bestimmte Nutzer lesbar, kann nicht geteilt bzw. versendet werden oder ist nur für wenige Tage von externen lesbar. Ein großer Vorteil ist, dass dies weltweit funktioniert. Für die Authentifizierung ist lediglich eine Internetverbindung benötigt.
Beinhaltetet ist Azure Information Protektion z. B. in Microsoft 365 Business.
Was sind Klassifizierung und wie bauen ich diese korrekt auf?
Unabhängig der technischen Lösung ist es viel wichtiger die Klassifizierungen sinnvoll zu strukturieren. Dabei sollte man sich klar überlegen für wen die Dokumente bestimmt sind und welche verschiedenen Level der Schutzbedürftigkeit die Dokumente und Mails in Ihrem Unternehmen haben. Verschiedene Unternehmen, definieren diese Frage sehr unterschiedlich.
Ein großer Automobilhersteller definiert seine Vertraulichkeitsstufen zum Beispiel wie folgt:
Öffentlich (z. B. Pressemitteilungen)
Intern (z. B. Telefonlisten)
Vertraulich (z. B. Produktionsplanung)
Geheim (z. B. Cycle-Pläne, Prototypen)
Wir bei it@business klassifizieren nochmal etwas mehr ins Detail und haben nochmal zusätzliche Kategorien.
Das sollte jedes Unternehmen passend zu seinen Strukturen und Prozessen definieren.
Bei der Erstellung dieser Kategorien sollte man sich folgende Fragen stellen:
1. Welche Gruppen sollen welche Dokumente sehen dürfen oder eben auch nicht?
Die Antwort hierauf definiert Ihre Ordnung der Dokumente und Daten. Beispiele sind Personal, Geschäftsleitung, Intern, öffentlich einer klassischen Dateistruktur. Wie viele Klassen Sie hier benennen bleibt Ihnen überlassen, je weniger Sie jedoch benennen, desto übersichtlicher bleibt die Umsetzung und Definition.
2. Wie vertraulich sind die Daten der jeweiligen Klassifizierung?
Zeitgleich sollte darüber nachgedacht werden wie schützenswert die Daten / Dokumente der jeweiligen Gruppen sind. Um das besser zu verstehen, hier ein Beispiel.
Nehmen wir an Sie haben unter anderem die Gruppen “Personal” und “Marketing”. Personaldaten sind hochsensibel und müssen daher besonders geschützt da Sie unter möglichst keinen Umständen in unbefugte Hände gelangen sollten. Bei Marketing Material verhält sich das nicht ganz so kritisch, Probleme wie ein Datenschutzverstoß sind hier weniger zu befürchten.
Es ergibt also ganz klar Sinn zwei Kategorien mit zwei unterschiedlichen Regelwerken zu definieren.
Stellen Sie sich das Thema vor wie einen Schrank mit verschiedenen Schubladen. Der Schrank mit seinen Schubladen stellt das Ordnungssystem dar, also die Klassifizierungen an sich. Nun können Sie noch entscheiden welche der Schubladen nur für die Ordnung da sind und welche Sie zusätzlich noch zuschließen möchten, das sind dann besonders Schützenswerte Daten mit Verschlüsselungen. Wenn Sie neben der Verschlüsselung verhindern möchten, dass Daten gedruckt oder mit anderen geteilt werden können, lässt sich das ebenfalls über eine solche Klassifizierung erreichen.
Die Sicherheit
Eine Klassifizierung von Daten verhindert das ungewollte Abwandern von Daten aber auch das unbefugte Informationen bekommen, welche nicht für Sie bestimmt sind. Das allein steigert das Sicherheitslevel für Ihr Unternehmen schon immens. Auch können vergebene Rechte auf Daten mit nur einem Click wieder entzogen werden.
Denken Sie daran das der Zugriff auf ein klassifiziertes Dokument durch die Anmeldedaten des jeweiligen Benutzers geschützt ist. Sie sollten daher unbedingt den Einsatz einer Multi Faktor Authentifizierung (MFA) in Betracht ziehen. Die Kombination aus Klassifizierung und MFA macht Ihre Dokumente und Daten nochmal um einiges sicherer.
Auch ergeben sich hierdurch umfangreiche Möglichkeiten evtl. Datenmissbrauch nachvollziehen zu können.
So behalten Sie die Datenhoheit und die Kontrolle!
Wenn Sie daran interessiert sind eine Klassifikation und damit mehr Ordnung und Sicherheit für Ihre Unternehmen einzuführen, dann rufen Sie uns an!
Ihr / Euer ITB-Team