Ordnung ist das halbe Leben: Warum es sich lohnt, Daten zu klassifizieren

01.07.2020

Das Gold des 21. Jahrhunderts liegt überall. Ob wir online shoppen, unseren Standort teilen oder Online-Banking nutzen – wir produzieren unzählige Daten zu jeder Zeit. Wer sie gewinnbringend nutzen möchte, muss die dafür notwendige Struktur schaffen. Gerade in großen Organisationen führen verschiedene Prozesse zu zahlreichen Datenmengen. Sie liegen meist in unstrukturierter Form auf File Servern, dem Share Point oder in der Cloud vor und werden von zahlreichen Mitarbeitern bearbeitet, vervielfältigt und archiviert. Was dabei abnimmt, ist die Transparenz über die Datenkategorie, die Informationsmenge oder deren Wertigkeit für das Geschäft des Unternehmens.

news image

Compliance-Vorgaben Mit der richtigen Klassifizierung kein Problem


Zuallererst gilt es die internen, organisatorischen Voraussetzungen zu schaffen. Auch wenn Klassifizierung zunächst trocken und arbeitsintensiv klingen mag, zahlt sich diese Vorarbeit aus.
Auf Basis klassifizierter Daten fällt es zum Beispiel der IT-Abteilung leichter, Compliance-Vorgaben umzusetzen und kritische Informationen bestmöglich zu schützen – ohnehin ein aufwendiges Unterfangen, da sich die Pflichten abhängig von der Region stark unterscheiden können. Wer Ordnung in seine Daten bringt, Datensätze effizient nutzt, analysiert und die Datenintegrität gewährleistet, besteht Audits mit deutlich geringerem Aufwand.


Hauptsache anfangen!


Mit der notwendigen Ordnung und Klassifizierung schaffen Unternehmen einen idealen Ausgangspunkt, um künftige Aktivitäten zu automatisieren, zu kontrollieren und Prozesse effizient zu steuern. Wer dabei auf eine toolgestützte Klassifizierung setzt – beispielsweise mithilfe von KI (künstlicher Intelligenz), ist in der Lage, kann Informationen unterschiedlichster Art strukturieren. Ganz egal, ob sie sensibel, archivierungsbedürftig oder schützenswert sind oder ob die Daten wenig bis gar nicht gebraucht und gelöscht werden können.


Datenklassifizierung: Eine Frage der richtigen Kriterien


Gesetzliche und regulatorische Anforderungen spielen bei der Datenklassifizierung ohne Frage eine übergeordnete Rolle. Genauso wichtig sind die Kritikalität und Risikobetrachtungen für das Unternehmen, das Produkt, für das die Daten generiert werden, und den Kunden. Unabhängig von der Branche, stellen wir unseren Kunden diese Fragen, um den Einstieg in die Datenklassifizierung zu erleichtern:


  • Welcher Personenkreis darf auf welche Daten schreibend und/oder lesend zugreifen?
  • Welche Personen sind verantwortlich für die Daten? Existiert in Ihrer Organisation bereits die Rolle eines Data Owner?
  • Für welche Daten müssen Änderungen nachvollziehbar sein?
  • Welche Daten müssen unbedingt gesichert werden?
  • Wie lange müssen bestimmte Daten verfügbar sein/gesichert werden? Müssen Daten beispielsweise über einen Zeitraum von 30 Jahren archiviert werden?
  • Welche Daten müssen nach einer bestimmten Zeit gelöscht werden, beispielsweise nach max. 60 Tagen?
  • Welche Datensätze dürfen nur in einer ausgewählten geografischen Region (z. B. Europa, Deutschland) gespeichert werden?


Genauso sollten Unternehmen klären, welche Datenkategorien das eigene IT-System ganz konkret verwaltet. Sind es Personendaten, Daten wirtschaftlichen Kennzahlen oder Forschungsdaten?


Auf Basis dieser Fragen und den damit gewonnenen Erkenntnissen lassen sich zum Beispiel Regeln definieren, die mittels Robotic Process Automation (RPA) eine automatisierte Datenmigration in die Zielstruktur ermöglichen. Denkbar wäre auch, eine Machine Learning-Lösung zu implementieren, die aus vorgegebenen Merkmalen und Mustern wiederum selbst Regeln ableitet.


Daten aktiv managen


Wer die eigenen Prozesse und Regelungen genau unter die Lupe nimmt, erhält erste wichtige Anhaltspunkte für das Datenmanagement. Und es stellen sich weitere relevante Fragen. Zum Beispiel nach der richtigen Datensicherungs- und Backup-Strategie oder nach dem benötigten Berechtigungskonzept (Authentifizierung und Autorisierung). Genauso kommt das Thema der passenden Systemarchitektur auf den Tisch: Cloud- oder On-Premise? Außerdem beeinflusst die Datenklassifizierung, wie ein geeignetes Business Continuity Management aussieht und wie Daten reproduziert, archiviert oder gelöscht werden.


Ordnung halten zahlt sich aus


Damit Daten stets geprüft, überarbeitet und klassifiziert werden können, braucht es ein strukturiertes Vorgehen. So können Unternehmen sicherstellen, dass Sicherheitsmaßnahmen dem Stand der Technik und dem aktuellen Risikoumfeld entsprechen, aber auch Änderungen der Wertigkeit und der Sensitivität von Daten berücksichtigt werden.


Unseren Kunden empfehlen wir, klassifizierten Datenbestände in regelmäßigen Abständen zu überprüfen, um Altbestände ohne Nutzen nicht kostspielig verwalten und speichern zu müssen. Darüber hinaus sollten auch Klassifizierungsverfahren und -richtlinien stets kontrolliert werden.


Fazit: Unternehmen, die das Gold des 21. Jahrhunderts in Form von riesigen Datenbeständen schürfen möchten, müssen zunächst einige Anstrengungen unternehmen. Aber es lohnt sich durchaus, Prozesse effizient zu steuern und ein regulatorisch konformes Datenmanagement zu entwickeln.


Die Autorinnen Rebecca Faisst, Management Consultant, und Dr. Yulia Zhukova, Consultant, sind als Expertinnen für Datenklassifizierung bei der Syncwork AG tätig.