# SEC 7. Wie klassifizieren Sie Ihre Daten?
<a name="sec-07"></a>

Die Datenklassifizierung bietet eine Möglichkeit, Daten basierend auf Wichtigkeit und Sensibilität zu kategorisieren, um Ihnen dabei zu helfen, angemessene Schutz- und Aufbewahrungskontrollen zu bestimmen.

**Topics**
+ [SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads](sec_data_classification_identify_data.md)
+ [SEC07-BP02 Definieren von Datenschutzkontrollen:](sec_data_classification_define_protection.md)
+ [SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung](sec_data_classification_auto_classification.md)
+ [SEC07-BP04 Definieren des Datenlebenszyklusmanagements:](sec_data_classification_lifecycle_management.md)

# SEC07-BP01 Identifizieren der Daten innerhalb Ihres Workloads
<a name="sec_data_classification_identify_data"></a>

Es ist wichtig, dass Sie mit den Typen und Klassifizierungen von Daten, die Ihr Workload verarbeitet, sowie den zugehörigen Geschäftsprozessen vertraut sind und wissen, wo Ihre Daten gespeichert sind und wer der Dateneigentümer ist. Sie sollten auch die anwendbaren rechtlichen und Compliance-Anforderungen Ihres Workloads kennen und wissen, welche Datenkontrollen durchgesetzt werden müssen. Die Identifizierung der Daten ist der erste Schritt zur Datenklassifizierung. 

**Vorteile der Nutzung dieser bewährten Methode:**

 Mithilfe der Datenklassifizierung können Workload-Eigentümer die Speicherorte von vertraulichen Daten identifizieren und festlegen, wie diese Daten aufgerufen und freigegeben werden sollten. 

 Die Datenklassifizierung zielt darauf ab, die folgenden Fragen zu beantworten: 
+ **Welche Arten von Daten besitzen Sie?**

  Dies könnten Daten sein wie: 
  +  geistiges Eigentum (Intellectual Property, IP) wie beispielsweise Geschäftsgeheimnisse, Patente oder Vertragsvereinbarungen 
  +  geschützte Gesundheitsinformationen (Protected Health Information, PHI) wie beispielsweise Krankenakten, die Informationen zur Anamnese von Personen enthalten 
  +  persönlich identifizierbare Informationen (PII) wie beispielsweise Name, Adresse, Geburtsdatum und Personalausweis- oder Kennzeichennummer 
  +  Kreditkartendaten wie beispielsweise Kartennummer, Name des Karteninhabers, Ablaufdatum und Sicherheitscode 
  +  Wo sind die vertraulichen Daten gespeichert? 
  +  Wer kann die Daten aufrufen, ändern oder löschen? 
  +  Die Benutzerberechtigungen zu verstehen, ist für den Schutz vor potenziellem Datenmissbrauch unerlässlich. 
+ **Wer kann CRUD-Operationen (Create, Read, Update, Delete – Erstellen, Lesen, Aktualisieren, Löschen) ausführen? **
  +  Berücksichtigen Sie die potenzielle Erweiterung von Benutzerrechten und ermitteln Sie, wer die Berechtigungen für die Daten verwalten kann. 
+ **Welche geschäftlichen Auswirkungen könnten eine unbeabsichtigte Offenlegung, eine Änderung oder eine Löschung der Daten haben? **
  +  Machen Sie sich damit vertraut, welche Risiken Änderungen, Löschungen oder unbeabsichtigte Offenlegungen der Daten nach sich ziehen könnten. 

Wenn Sie die Antworten auf diese Fragen kennen, können Sie die folgenden Maßnahmen ergreifen: 
+  Verringern Sie den Umfang an vertraulichen Daten (z. B. die Anzahl der Speicherorte von vertraulichen Daten) und schränken Sie den Zugriff auf vertrauliche Daten auf die genehmigten Benutzer ein. 
+  Machen Sie sich mit den verschiedenen Arten von Daten vertraut, damit Sie angemessene Mechanismen und Verfahren zum Schutz der Daten implementieren können, z. B. Verschlüsselung, Data Loss Prevention sowie Identity and Access Management. 
+  Optimieren Sie die Kosten, indem Sie die richtigen Kontrollziele für die Daten bereitstellen. 
+  Beantworten Sie souverän Fragen von Regulierungsbehörden und Prüfern in Bezug auf die Arten und den Umfang der Daten sowie darauf, wie Daten mit unterschiedlichen Vertraulichkeitsstufen voneinander getrennt werden. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Datenklassifizierung bezeichnet die Identifizierung der Vertraulichkeit von Daten. Dies kann Tagging umfassen, um die Daten leicht durchsuchbar und nachverfolgbar zu machen. Die Datenklassifizierung trägt auch zu einer Reduzierung der Datenduplizierung bei. Dadurch lassen sich die Kosten für Speicherung und Sicherung senken, während der Suchvorgang beschleunigt wird. 

 Verwenden Sie Services wie beispielsweise Amazon Macie, um sowohl die Ermittlung als auch die Klassifizierung vertraulicher Daten in großem Umfang zu automatisieren. Andere Services, z. B. Amazon EventBridge und AWS Config, können zur automatischen Behebung von Problemen mit der Datensicherheit wie beispielsweise unverschlüsselten Amazon Simple Storage Service (Amazon S3)-Buckets und Amazon EC2-EBS-Volumes oder nicht getaggten Datenressourcen verwendet werden. Eine vollständige Liste der AWS-Serviceintegrationen finden Sie in der [EventBridge-Dokumentation](https://docs.aws.amazon.com/eventbridge/latest/userguide/event-types.html). 

 [Das Erkennen von PII](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) in unstrukturierten Daten wie beispielsweise Kunden-E-Mails, Support-Tickets, Produktbewertungen und Social Media ist [mithilfe von Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) möglich. Dabei handelt es sich um einen Service für natürliche Sprachverarbeitung (NLP), der unter Verwendung von Machine Learning (ML) in unstrukturiertem Text nach Einblicken und Beziehungen wie Personen, Orten, Meinungen und Themen sucht. Eine Liste der AWS-Services, die Sie bei der Datenidentifikation unterstützen können, finden Sie unter [Common techniques to detect PHI and PII data using AWS services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services). 

 Eine weitere Methode, die die Klassifizierung und den Schutz von Daten unterstützt, ist das [AWS-Ressourcen-Tagging](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html). Über das Tagging können Sie Ihren AWS-Ressourcen Metadaten zuweisen, die zum Verwalten, Identifizieren, Organisieren, Suchen und Filtern der Ressourcen verwendet werden können. 

 Unter Umständen möchten Sie vielleicht auch eine gesamte Ressource (z. B. einen S3-Bucket) taggen, insbesondere wenn Sie erwarten, dass ein spezifischer Workload oder Service Prozesse oder Übertragungen einer bereits bekannten Datenklassifizierung speichert. 

 Gegebenenfalls können Sie einen S3-Bucket anstelle einzelner Objekte taggen, um die Verwaltung und die Aufrechterhaltung der Sicherheit zu vereinfachen. 

### Implementierungsschritte
<a name="implementation-steps"></a>

**Ermittlung vertraulicher Daten innerhalb von Amazon S3: **

1.  Stellen Sie vor Beginn sicher, dass Sie über die erforderlichen Berechtigungen für den Zugriff auf die Amazon Macie-Konsole und die API-Operationen verfügen. Weitere Informationen finden Sie unter [Getting started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Erste Schritte mit Amazon Macie). 

1.  Verwenden Sie Amazon Macie für eine automatisierte Datenermittlung, wenn Ihre vertraulichen Daten in [Amazon S3](https://aws.amazon.com/s3/) gespeichert sind. 
   +  Konfigurieren Sie entsprechend den Anleitungen in [Getting Started with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) (Erste Schritte mit Amazon Macie) ein Repository für die Ergebnisse der Ermittlung von vertraulichen Daten und erstellen Sie einen Ermittlungsauftrag für vertrauliche Daten. 
   +  [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden) 

      Standardmäßig analysiert Macie Objekte mithilfe der verwalteten Datenkennungen, die wir für die automatisierte Ermittlung von vertraulichen Daten empfehlen. Sie können die Analyse anpassen, indem Sie Macie so konfigurieren, dass bei der automatisierten Ermittlung von vertraulichen Daten für Ihr Konto oder Ihre Organisation spezifische verwaltete Datenkennungen, benutzerdefinierte Datenkennungen und Whitelists verwendet werden. Sie können den Umfang der Analyse anpassen, indem Sie spezifische Buckets (z. B. S3-Buckets, in denen in der Regel AWS-Protokolldaten gespeichert werden) ausschließen. 

1.  Informationen zum Konfigurieren und Verwenden der automatisierten Ermittlung von vertraulichen Daten finden Sie unter [Performing automated sensitive data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd-account-manage.html) (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie). 

1.  Sie sollten sich auch [Automated Data Discovery for Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Automatisierte Datenermittlung für Amazon Macie) ansehen. 

**Ermittlung vertraulicher Daten innerhalb von Amazon RDS: **

 Weitere Informationen zur Datenermittlung in [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/)-Datenbanken finden Sie unter [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren). 

**Ermittlung vertraulicher Daten innerhalb von DynamoDB: **
+  Im Blog [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Vertrauliche Daten in DynamoDB mit Macie ermitteln) wird erläutert, wie Sie mithilfe von Amazon Macie vertrauliche Daten in [Amazon DynamoDB](https://aws.amazon.com/dynamodb/)-Tabellen ermitteln, indem die Daten zum Durchsuchen nach Amazon S3 exportiert werden. 

**AWS-Partnerlösungen: **
+  Nutzen Sie unser umfassendes AWS Partner Network. AWS-Partner bieten umfassende Tools und Compliance-Regelwerke, die sich direkt in die AWS-Services integrieren lassen. Die Partner können Ihnen eine maßgeschneiderte Governance- und Compliance-Lösung bereitstellen, mit der Sie den Anforderungen Ihrer Organisation gerecht werden. 
+  Informationen zu benutzerdefinierten Lösungen für die Datenklassifizierung finden Sie unter [Data governance in the age of regulation and compliance requirements](https://aws.amazon.com/big-data/featured-partner-solutions-data-governance-compliance/) (Daten-Governance im Zeitalter von Regulierungs- und Compliance-Anforderungen). 

 Sie können die Tagging-Standards, die Ihre Organisation anwendet, automatisch durchsetzen, indem Sie mit AWS Organizations Richtlinien erstellen und bereitstellen. Mit Tag-Richtlinien können Sie Regeln festlegen, die gültige Schlüsselnamen und die für die einzelnen Schlüssel gültigen Werte definieren. Sie können sich für die ausschließliche Überwachung entscheiden, wodurch Sie Ihre vorhandenen Tags bewerten und bereinigen können. Wenn Ihre Tags den gewählten Standards entsprechen, können Sie die Durchsetzung in den Tag-Richtlinien aktivieren. Dadurch verhindern Sie, dass Tags erstellt werden, die nicht den Standards entsprechen. Weitere Informationen finden Sie unter [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen) sowie in der Beispielrichtlinie unter [Verhindern, dass Tags geändert werden, außer von autorisierten Prinzipalen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin). 
+  Für die erstmalige Verwendung von Tag-Richtlinien in [AWS Organizations](https://aws.amazon.com/organizations/) wird dringend empfohlen, den unter [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) beschriebenen Workflow zu befolgen, bevor Sie mit fortgeschritteneren Tag-Richtlinien fortfahren. Wenn Sie sich damit vertraut machen, welche Auswirkungen das Anfügen einer einfachen Tag-Richtlinie auf ein einzelnes Konto hat, bevor sie auf eine ganze Organisationseinheit (OU) oder Organisation ausgeweitet wird, können Sie die Auswirkungen einer Tag-Richtlinie verstehen, bevor Sie die Compliance mit der Tag-Richtlinie durchsetzen. Unter [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) finden Sie Links zu Anleitungen für fortgeschrittenere Aufgaben rund um Richtlinien. 
+  Ziehen Sie die Bewertung anderer [Services und Funktionen von AWS](https://docs.aws.amazon.com/whitepapers/latest/data-classification/using-aws-cloud-to-support-data-classification.html#aws-services-and-features) in Betracht, die die Datenklassifizierung unterstützen. Eine entsprechende Liste finden Sie im Whitepaper [Data Classification](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) (Datenklassifizierung). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Automated data discovery with Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html) (Automatisierte Datenermittlung mit Amazon Macie) 
+  [Erste Schritte mit Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-getting-started.html) 
+  [Detecting PII entities](https://docs.aws.amazon.com/comprehend/latest/dg/how-pii.html) (Ermitteln von PII-Entitäten) 

 **Zugehörige Blogs:** 
+  [How to use Amazon Macie to preview sensitive data in S3 buckets](https://aws.amazon.com/blogs/security/how-to-use-amazon-macie-to-preview-sensitive-data-in-s3-buckets/) (Amazon Macie für eine Vorschau der vertraulichen Daten in S3-Buckets verwenden) 
+  [Performing automated sensitive data discovery with Amazon Macie](https://aws.amazon.com/blogs/aws/automated-data-discovery-for-amazon-macie/) (Automatisierte Ermittlung von vertraulichen Daten mit Amazon Macie) 
+  [Common techniques to detect PHI and PII data using AWS Services](https://aws.amazon.com/blogs/industries/common-techniques-to-detect-phi-and-pii-data-using-aws-services/) (Gängige Techniken zur Ermittlung von PHI- und PII-Daten mithilfe von AWS-Services) 
+  [Detecting and redacting PII using Amazon Comprehend](https://aws.amazon.com/blogs/machine-learning/detecting-and-redacting-pii-using-amazon-comprehend/) (Mit Amazon Comprehend PII ermitteln und redigieren) 
+  [Securing resource tags used for authorization using a service control policy in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) (Ressourcen-Tags für die Autorisierung mithilfe einer Service-Kontrollrichtlinie in AWS Organizations schützen) 
+  [Enabling data classification for Amazon RDS database with Macie](https://aws.amazon.com/blogs/security/enabling-data-classification-for-amazon-rds-database-with-amazon-macie/) (Die Datenklassifizierung für Amazon RDS-Datenbanken mit Macie aktivieren) 
+  [Detecting sensitive data in DynamoDB with Macie](https://aws.amazon.com/blogs/security/detecting-sensitive-data-in-dynamodb-with-macie/) (Vertrauliche Daten in DynamoDB mit Macie ermitteln) 

 **Zugehörige Videos:** 
+  [Event-driven data security using Amazon Macie](https://www.youtube.com/watch?v=onqA7MJssoU) (Ereignisgesteuerte Datensicherheit mit Amazon Macie) 
+  [Amazon Macie for data protection and governance](https://www.youtube.com/watch?v=SmMSt0n6a4k) (Amazon Macie für Datenschutz und -Governance) 
+  [Fine-tune sensitive data findings with allow lists](https://www.youtube.com/watch?v=JmQ_Hybh2KI) (Die Suche nach vertraulichen Daten mit Whitelists optimieren) 

# SEC07-BP02 Definieren von Datenschutzkontrollen:
<a name="sec_data_classification_define_protection"></a>

 Schützen Sie Daten entsprechend ihrer Klassifizierungsstufe. Schützen Sie beispielsweise Daten, die als öffentlich klassifiziert werden, indem Sie relevante Empfehlungen anwenden und gleichzeitig sensible Daten durch zusätzliche Kontrollen schützen. 

Durch die Verwendung von Ressourcen-Tags, separater AWS-Konten je nach Sensibilität (und möglicherweise auch nach Vorbehalt, Enklave oder Interessensgemeinschaft), IAM-Richtlinien, AWS Organizations-SCPs, AWS Key Management Service (AWS KMS) und AWS CloudHSM können Sie Ihre Richtlinien für die Datenklassifizierung und den Datenschutz mit Verschlüsselung definieren und implementieren. Wenn Sie beispielsweise S3-Buckets mit hoch kritischen Daten oder Amazon Elastic Compute Cloud (Amazon EC2)-Instances haben, die vertrauliche Daten verarbeiten, können Sie diese mit dem Tag `Project=ABC` kennzeichnen. Nur Ihr direktes Team weiß, was der Projektcode bedeutet, und es bietet eine Möglichkeit, die attributbasierte Zugriffskontrolle zu verwenden. Sie können für die AWS KMS-Kodierungsschlüssel mithilfe von Schlüsselrichtlinien Zugriffsebenen definieren. Auf diese Weise stellen Sie sicher, dass nur die entsprechenden Services sicher auf die sensiblen Inhalte zugreifen können. Wenn Sie Autorisierungsentscheidungen basierend auf Tags treffen, sollten Sie sicherstellen, dass die Berechtigungen für die Tags mithilfe von Tag-Richtlinien in AWS Organizations entsprechend definiert sind.

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Definieren eines Datenidentifikations- und -klassifizierungsschemas: Eine Identifikation und Klassifizierung Ihrer Daten wird durchgeführt, um potenzielle Auswirkungen und den Typ der gespeicherten Daten zu bewerten und festzulegen, welche Personen Zugriff auf die Daten haben sollen. 
  +  [AWS-Dokumentation](https://docs.aws.amazon.com/) 
+  Ermitteln verfügbarer AWS-Kontrollen: Ermitteln Sie die Sicherheitskontrollen für die AWS-Services, die Sie verwenden oder verwenden möchten. Die Dokumentation vieler Services umfasst einen Sicherheitsabschnitt. 
  +  [AWS-Dokumentation](https://docs.aws.amazon.com/) 
+  Identifizieren von AWS-Compliance-Ressourcen: Ermitteln Sie die Ressourcen, die AWS zur Verfügung stellt, um Sie zu unterstützen. 
  +  [https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/?ref=wellarchitected) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [AWS-Dokumentation](https://docs.aws.amazon.com/) 
+  [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 
+  [Fehlender Text](https://aws.amazon.com/compliance/) 

 **Zugehörige Videos:** 
+  [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP03 Automatisieren der Identifizierung und Klassifizierung
<a name="sec_data_classification_auto_classification"></a>

 Durch die Automatisierung der Identifizierung und Klassifizierung von Daten können Sie die richtigen Kontrollen implementieren. Die Verwendung von Automatisierung für diesen Zweck anstelle des direkten Zugriffs durch eine Person reduziert das Risiko menschlichen Versagens und unbeabsichtigter Offenlegung. Sie sollten die Nutzung eines Tools wie [Amazon Macie](https://aws.amazon.com/macie/)in Betracht ziehen. Das Tool verwendet Machine Learning, um sensible Daten in AWS automatisch zu erkennen, zu klassifizieren und zu schützen. Amazon Macie erkennt vertrauliche Daten wie persönlich identifizierbare Informationen (PII) oder geistiges Eigentum und stellt Ihnen Dashboards und Warnungen zur Verfügung, die sichtbar machen, wie auf diese Daten zugegriffen wird bzw. wie diese bewegt werden. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Verwenden von Amazon Simple Storage Service (Amazon S3) Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können. 
  +  [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Verwenden von Amazon Macie: Amazon Macie nutzt Machine Learning, um in Amazon S3 gespeicherte Daten automatisch zu erkennen und zu klassifizieren.
  +  [Amazon Macie](https://aws.amazon.com/macie/) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Amazon Macie](https://aws.amazon.com/macie/) 
+  [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Ähnliche Videos:** 
+  [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE) 

# SEC07-BP04 Definieren des Datenlebenszyklusmanagements:
<a name="sec_data_classification_lifecycle_management"></a>

 Ihre definierte Lebenszyklusstrategie sollte auf Vertraulichkeitsstufen sowie auf gesetzlichen und organisatorischen Anforderungen basieren. Aspekte, einschließlich des Zeitraums für die Aufbewahrung von Daten, Datenvernichtungsprozesse, Datenzugriffsverwaltung, Datentransformation und Datenfreigabe sollten berücksichtigt werden. Wenn Sie eine Datenklassifizierungsmethode erwägen, achten Sie auf ein ausgewogenes Verhältnis zwischen Nutzbarkeit und Zugriff. Berücksichtigen Sie auch die unterschiedlichen Zugriffsebenen und Nuancen bei der Implementierung eines sicheren und dennoch anwendbaren Ansatzes für jede Ebene. Verwenden Sie immer einen umfassenden Ansatz zur Verteidigung und reduzieren Sie den menschlichen Zugriff auf Daten und Mechanismen zum Umwandeln, Löschen oder Kopieren von Daten. Legen Sie beispielsweise fest, dass Benutzer sich bei einer Anwendung stark authentifizieren müssen, und geben Sie der Anwendung anstelle der Benutzer die erforderliche Zugriffsberechtigung, um Aktionen aus der Ferne auszuführen. Stellen Sie außerdem sicher, dass Benutzer einen vertrauenswürdigen Netzwerkpfad verwenden und Zugriff auf die Verschlüsselungsschlüssel benötigen. Nutzen Sie Tools wie Dashboards oder die automatisierte Berichterstellung, um Benutzern Informationen zu diesen Daten bereitzustellen, statt ihnen direkten Zugriff auf die Daten zu gewähren. 

 **Risikostufe, wenn diese Best Practice nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Identifizieren von Datentypen: Identifizieren Sie die Datentypen, die Sie in Ihrer Workload speichern oder verarbeiten. Diese Daten können Text, Bilder, Binärdatenbanken usw. sein. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Data Classification Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification.html) 
+  [Erste Schritte mit Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) 

 **Zugehörige Videos:** 
+  [Einführung des neuen Amazon Macie](https://youtu.be/I-ewoQekdXE)