Datenklassifizierung - Entwicklung und Anwendung eines Klassifizierungsmodells für den Bankensektor

Master Studiengang Information Security

Dipl.-Ing. Daniel Frühwirth, BSc
19.09.2014

Ausgangslage

Firmendaten haben besonderen Wert, speziell wenn sie Informationen über KundInnen und MitarbeiterInnen, aber auch geistiges Eigentum, beabsichtigte Unternehmensübernahmen und Sicherheitskonzepte kritischer IT-Systeme beinhalten. Der Umgang mit diesen Informationen und deren Verbreitung ist mit unterschiedlich hohem Risiko verbunden und bedarf daher angemessenen Schutz. Wie in den Medien häufig zu lesen war, kam es in den letzten Jahren vermehrt zu unerwünschten Abflüssen von Daten. Nicht selten waren die eigenen Angestellten un/bewusst an den Vorfällen beteiligt.

Ziel

Um dieser Gefahr entgegenzuwirken, ist es wichtig, ein effektives Datenklassifizierungs- und Kontrollsystem einzuführen, aber auch alle MitarbeiterInnen für den richtigen Umgang mit heiklen Daten zu sensibilisieren. Nur wenn beide Faktoren einwandfrei arbeiten, kann das Risiko des Datenabflusses auf ein vertretbares Maß minimiert und der angemessene Schutz garantiert werden. Ziel dieser Arbeit ist es, alle erforderlichen Punkte zu beschreiben und Problemlösungen aufzuzeigen, die für eine erfolgreiche Implementierung und einen reibungslosen Betrieb eines Datenklassifizierungssystems notwendig sind.

Ergebnis

Diese Arbeit soll als Leitfaden für die Planung, Einführung und den Betrieb eines Datenklassifizierungssystems sowie für die Kontrolle der klassifizierten Informationen mithilfe eines Data Leak Prevention Systems dienen. Die dargestellten Konzepte wurden für den Bankensektor definiert. Sie veranschaulichen, dass sowohl die firmeninternen, branchenspezifischen, aber auch nationalen und internationalen Richtlinien bei der Planung eines Klassifizierungsmodells und den damit verbundenen Richtlinien beachtet und befolgt werden müssen. Anhand dieser Überlegungen wurde eine Bedarfsübersicht für Organisationen im Bankwesen durchgeführt und ein entsprechendes Modell samt Richtlinien definiert.

Zusätzlich werden auch die technischen Verfahren beschrieben, die für das automatisierte Auffinden und Klassifizieren von vertraulichen Informationen eingesetzt werden.
Weiters wurde versucht, herauszuarbeiten, dass neben einer effizienten technischen Realisierung, ein angemessenes Sicherheitsbewusstsein der Angestellten mindestens genauso wichtig ist. Mithilfe eines Fragebogens konnte die Notwendigkeit regelmäßiger Mitarbeiterschulungen bestätigt werden. Darüber hinaus wurde eine Applikation geschrieben, die den User bzw. die Userin bei der Wahl der richtigen Vertraulichkeitsklasse unterstützt und zugleich auch die Kennzeichnung einer Information ermöglicht.

FH-Betreuer: FH-Prof. Mag. Dr. Simon Tjoa