Firmendaten zu klassifizieren ist wichtig für den täglichen Betrieb und essenziell für die Migration in die Cloud
13.07.2021
Studienergebnisse zeigen: Datenklassifizierung ist auf dem Radar vieler Unternehmen
Eine kürzlich vorgestellte IDG Studie präsentiert die Antworten aus 383 qualifizierten Interviews mit IT-Entscheidern aus dem C-Level sowie IT-Spezialisten von Unternehmen aus der DACH-Region. Der 60-seitige Ergebnisband mit dem Namen „Cloud Security 2021“ beschäftigt sich mit dem großen Thema der Datensicherheit in der Cloud und beleuchtet viele zentrale Aspekte, wie beispielsweise Verschlüsselung, Datendiebstahl oder das geplante Security-Budget der befragten Firmen. Auch das bisweilen stiefmütterlich behandelte Thema Datenklassifizierung wird unter die Lupe genommen. Die Ergebnisse zeigen deutlich, dass die Notwendigkeit für eine Klassifizierung bzw. Kategorisierung der firmeneigenen Daten von den meisten Studienteilnehmern erkannt wurde.
Von den befragten Betrieben planen lediglich elf Prozent auf eine Kategorisierung ihrer Daten – etwa nach intern/extern oder Personenbezug – vor einer Cloudmigration zu verzichten. Dieses Ergebnis scheint in einer isolierten Betrachtung zunächst einmal vernünftig und erwartungsgemäß. Schließlich entscheidet die Kategorisierung über die künftigen Zugriffs- und Verarbeitungsrechte der Daten durch den Cloudanbieter. Sie trennt die übermittelten Daten penibel nach ihrer Kritikalität auf und setzt dem Anbieter (im Optimalfall) ein Stoppschild vor Betriebsgeheimnisse oder anderweitig schützenswerte Daten und verhindert eine externe Verarbeitung durch den Cloud-Dienstleister.
Betrachtet man aber die restlichen Antworten auf die Frage „Erfolgt in Ihrem Unternehmen eine Kategorisierung, welche Art von Daten bzw. Dokumenten mit welchen Cloud-Diensten verarbeitet werden darf?“, so ist der Anteil der Entscheider, die darauf mit einem entschlossenen „JA“ antworten, mit 53 Prozent doch erschreckend gering.
Gründe und Unterscheidungskriterien für die Datenkategorisierung
Ob ein Cloud-Dienstleister die Daten verarbeiten oder zu anderen Zwecken auf sie zugreifen darf, ist der vornehmliche Beweggrund für Unternehmen, ihre Daten vor einer Cloud-Migration entsprechend zu kennzeichnen. Doch die Frage nach den Beweggründen hat noch weitere Facetten. Wo stehen die Server? Was soll mit den Daten passieren? Werden sie nur gelagert und verweilen in nächster Zukunft ungenutzt in der Cloud oder werden sie täglich von den eigenen Mitarbeitern editiert? Diesen Fragen hat sich die Studie ebenso gewidmet.
Mit 70 Prozent war der Verwendungszweck das am häufigsten genannte Unterscheidungskriterium. Sollen die Daten ausschließlich für den internen Gebrauch zur Verfügung stehen, oder dürfen sie auch von externen Dienstleistern – wie eben dem Cloudanbieter – sowie von Kunden und Geschäftspartnern verarbeitet werden? Dies ist die zentrale Frage, die von den meisten DACH-Firmen vor einer Klassifikation gestellt wird.
68 Prozent der Befragten Entscheider gaben an, dass sie ihre Daten nach ihrer Kritikalität unterscheiden. Zentrale Frage hierbei: Enthalten die Daten Betriebsgeheimnisse oder sensible, personenbezogene Daten?
Mit 34 deutlich weniger Wichtigkeit wird dem Serverstandort des Cloud-Anbieters beigemessen. Nur knapp über ein Drittel aller Unternehmen empfinden es als entscheidend, ob sich die Server des Cloudanbieters innerhalb oder außerhalb der EU befinden. „Dieser unscheinbar wirkende Aspekt kann nicht hoch genug bewertet werden“ kommentiert Karl Altmann dieses Missverhältnis „denn Cloudanbieter außerhalb der EU sind nicht per se an die DSGVO gebunden.“
Knapp 33 Prozent der befragten IT-Verantwortlichen gaben an, dass es für sie eine Rolle spielt, ob die Cloud öffentlich oder privat ist.
Aufgeschoben ist nicht aufgehoben – oder doch?
Wir können also resümieren: Elf Prozent der DACH-Unternehmen planen keine Kategorisierung vor der Datenübertragung in die Cloud, 53 Prozent tun dies bereits heute. Doch was ist mit dem Rest?
Nun, hier kommt der Vergleich mit den Neujahrsvorsätzen wieder ins Spiel. Denn ganze 29 Prozent – und somit knapp ein Drittel aller Entscheider – haben es sich zumindest vorgenommen, ihre Daten zukünftig einer Klassifizierung zu unterziehen, bevor sie diese in die Cloud übermitteln. Somit verschieben sie die nicht unerhebliche Entscheidung einer klaren Trennung ihrer Daten auf eine ungewisse Zukunft; vielleicht passiert dies noch vor der ins Auge gefassten Cloud-Migration – vielleicht aber auch erst Monate oder gar Jahre später. Dieses zögerliche Entscheidungsverhalten birgt jedoch große Risiken. Denn spätestens, wenn unternehmenskritische Daten aufgrund einer aufgeschobenen Klassifizierung in die falschen Hände gelangen, wird den Verantwortlichen das Gewicht ihrer Versäumnisse bewusst. Daher sei es allen IT-Verantwortlichen angeraten, sich unbedingt vor der Cloud-Migration die nötigen Gedanken über eine Unterteilung ihres Datenbestandes gemäß ihrer Kritikalität zu machen.
Signifikanter Unterschied nach Unternehmensgröße und IT-Budget
Wie gewissenhaft ein Unternehmen mit der Unterscheidung und Markierung seiner Daten umgeht, wird maßgeblich von der Unternehmensgröße sowie dem verfügbaren Budget für die IT-Sicherheit bestimmt. Von Unternehmen mit über 1000 Angestellten achten 61 Prozent auf eine Datenkategorisierung vor der Cloud-Migration. Bei Unternehmen mit unter 500 Angestellten schwindet dieser Anteil auf gerade mal 44 Prozent. Unternehmen mit mehr als 10 Millionen Euro IT-Budget sind mit 64 Prozent ganz vorne mit dabei, wenn es um eine gewissenhafte Datenklassifizierung geht. „Kleine Unternehmen besitzen ebenso schützenswerte Daten wie große. Doch leider wird hier noch zu oft an der falschen Stelle gespart, denn ein Datenleck von personenbezogenen Daten kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen.“ warnt Karl Altmann, CEO des Münchner Business-Cloud-Anbieters uniscon.
Fazit: Derzeit wagen sich immer mehr – auch stark regulierte – Branchen in die Cloud, wie aktuelle Zahlen zeigen. Doch eine Klassifizierung der Cloud-Daten nimmt bisher nur knapp die Hälfte der im Rahmen der IDG-Studie befragten Unternehmen vor. Dabei gibt es viele gute Gründe, seine Daten zu klassifizieren. Wer dies bis nach der Migration seiner Daten in die Cloud aufschiebt, geht damit ein vermeidbares Risiko ein.
Firmendaten zu klassifizieren ist wichtig für den täglichen Betrieb und essenziell für die Migration in die Cloud
13.07.2021
Studienergebnisse zeigen: Datenklassifizierung ist auf dem Radar vieler Unternehmen
Eine kürzlich vorgestellte IDG Studie präsentiert die Antworten aus 383 qualifizierten Interviews mit IT-Entscheidern aus dem C-Level sowie IT-Spezialisten von Unternehmen aus der DACH-Region. Der 60-seitige Ergebnisband mit dem Namen „Cloud Security 2021“ beschäftigt sich mit dem großen Thema der Datensicherheit in der Cloud und beleuchtet viele zentrale Aspekte, wie beispielsweise Verschlüsselung, Datendiebstahl oder das geplante Security-Budget der befragten Firmen. Auch das bisweilen stiefmütterlich behandelte Thema Datenklassifizierung wird unter die Lupe genommen. Die Ergebnisse zeigen deutlich, dass die Notwendigkeit für eine Klassifizierung bzw. Kategorisierung der firmeneigenen Daten von den meisten Studienteilnehmern erkannt wurde.
Von den befragten Betrieben planen lediglich elf Prozent auf eine Kategorisierung ihrer Daten – etwa nach intern/extern oder Personenbezug – vor einer Cloudmigration zu verzichten. Dieses Ergebnis scheint in einer isolierten Betrachtung zunächst einmal vernünftig und erwartungsgemäß. Schließlich entscheidet die Kategorisierung über die künftigen Zugriffs- und Verarbeitungsrechte der Daten durch den Cloudanbieter. Sie trennt die übermittelten Daten penibel nach ihrer Kritikalität auf und setzt dem Anbieter (im Optimalfall) ein Stoppschild vor Betriebsgeheimnisse oder anderweitig schützenswerte Daten und verhindert eine externe Verarbeitung durch den Cloud-Dienstleister.
Betrachtet man aber die restlichen Antworten auf die Frage „Erfolgt in Ihrem Unternehmen eine Kategorisierung, welche Art von Daten bzw. Dokumenten mit welchen Cloud-Diensten verarbeitet werden darf?“, so ist der Anteil der Entscheider, die darauf mit einem entschlossenen „JA“ antworten, mit 53 Prozent doch erschreckend gering.
Gründe und Unterscheidungskriterien für die Datenkategorisierung
Ob ein Cloud-Dienstleister die Daten verarbeiten oder zu anderen Zwecken auf sie zugreifen darf, ist der vornehmliche Beweggrund für Unternehmen, ihre Daten vor einer Cloud-Migration entsprechend zu kennzeichnen. Doch die Frage nach den Beweggründen hat noch weitere Facetten. Wo stehen die Server? Was soll mit den Daten passieren? Werden sie nur gelagert und verweilen in nächster Zukunft ungenutzt in der Cloud oder werden sie täglich von den eigenen Mitarbeitern editiert? Diesen Fragen hat sich die Studie ebenso gewidmet.
Mit 70 Prozent war der Verwendungszweck das am häufigsten genannte Unterscheidungskriterium. Sollen die Daten ausschließlich für den internen Gebrauch zur Verfügung stehen, oder dürfen sie auch von externen Dienstleistern – wie eben dem Cloudanbieter – sowie von Kunden und Geschäftspartnern verarbeitet werden? Dies ist die zentrale Frage, die von den meisten DACH-Firmen vor einer Klassifikation gestellt wird.
68 Prozent der Befragten Entscheider gaben an, dass sie ihre Daten nach ihrer Kritikalität unterscheiden. Zentrale Frage hierbei: Enthalten die Daten Betriebsgeheimnisse oder sensible, personenbezogene Daten?
Mit 34 deutlich weniger Wichtigkeit wird dem Serverstandort des Cloud-Anbieters beigemessen. Nur knapp über ein Drittel aller Unternehmen empfinden es als entscheidend, ob sich die Server des Cloudanbieters innerhalb oder außerhalb der EU befinden. „Dieser unscheinbar wirkende Aspekt kann nicht hoch genug bewertet werden“ kommentiert Karl Altmann dieses Missverhältnis „denn Cloudanbieter außerhalb der EU sind nicht per se an die DSGVO gebunden.“
Knapp 33 Prozent der befragten IT-Verantwortlichen gaben an, dass es für sie eine Rolle spielt, ob die Cloud öffentlich oder privat ist.
Aufgeschoben ist nicht aufgehoben – oder doch?
Wir können also resümieren: Elf Prozent der DACH-Unternehmen planen keine Kategorisierung vor der Datenübertragung in die Cloud, 53 Prozent tun dies bereits heute. Doch was ist mit dem Rest?
Nun, hier kommt der Vergleich mit den Neujahrsvorsätzen wieder ins Spiel. Denn ganze 29 Prozent – und somit knapp ein Drittel aller Entscheider – haben es sich zumindest vorgenommen, ihre Daten zukünftig einer Klassifizierung zu unterziehen, bevor sie diese in die Cloud übermitteln. Somit verschieben sie die nicht unerhebliche Entscheidung einer klaren Trennung ihrer Daten auf eine ungewisse Zukunft; vielleicht passiert dies noch vor der ins Auge gefassten Cloud-Migration – vielleicht aber auch erst Monate oder gar Jahre später. Dieses zögerliche Entscheidungsverhalten birgt jedoch große Risiken. Denn spätestens, wenn unternehmenskritische Daten aufgrund einer aufgeschobenen Klassifizierung in die falschen Hände gelangen, wird den Verantwortlichen das Gewicht ihrer Versäumnisse bewusst. Daher sei es allen IT-Verantwortlichen angeraten, sich unbedingt vor der Cloud-Migration die nötigen Gedanken über eine Unterteilung ihres Datenbestandes gemäß ihrer Kritikalität zu machen.
Signifikanter Unterschied nach Unternehmensgröße und IT-Budget
Wie gewissenhaft ein Unternehmen mit der Unterscheidung und Markierung seiner Daten umgeht, wird maßgeblich von der Unternehmensgröße sowie dem verfügbaren Budget für die IT-Sicherheit bestimmt. Von Unternehmen mit über 1000 Angestellten achten 61 Prozent auf eine Datenkategorisierung vor der Cloud-Migration. Bei Unternehmen mit unter 500 Angestellten schwindet dieser Anteil auf gerade mal 44 Prozent. Unternehmen mit mehr als 10 Millionen Euro IT-Budget sind mit 64 Prozent ganz vorne mit dabei, wenn es um eine gewissenhafte Datenklassifizierung geht. „Kleine Unternehmen besitzen ebenso schützenswerte Daten wie große. Doch leider wird hier noch zu oft an der falschen Stelle gespart, denn ein Datenleck von personenbezogenen Daten kann schnell hohe DSGVO-Bußgeldzahlungen nach sich ziehen.“ warnt Karl Altmann, CEO des Münchner Business-Cloud-Anbieters uniscon.
Fazit: Derzeit wagen sich immer mehr – auch stark regulierte – Branchen in die Cloud, wie aktuelle Zahlen zeigen. Doch eine Klassifizierung der Cloud-Daten nimmt bisher nur knapp die Hälfte der im Rahmen der IDG-Studie befragten Unternehmen vor. Dabei gibt es viele gute Gründe, seine Daten zu klassifizieren. Wer dies bis nach der Migration seiner Daten in die Cloud aufschiebt, geht damit ein vermeidbares Risiko ein.