Sensible Daten sind Informationen, die große Probleme für Einzelpersonen oder Unternehmen verursachen können, wenn sie in die falschen Hände gelangen. Daher müssen sensible Daten unbedingt identifiziert und angemessen geschützt werden, um Datendiebstahl, Diskriminierung, Datenschutzverletzungen und auch finanzielle und rechtliche Risiken für die Unternehmen zu vermeiden, die diese Informationen verarbeiten.
Was sind sensible Daten?
Sensible Daten sind Informationen, die für eine Person, ein Unternehmen oder eine Organisation von großer Bedeutung sind und vor unbefugtem Zugriff oder Missbrauch geschützt werden müssen.
Dazu gehören unter anderem personenbezogene, finanzielle, medizinische und rechtliche Daten sowie andere Informationen, die als vertraulich oder privat eingestuft werden.
Auch Unternehmensinformationen wie Produktpläne, Marketingstrategien, Kundenlisten oder Geschäftsgeheimnisse fallen in diese Kategorie.
Der Schutz sensibler Daten wird aufgrund der zunehmenden Digitalisierung und Cyber-Sicherheitsbedrohungen daher für Unternehmen immer wichtiger.
Beispiele sensibler Daten
Hier sind einige Beispiele sensibler Daten in Unternehmen:
● Finanzdaten: Bankkonten, Kreditkartendaten und Informationen in Zusammenhang mit Abrechnungen und Steuern
● Personenbezogene Daten von Mitarbeitern: zum Beispiel Adressen, Sozialversicherungsnummern, Telefonnummern, Gesundheitsdaten und Informationen zum Beschäftigungsverhältnis
● Kundendaten: Namen, Adressen, Telefonnummern und Zahlungsinformationen
● Geistiges Eigentum: Patente, Marken, Urheberrecht und Geschäftsgeheimnisse
● Verträge und Geschäftspartner: Vertraulichkeitsvereinbarungen, Geschäftsbedingungen und Kontaktinformationen
Klassifizierung sensibler Daten
Die Klassifizierung sensibler Daten beschreibt den Prozess, bei dem Daten entsprechend ihrer Vertraulichkeit eingestuft werden. Auf diese Weise wird sichergestellt, dass sie mit angemessenen Sicherheitsrichtlinien und Zugriffskontrollen geschützt werden.
Es gibt zahlreiche unterschiedliche Methoden für die Klassifizierung sensibler Daten, aber in Unternehmen werden zurzeit die folgenden drei Stufen verwendet:
● Gering: Wird für öffentliche oder nicht sensible Daten genutzt, die ohne Einschränkungen ausgetauscht werden dürfen. Dazu gehören beispielsweise Unternehmensbroschüren, Werbung, Newsletter oder nicht vertrauliche Finanzberichte.
● Mittel: Wird für vertrauliche Daten genutzt, die vor der nicht autorisierten Offenlegung geschützt werden müssen. Dazu gehören beispielsweise personenbezogene, finanzielle oder rechtliche Daten, Produktpläne und Kundendaten.
● Hoch: Wird für äußerst sensible Daten genutzt, die maximalen Schutz vor der nicht autorisierten Offenlegung benötigen. Dazu gehören beispielsweise Dokumente zum geistigen Eigentum, Geschäftsgeheimnisse, Informationen zur äußeren Sicherheit oder Gesundheitsdaten.
DSGVO und sensible Daten
Laut der Datenschutz-Grundverordnung (DSGVO) zählen zu sensiblen personenbezogenen Daten Informationen, aus denen rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, genetische Daten, biometrische Daten, die ausschließlich zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden, Gesundheitsdaten und Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.
DSGVO und der Umgang mit sensiblen personenbezogenen Daten
Gemäß der DSGVO müssen Unternehmen vor der Verarbeitung sensibler personenbezogener Daten die ausdrückliche Einwilligung der Datensubjekte einholen. Die Einwilligung muss freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet werden.
Unternehmen müssen zudem nachweisen können, dass sie angemessene Sicherheitsmaßnahmen für den Schutz der Daten implementiert haben.
Es gibt auch Ausnahmen, bei denen die Verarbeitung sensibler personenbezogener Daten ohne die ausdrückliche Einwilligung der Datensubjekte gestattet ist.
Unternehmen müssen die Datenerhebung allerdings rechtfertigen und nachweisen können, dass sie bei der Verarbeitung die Anforderungen der DSGVO erfüllen und angemessene Sicherheitsmaßnahmen für den Schutz der Daten implementiert haben.
Personenbezogene Daten und sensible personenbezogene Daten
Sensible personenbezogene Daten sind eine Unterkategorie der personenbezogenen Daten.
Der Unterschied besteht in der Art der Informationen, die sie enthalten. Personenbezogene Daten sind Informationen, die zur Identifizierung einer Person beitragen. Sensible personenbezogene Daten geben intime oder private Informationen zur jeweiligen Person preis.
In der DSGVO wird die Kategorie der sensiblen personenbezogenen Daten explizit genannt und es wird ein höheres Schutzniveau als für andere personenbezogene Daten vorgeschrieben.
Unternehmen müssen die ausdrückliche Einwilligung der Datensubjekte einholen, bevor sie solche Daten erfassen, verarbeiten oder speichern, und moderne Sicherheitsmaßnahmen implementieren, um sie vor Verlust, unbefugtem Zugriff und Missbrauch zu schützen.
Schutz sensibler Daten
Jedes Unternehmen, das sensible Daten verarbeitet, muss gezielt Maßnahmen zum Schutz dieser Daten ergreifen. Dabei geht es nicht nur um die Einhaltung der gesetzlichen Vorschriften, sondern auch um das Vertrauensverhältnis zu Kunden und Geschäftspartnern. Hier sind einige Beispiele für Maßnahmen, mit denen Unternehmen sensible Daten schützen können:
● Sensible Daten identifizieren: Umfangreiche IT-Transformationen sorgen grundsätzlich für Störungen – und die Cloud-Migration ist da keine Ausnahme. Nach der Einführung von Cloud-Technologien müssen Unternehmen die zunehmende Datenfragmentierung bewältigen, durch die es noch schwieriger wird, festzustellen, wo sensible Daten gespeichert werden. Um die gesetzlichen Vorschriften zu erfüllen und Bußgelder und Ransomware-Forderungen zu vermeiden, müssen die Speicherorte sensibler Daten im Detail dokumentiert werden.
● Mitarbeiterschulungen priorisieren: Mitarbeiter sollten lernen, Sicherheitsbedrohungen wie Phishing-Angriffe, Malware und Sicherheitsverletzungen zu erkennen, und die Sicherheitsrichtlinien und Prozesse kennen, mit denen sensible Daten geschützt werden.
● Benutzerzugriff verwalten: Unternehmen müssen Richtlinien und Prozesse für das Zugriffsmanagement implementieren und Technologien wie die Multi-Faktor-Authentifizierung (MFA), komplexe Passwörter und die Überwachung von Benutzeraktivitäten einführen, um unbefugte Zugriffe zu verhindern.
● Daten verschlüsseln: Die Datenverschlüsselung muss in der gesamten IT-Umgebung strategisch durchgesetzt werden, um die Daten sowohl im Ruhezustand als auch bei der Übertragung zu schützen. Unternehmen müssen entscheiden, wie alle in ihrem Besitz befindlichen Daten – ob lokal oder in der Cloud – verschlüsselt werden können, um die Vertraulichkeit im Falle einer Sicherheitsverletzung zu wahren.
● Datenübertragung kontrollieren: Datenübertragungen müssen kontrolliert, überwacht und verschlüsselt werden, um Datenpannen zu vermeiden.
● Anbieter und Partner prüfen: Unternehmen müssen sicherstellen, dass ihre Anbieter und Partner, die Zugriff auf sensible Daten haben, die notwendigen Sicherheitsstandards erfüllen.
Wie Rubrik helfen kann
Rubrik hat sich auf die Verwaltung und den Schutz sensibler Daten spezialisiert.
Unsere Lösungen helfen Unternehmen, ihre sensiblen Daten zu schützen, und unterstützen sie in den folgenden Bereichen:
● Wiederherstellung: Mit den Lösungen für schnelle Backups und Wiederherstellungen von Rubrik lassen sich die Ausfallzeiten nach einer Katastrophe oder einem Sicherheitsvorfall reduzieren.
● Verwaltung sensibler Daten: Rubrik unterstützt Unternehmen durch Forschungsergebnisse, Analysen und Datenklassifizierungstools bei der Verwaltung sensibler Daten.
● Compliance: Rubrik stellt Unternehmen Funktionen für die Datenverschlüsselung, Zugriffskontrolle und Protokollierung bereit, damit sie die Vorgaben von Datenschutzverordnungen wie der DSGVO und dem CCPA erfüllen können.
● Datensicherheit: Mit den modernen Sicherheitsfunktionen von Rubrik, wie der Bedrohungserkennung, Überwachung von Logdateien und Zwei-Faktor-Authentifizierung, sind sensible Daten vor internen und externen Sicherheitsbedrohungen geschützt.
Rubrik Security Cloud kann sensible Daten erkennen, klassifizieren und melden, ohne dass dabei der Produktionsbetrieb beeinträchtigt wird. Sie ist in folgenden Bereichen nützlich:
● Gefährdung sensibler Daten verringern
● Risiko der Ausschleusung sensibler Daten durch Cyber-Kriminelle reduzieren