3 wesentliche Anforderungen an die fortgeschrittene Klassifizierung personenbezogener Daten

Die Technologie zur Datenklassifizierung hat sich seit über einem Jahrzehnt kaum verändert. Trotz einiger Automatisierungsmaßnahmen blieb sie weitgehend prozessorientiert und sorgte bei Sicherheitsexperten, Datenexperten, IT-Fachleuten und anderen Mitarbeitern in Unternehmen für Frustration. Stiehlt man beispielsweise auf archivierte Analystenberichte oder ältere Artikel zu diesem Thema aus der Mitte der 2010er-Jahre, so stellt man fest, dass die damals von Experten beklagten Herausforderungen denen von heute ähneln.
Doch im Bereich der Datensicherheit vollzieht sich ein grundlegender Wandel, der durch Cloud-native, agentenlose Technologien vorangetrieben wird. Darauf kommen wir gleich zurück, aber lassen Sie uns zunächst Folgendes behandeln: Datenklassifizierung Das haben viele Fachleute erlebt und diskutieren, warum es sich schnell zu einer überholten Vorgehensweise entwickelt.
Datenklassifizierung von gestern
Welche Herausforderungen bestehen bei der gestrigen Datenklassifizierung?
Schwer umzusetzen
Die gestrige Datenklassifizierung ist schwer umzusetzen. Teams müssen zunächst ihre Daten inventarisieren, den zu klassifizierenden Datenspeicher auswählen und dann das Entwicklungsteam einbeziehen, um die Verbindungen zu diesem Datenspeicher manuell zu konfigurieren.
Da das Tool auf bestimmte Datenspeicher verweisen muss, können nur bekannte Datenspeicher klassifiziert werden. Und weil der Prozess so zeitaufwändig ist, beschränken Teams den Umfang ihrer Klassifizierungsinitiative auf einen kleinen Teil der Umgebung.
Liefert nur begrenzte Informationen
Die gestrige Datenklassifizierung liefert zwei Hauptergebnisse: Sensitivität und semantische Labels.
Sensibilität oder Vertraulichkeit gibt das Risiko für Daten an, falls diese kompromittiert werden. Gängige Sensibilitätsbezeichnungen sind beispielsweise „sehr sensibel“, „sensibel“, „nur intern“ und „öffentlich“. Sowohl die Benennung als auch die Anzahl der Sensibilitätsbezeichnungen variieren stark zwischen verschiedenen Organisationen. Fehlt es an einer angemessenen Steuerung und Abstimmung bezüglich der Sensibilitätsbezeichnungen, kann diese Anzahl schnell ansteigen. Dies führt zu einer verwirrenden und uneinheitlichen Datenkennzeichnung.
Semantische Datenklassen, kurz „Datenklassen“, beschreiben kurz den Datentyp. Viele Tools, darunter Datenkataloge, DLP-Systeme und öffentliche Clouds, bieten grundlegende Funktionen zur Datenklassifizierung. Oftmals liefern diese Tools lediglich Bezeichnungen, die den Spaltennamen einer Tabelle beschreiben oder widerspiegeln. Es fehlt jeglicher Kontext zur Beschreibung der Daten selbst.
Erfordert ständiges menschliches Eingreifen
Selbst mit nur zwei Hauptausgaben – Sensitivität und semantischen Labels – sind die Klassifizierungsergebnisse unvollständig und ungenau. Es kommt häufig vor, dass ein Klassifizierungstool nur einen Teil der Daten labelt, andere jedoch übersieht. Die vordefinierten Muster, die die Datenklassifizierung von gestern nutzte, können mit der wachsenden Vielfalt und den unterschiedlichen Formaten der Daten nicht mehr mithalten. DatenspeicherDie
Die mangelnde Vollständigkeit und Genauigkeit der Klassifizierungsergebnisse erfordert eine manuelle Überprüfung und Validierung. Dadurch kann das Klassifizierungsprojekt nicht mit dem Datenwachstum Schritt halten.
Was ist eine erweiterte Klassifizierung personenbezogener Daten?
Die Datenklassifizierung ist der Prozess, Daten in relevante Kategorien einzuordnen, um deren Abruf, Sortierung, Nutzung, Speicherung und Schutz zu vereinfachen. Darüber hinaus bietet Advanced PII Classification eine cloudnative und agentenlose Lösung, die Daten nicht nur klassifiziert, sondern auch umfassende Kontextinformationen mit hoher Genauigkeit und Geschwindigkeit erfasst.
Die drei wesentlichen Anforderungen an die erweiterte PII-Klassifizierung sind:
- Geschwindigkeit und Genauigkeit
- Tiefer Kontext
- Dynamische Identifizierung
Geschwindigkeit und Genauigkeit
Da sich Daten ständig verändern und bewegen, muss die Klassifizierung einfach und schnell erfolgen.
- Innerhalb weniger Minuten verbindet es sich mit Ihren Cloud-Umgebungen.
- Innerhalb weniger Stunden erhalten Sie eine Bestandsaufnahme des Datenspeichers, einschließlich der solche, von denen Sie nichts wussten
- Innerhalb weniger Tage erhalten Sie Klassifizierungen sowie detaillierte Kontextinformationen zu Ihren sensiblen Daten.
Der Prozess benötigt weder Agenten noch zusätzlichen Aufwand und führt zu keinerlei Leistungseinbußen. Er ist hochgradig automatisiert und nutzt unüberwachtes maschinelles Lernen, um Petabytes an Daten in unglaublicher Geschwindigkeit zu analysieren.
Diese Geschwindigkeit ist jedoch nur dann von Nutzen, wenn die Datenklassifizierung hochpräzise ist. Die Klassifizierung bildet die Grundlage für die Verhinderung von Datenverlust (Data Loss Prevention, DLP).DLPund Richtlinien zur Datenzugriffsverwaltung (DAG). Die Datenklasse gibt an, welche Kontrollen für das jeweilige Risikoniveau der Daten am besten geeignet sind. Sie legt fest, welche Schutzmaßnahmen für die Daten gelten, wer Zugriff auf die Daten haben sollte und wie dieser Zugriff erfolgen soll. verschleiertEine hochpräzise Klassifizierung sorgt dafür, dass DLP- und DAG-Richtlinien sensible Daten effektiver schützen.
DLP-Richtlinien funktionieren, indem sie die Sensibilität oder Klassifizierung von Daten erkennen und vordefinierte Schutzmaßnahmen ergreifen. Beispielsweise können Sie eine DLP-Richtlinie festlegen, die das Kopieren oder Verschieben von als risikoreich gekennzeichneten Daten in eine nicht genehmigte Umgebung verhindert. Ist die Sensibilitätsangabe falsch – beispielsweise wenn risikoreiche Daten als öffentlich gekennzeichnet sind –, greift die DLP-Richtlinie beim Kopieren oder Verschieben der Daten nicht ein.
Ähnlich wie DLP-Richtlinien verwenden DAG-Richtlinien Vertraulichkeits- oder Klassifizierungsbezeichnungen als Aktionsbedingungen. DAG-Richtlinien legen fest, wer Zugriff auf die Daten haben soll und wie diese verschleiert werden sollen – ob im Klartext oder verschlüsselt. Beispielsweise können Sie eine DAG-Richtlinie festlegen, um hochsensible Daten zu verschlüsseln und den Zugriff auf die Abteilung zu beschränken, der die Daten gehören. Wenn eine Vertraulichkeitsbezeichnung falsch ist, wird die Verschleierungsmethode angepasst. Zugriffskontrollen Die Daten werden nicht korrekt angewendet.
Indem Cyera sicherstellt, dass die Klassifizierung einfach zu implementieren ist, schnell ausgeführt wird und zu hochpräzisen Datenklassen führt, hilft es Unternehmen dabei, mit dem Tempo des Wandels in der Cloud Schritt zu halten.
Tiefer Kontext
Der Kontext kann in vier Kategorien unterteilt werden: Daten, Oberfläche, Kontrollen und Risiko.
- Datenkontext – beschreibt die Merkmale, die die Daten definieren.
- Oberflächenkontext – gibt uns Auskunft über die Umgebung, in der die Daten gespeichert sind.
- Kontrollkontext – gibt Auskunft darüber, welche Schutzmaßnahmen zur Gewährleistung von Sicherheit und Integrität vorhanden sind.
- Risikokontext – beschreibt die Rahmenbedingungen, die die Daten regulieren.
Lassen Sie uns anhand aktueller Beispiele von Datenschutzverletzungen untersuchen, wie der detaillierte Datenkontext, unterteilt in diese Kategorien, unsere Sicherheitslage beeinflusst.
Beispiel 1: News Corp 2022
Hacker Journalisten von News Corp ins Visier genommen Journalisten, die über brisante geopolitische Themen berichteten, wurden von Hackern angegriffen, die sich zwei Jahre lang in das Netzwerk von News Corp eingeschlichen hatten und dadurch ausreichend Zeit hatten, Informationen zu sammeln und Sicherheitslücken aufzudecken. Dutzende Mitarbeiter wurden Opfer von Datendiebstahl.
Datenkontext:
- Rolle der betroffenen Person: Hacker gezielt MitarbeiterDie
- Residenz: Die Journalisten in bestimmte RegionenBeispielsweise in den USA oder Taiwan wurden wahrscheinlich Menschen ins Visier genommen.
- Identifizierbarkeit: Manche Datenkategorien wie Vorname, Geschlecht oder Alter gelten zwar als sensibel, lassen aber isoliert betrachtet keine Rückschlüsse auf eine bestimmte Person zu. Die Identifizierbarkeit von Daten gibt Aufschluss darüber, ob die kompromittierten Daten einer bestimmten Person zugeordnet werden können. Und wenn ja, sind sie für Hacker deutlich wertvoller.
- Einzigartigkeit: Der Kontext offenbart unternehmensspezifische Datenklassen. Beispielsweise ist die Datenklasse „Themenbereiche“ von Journalisten wahrscheinlich einzigartig für News Corp und Massenmedienunternehmen.
Beispiel 2: Bonobos, eine Walmart-Tochtergesellschaft 2021
Hacker Zugriff auf eine Sicherungsdatenbank erlangt in einer externen Cloud-Umgebung, Diebstahl einer 70 GB großen SQL-Datei, die Kundenadressen, Teile von Kreditkartennummern und Passwortverläufe enthielt.
Kontrollkontext:
- Schutzmethode: Glücklicherweise wurden nur die letzten vier Ziffern der Kreditkartennummern gespeichert und die Passwörter gehasht. Der Kontext gibt Aufschluss darüber, ob die Daten geschwärzt, verschlüsselt, auf andere Weise transformiert oder im Klartext offengelegt wurden.
- Backups: Hacker haben sich Zugang zu einem Backup verschafft. Der Kontext gibt Aufschluss darüber, ob Backups existieren und ob diese sensible Daten enthalten.
Risikokontext:
- Regulatorische Risiken: PCI-Konformität legt Anforderungen an die sichere Speicherung von Kreditkarteninformationen fest.
Beispiel 3: Capital One 2019
Ein Hacker Auf falsch konfigurierte AWS-Konten gescanntSie verschaffte sich Zugang und lud die Daten herunter. Sie stahl über 140.000 Sozialversicherungsnummern und verursachte einen Schaden von 250 Millionen Dollar.
Kontrollkontext:
- Zugang: Der Hacker hatte es auf falsch konfigurierte Accounts abgesehen, die wahrscheinlich über zu viele Zugriffsrechte verfügten und somit ein leichtes Ziel darstellten.
Datenkontext:
- Giftige Kombinationen: Sozialversicherungsnummern mit verknüpften Bankkontodaten wurden gestohlen. Die Kombination dieser beiden Datenarten erhöht die Wahrscheinlichkeit, dass die Daten für betrügerische Aktivitäten missbraucht werden.
Oberflächenkontext:
- Cloud-Bereitstellung: Der Hacker durchsuchte die AWS-Datenspeicher.
- Umgebungstyp Und Datenvolumen: Der Hacker führte wahrscheinlich eine Aufklärung durch, um die wertvollsten Ziele zu ermitteln, bei denen es sich vermutlich um Produktionsumgebungen mit großen Mengen an sensiblen Daten handelte.
Dynamische Identifizierung
Wenn Daten dynamisch sind, muss auch unser Verständnis von Daten und den damit verbundenen Risiken dynamisch sein. Die gestrige Datenklassifizierung liefert eine statische Beschreibung von Daten: Wurden diese Daten als nicht sensibel eingestuft, bleiben sie es auch, unabhängig von Änderungen an den Daten und ihrem Umfeld.
Die dynamische Identifizierung ermöglicht ein extrem präzises Verständnis von Daten, da sie Änderungen an Daten erfasst, indem sie die Beziehungen zwischen Datenklassen innerhalb eines Datensatzes analysiert. Beispielsweise enthält eine Datenklasse Folgendes:
- „Vorname“ verweist nicht auf eine Person.
- Die Kombination aus „Vorname“, „Nachname“ und „Alter“ verknüpft eine Person.
- Die Kombination aus „Vorname“, „Nachname“, „Alter“ und „Sozialversicherungsnummer“ macht die Daten vertraulich oder privat.
Mit dieser Fähigkeit, dynamisch zu erkennen, wann Nähe private, sensible Informationen erzeugt, können wir Prioritäten für die Verteidigung und die Gewährleistung der Einhaltung von Vorschriften festlegen, indem wir über die sich ändernden Risikostufen von Daten informiert werden und toxische Datenkombinationen identifizieren, die das höchste Missbrauchspotenzial darstellen.
Die gestrige Datenklassifizierung erfasst die Nuancen von Daten nicht: Handelt es sich um personenbezogene Daten von Kunden oder von Mitarbeitern? Lösungen von DLP-Anbietern, die auf regulären Ausdrücken basieren, können Daten leicht falsch darstellen und einzelne Datenklassen wie E-Mail-Adresse oder Name fälschlicherweise als personenbezogene Daten kennzeichnen, da ihnen der Kontext fehlt, um zu entscheiden, was tatsächlich personenbezogene Daten sind und was nicht. Beispielsweise sind private E-Mail-Adressen personenbezogene Daten, geschäftliche E-Mail-Adressen jedoch nicht.
Cyera ist die einzige Datensicherheitsplattform, die Ihnen eine dynamische Identifizierung ermöglicht und so eine fortschrittliche Erkennung personenbezogener Daten (PII) gewährleistet. Sie erhalten dadurch einen umfassenden Überblick über Ihre personenbezogenen Daten in Ihrer gesamten Datenlandschaft sowie eine präzisere Transparenz, ein optimiertes Risikomanagement und aussagekräftigere Compliance-Berichte. Dies versetzt Sie in die Lage, Ihre Datensicherheit zu verbessern und eine effektive Reaktion auf Sicherheitsvorfälle zu implementieren.
Das Gestern hinter sich lassen
Es gibt viele Behauptungen darüber, welche Technologieanbieter tatsächlich eine fortschrittliche Klassifizierung personenbezogener Daten (Advanced PII Classification) liefern können.
Hier sind die wichtigsten Fragen, die Sie sich bei der Suche nach einer erweiterten PII-Klassifizierung stellen sollten:
- Welche konkreten Beispiele für Kontexte kann die Technologie aufdecken?
- Wie schnell können Daten klassifiziert werden?
- Wie erkennt und klassifiziert man Daten, von denen ich noch nichts weiß?
- Wie genau sind die Klassifizierungsergebnisse?
- Und können Sie es mir in weniger als 5 Minuten zeigen?
Oder fragen Sie einfach: „Was würden Sie sagen, tun Sie hier (um den Daten einen Kontext zu geben)?“

Weiterentwicklung der PII-Klassifizierung
Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.
Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.
Erfahren Sie, welche Datenklassen und Kontextinformationen Cyera über Ihre Umgebung aufdecken kann, indem Sie Demo vereinbaren Heute.

.jpg)

