Title (deu): Datenklassifizierung

Author: Frühwirth, D. (Daniel)

Description (deu): St. Pölten, FH-Stg. Information Security, Master Thesis, 2014

Description (deu): Daten haben besonderen Wert für eine Organisation, wenn sie beispielsweise Informationen über Kund/inn/en und Mitarbeiter/innen, aber auch geistiges (Firmen-) Eigentum, beabsichtigte Unternehmensankäufe-/Übernahmen und Sicherheitskonzepte kritischer IT-Systeme beinhalten. Der Umgang mit diesen Informationen und deren Verbreitung ist mit unterschiedlich hohem Risiko verbunden und bedarf daher angemessenen Schutz.
Laut einer Studie von InfoWatch wurden 49% aller Datenabflüsse, der im Jahr 2013 bekannten Fälle von Mitarbeiter/innen verursacht. 45,7% davon ereigneten sich unwissentlich und ohne böse Absicht. [1, p. 7]
Um dieser Gefahr entgegen zu wirken, ist es einerseits wichtig, ein effektives Datenklassifizierungs- und Kontrollsystem einzuführen, aber auch alle Mitarbeiter/innen für den richtigen Umgang mit heiklen Daten zu sensibilisieren. Nur wenn beide Faktoren, Mensch und Klassifizierungs-/Kontrollsysteme einwandfrei miteinander arbeiten, dann kann das Risiko des Datenabflusses auf ein vertretbares Maß minimiert und der angemessene Schutz garantiert werden.
Diese Arbeit soll als Leitfaden für die Planung, Einführung und den Betrieb eines Datenklassifizierungssystems, sowie für die Kontrolle der klassifizierten Informationen dienen. Es wird verdeutlicht, dass es keine allgemein gültige Anleitung für die einzelnen Prozesse, von der Planung bis hin zur Aufrechterhaltung einer effektiven Datenklassifizierung gibt. Die in dieser Arbeit beschriebenen Sicherheits-Standards und –Normen (ISO/IEC 27001 und ISO/IEC 27002) sollten jedoch als Grundlage herangezogen werden.
Die dargestellten Konzepte wurden für das Bankwesen definiert. Sie veranschaulichen, dass sowohl die firmeninternen, branchenspezifischen, aber auch nationalen und internationalen Vorgaben bei der Planung eines Vertraulichkeitsklassen-Modells und den damit verbundenen Richtlinien beachtet und befolgt werden müssen. Im Bankwesen ist es daher notwendig, neben dem allgemein gültigen Regelwerk, wie das Datenschutzgesetz, auch das Bankwesen-Gesetz, den Payment Card Industry Data Security Standard und die Emittenten-Compliance-Verordnung miteinfließen zu lassen. Anhand dieser Überlegungen wurde eine Bedarfsübersicht für Organisationen im Bankwesen durchgeführt und ein entsprechendes Klassifizierungsmodell samt Richtlinien definiert.
Zusätzlich werden in dieser Arbeit auch die technischen Verfahren beschrieben, die für das automatisierte Auffinden und Klassifizieren von vertraulichen Informationen eingesetzt werden.
Weiters wurde versucht, herauszuarbeiten, dass neben einer effizienten technischen Realisierung, die Sensibilisierung der Angestellten bezüglich Vertraulichkeit der Daten mindesten genauso wichtig ist. Mithilfe eines Fragebogens zum Thema „richtiger Umgang mit heiklen Daten im Bankwesen“ konnte ermittelt werden, dass die Meinungen der Mitarbeiter/innen über den angemessenen Schutz der Daten sich oftmals unterscheiden. Aus diesem Grund ist es unumgänglich, regelmäßig Mitarbeiterschulungen durchzuführen.
Darüber hinaus wurde eine Applikation geschrieben, die den/die User/in bei der Wahl der richtigen Vertraulichkeitsklasse unterstützt und zugleich auch die Kennzeichnung einer Information ermöglicht, indem es die Klasse in den Alternate Data Stream einer Datei schreibt.

Description (eng): Data gains special importance for an organization, if it provides information about customers and employees but also intellectual property, intentioned company acquisitions and security concepts of critical IT-infrastructures. Handling and dissemination of such information is linked with variable levels of risk and therefor requires appropriate protective measures.
According to a study published by InfoWatch, 49% of the known cases of data leakage in 2013 were caused by internals. 45,7% of these incidents occurred without malicious intent and activities. [1, p. 7]
In order to tackle this risk, it’s important on the one hand to introduce a data classification and monitoring system and on the other hand to sensitize employees to risk recognition and avoidance for such data. Only if both factors, end-users and the IT-system are working together perfectly, the risk of data loss can be reduced to an acceptable level and a sufficient level of protection can be guaranteed.
This document is designed to serve as a guide for the planning, implementation and operation of a data classification system and for the monitoring of the classified information. It is exemplified that there is no generally applicable manual for the individual processes, from planning and implementing through maintaining an effective data classification. Anyhow, the information security management system standard “ISO/IEC 27001” and information security standard “ISO/IEC 27002” described in this paper should be used as basic instruction manuals.
The presented concepts are designed for the banking market. They illustrate that the company internal and sector specific as well as the national and international standards have to be regarded and followed when developing a model of the confidentiality classes and the related policies. In the banking industry, it is therefore necessary to integrate standards like the Banking Act (Bankwesengesetz), the Payment Card Industry Data Security Standard and the Issuer Compliance Directive in addition to the standard regulations like the Privacy Act. Based on these considerations, a requirement overview for banking organizations was made and an appropriate classification model together with rules have been defined.
This document also gives a description of the technical procedures, which are used for the automated content inspection and classification of sensitive data.
Furthermore it has been attempted to highlight that generating awareness for risk recognition and avoidance is as important as the efficient technical integration of a data classification and monitoring system. By means of a questionnaire entitled “proper handling of sensitive data in banking industry” it was possible to measure, that employees of the same organization often have a different risk awareness towards sensitive information. Out of these reason, carrying out regular employee training courses are very important. Moreover, an application has been written that supports the user by choosing the right classification level and also allows to tag the information by writing the label into the alternate data stream of a file.

Object languages: German

Date: 2014

Rights: © All rights reserved

Classification: Klassifikation; Bank

Permanent Identifier