In der EU greift bald ein strengerer Datenschutz. Dieser lässt sich mit Maskierung personenbezogener Daten realisieren, wofür sich vor allem Data-Ops-Plattformen eignen.
Zum Jahresauftakt führten Meltdown und Spectre, zwei Sicherheitslücken in Prozessoren, vor Augen, wie massiv die Sicherheit von privaten Daten in Gefahr geraten kann. Kurzfristig helfen Updates. Auf lange Sicht wirkt in Unternehmen nur ein vollständiges Sicherheitskonzept, das auch abhandelt, wie das eigene Geschäft mit bestehenden und künftigen Gesetzen in Einklang gebracht wird. Im Fokus steht aktuell die EU-Datenschutzgrundverordnung (DSGVO), die für alle Unternehmen ab 25. Mai 2018 verbindlich ist.

Die DSGVO vereinheitlicht den Datenschutz personenbezogener Daten von EU-Bürgern. Die Verordnung regelt dazu den Umgang mit persönlichen Daten wie Nutzernamen, IP-Adressen, GPS-Koordinaten, Telefonnummern, Kreditkartennummer oder Nutzerverhaltensdaten strenger. Die betreffende Person ist der Dateneigentümer, der einer Datenverarbeitung durch ein Unternehmen künftig ausdrücklich zustimmen muss. Jeder EU-Bürger hat das Recht, sein Einverständnis zu widerrufen. Bei Verstößen gegen die DSGVO drohen Unternehmen Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes.

Aufwändige Vorarbeit zum automatisierten Datenmanagement

Umfragen legen nahe, dass IT- und Compliance-Verantwortliche vor allem den Aufwand fürchten, um einen DSGVO-konformen Datenumgang zu erreichen. Fehlendes Problembewusstsein gepaart mit Unwissenheit über die Verordnung hält daneben viele Firmen ab, konkrete Maßnahmen zu ergreifen.

Ein Unternehmen kommt jedoch nicht um den Aufwand herum, zu klären, wo seine Daten liegen und wer auf sie zugreift beziehungsweise zugreifen kann. Im nächsten Schritt geht es darum, die Interaktion von Nutzern, Prozessen und Technologien so zu organisieren, dass Geschäftsinteressen und Gesetzesvorgaben gleichermaßen gewahrt bleiben. Schlussendlich soll ein schnelles, automatisiertes und sicheres Datenmanagement entstehen. Hierfür bietet die DataOps-Technologie einen vielversprechenden Ansatz. Dabei handelt es sich um eine Technologie, mit deren Hilfe sich Daten aus verschiedenen Quellen sehr schnell und bei Bedarf auch gesichert bereitstellen lassen – etwa für die Anwendungsentwicklung oder für Cloud-Migrationen.

Virtuelle Datenkopien erstellen

Eine DataOps-Lösung wie die Delphix Dynamic Data Platform wird auf den gängigen Virtualisierungsplattformen (Hypervisors) installiert und erstellt virtuelle Datenkopien aus Datenbanken wie Oracle, SQL Server, DB2, mySQL oder Sybase, aber auch Applikationen. Standardschnittstellen binden die verschiedenen Datenquellen ein. Die Synchronisation der virtuellen Datenumgebungen mit den Produktivdaten erfolgt inkrementell, das heißt, es werden nur die Änderungen in der Datenquelle in die komprimierte Datenkopie übertragen.

Die DSGVO nennt explizit Verschlüsselung und Pseudonymisierung von Daten als legitime Verfahren, um personenbezogene Daten ausreichend zu schützen. Wendet ein Unternehmen nachweislich eines der Verfahren an, erlischt das Widerrufrecht des Dateneigentümers. DataOps-Plattformen verfügen über Bibliotheken, die aufzeigen, wo in der Unternehmens-IT sensible Daten abliegen. Die Technologie identifiziert die Informationen, die unter das DSGVO fallen, und implementiert notwendige Maßnahmen in die Geschäftsprozesse.

Maskierung und multiple Kopien

Für die Pseudonymisierung von Daten kommen Maskierungs-Tools zum Einsatz, um persönliche Angaben zu verändern. Beim Maskieren bleibt das ursprüngliche Dateiformat erhalten. Ein Zuordnen zu einer Person, also ein Dechiffrieren, ist dann nur mit zusätzlichen Informationen und Mitteln möglich. Die DSGVO stellt allerdings die Bedingung, dass diese Informationen separat abliegen müssen. Nur so bleiben maskierte Daten bei einem Diebstahl oder Verlust geschützt.

Die erfolgreiche Maskierung von Daten in Produktivsystemen markiert einen Zwischenschritt. Ändern sich die Produktivdaten, hat das Konsequenzen: Ein Unternehmen muss dann eine entsprechende Kopie der geschützten Daten den anderen Geschäftsbereichen zur Verfügung stellen. Was zunächst harmlos klingt, entpuppt sich beim genaueren Hinschauen als anspruchsvolle Aufgabe: Über 90 Prozent aller internen Unternehmensdaten basieren auf Kopien, die für sekundäre Anwendungen wie Software-Entwicklung und Test, Reporting, Analyse und Backups verwendet werden. Diese Kopien einzeln zu maskieren, entspräche einem immensen Aufwand. Moderne Plattformen maskieren alle nötigen Daten in einem Zuge und stellen dann multiple maskierte Kopien für die unterschiedlichen Anwender bereit, ohne dass zusätzlicher Speicherplatzbedarf und Zeitaufwand entstehen oder die Agilität des Geschäfts leidet.

Abgesicherte Geschäftsinteressen

Maskierung mit einer DataOps-Plattform bietet Unternehmen die Chance, das eigene Geschäft schneller, einfacher, kostengünstig und gemäß der DSGVO auszurichten. Die DataOps-Technologie befähigt Unternehmen zudem, mehr Gespür für ihre Daten zu entwickeln. Auch darauf kommt es in unserer streng regulierten wie datengetriebenen Welt an. In dieser entscheidet das aufeinander Abstimmen von IT-Sicherheit, Datenschutz und Geschäftsinteressen darüber, ob jemand künftig Erfolge einfährt oder andere vorbeiziehen lassen muss.