Software und Lösungen zur Datenklassifizierung

VonDatabase Security

Software und Lösungen zur Datenklassifizierung

Fast alle Unternehmen sind durch verschiedene Gesetze, Regulatorien oder interne und externe Audits zu einer Datenklassifizierung, Beschreibung der Verarbeitungsprozesse und der Ermittlung des Schutzbedarf von Daten gezwungen. Weiterhin kommen durch diverse Gesetze und Verordnungen zusätzlich Auskunftspflichten (z.Bsp. GDPR, DSGVO) hinzu.

Im Vorgehen ist es den Unternehmen meistens freigestellt, wie diese den Schutzbedarf der Daten und die Umsetzung des Datenschutzes durchführen. Je nach eingesetzten Systemen, Anwendungssoftware und IT-Infrastruktur gibt es aus unserer Erfahrung die folgenden Möglichkeiten:

  • Hersteller der Software von ERP-/CRM-Systemen bieten Lösungen
  • Datenklassifizierung auf Basis von Metadaten oder Dateitypen
  • Datenidentifizierung anhand von Datenmuster und Datensätzen
  • Festlegung und Umsetzung Schutzbedarf (z.Bsp.: Verschlüsselung)
  • Einsatz von Software für Maskierung und Verschlüsselung von Daten
  • Nutzung Clouddienste und Anbieter mit vollständigen Lösungen

Lösungen der Softwarehersteller von ERP-/CRM-Systemen

Die ERP-/CRM-Systeme sind typischerweise die Anwendungen, die direkte und indirekte Kundendaten, Personaldaten der Mitarbeiter, Finanzdaten des Unternehmens und andere wichtige Daten mit einem Schutzbedarf verarbeiten.

Sofern die Hersteller gesetzliche und regulatorische Anforderungen in die Anwendungssoftware integrieren, sind Unternehmen für IT-Audits im Bereich Datenschutz meistens schon mal gut vorbereitet. Schwieriger wird es, wenn neben den ERP-/CRM-System noch Eigenentwicklungen, wie beispielsweise ein Datawarehouse (DWH), existieren und Kundendaten dort auch abgespeichert werden.

Diese Kombinationen der Anwendungslandschaft und IT-Infrastukturen findet sich in vielen Unternehmen, da nicht alle Anwendungen zu jeder Zeit standardisiert sind und zeitnah alle Regulatorien und Gesetze abdecken. Auch bei vollständigem Einsatz von Standardsoftware sind die Unternehmen jedoch gefordert, ein Verzeichnis der Verarbeitungsprozesse von Kundendaten aufzubauen und aktuell zu halten.

Datenklassifizierung auf Basis von Metadaten oder Dateitypen

Eine weitere Möglichkeit der Datenklassifizierung ist die Abfrage und Analyse der Metadaten (Tabellennamen und Spaltennamen) im Data Dictionary oder Data Repository einer SQL-Datenbank. Jede SQL-Datenbank hat ein internes Dictionary mit der Beschreibung der Tabellen, Spalten und Datentypen. Diese kann für eine Datenklassifikation sehr gut verwendet werden.

Eine schnelle und einfache Möglichkeit, potentielle Kundendaten zu finden, wäre die SQL-Abfrage nach Tabellen- oder Spaltennamen in mehreren Sprachen, beispielsweise Namen wie %CUSTOMER%, %KUNDEN%, %KONTAKT%, %PARTNER% oder %CLIENT%. Für personenbezogene Daten eignen sich auf Kombinationen wie ein Vorname in Kombination mit einem Geburtstag: %FIRSTNAME%, %VORNAME%, %BIRTH%, %GEBURT%.

In unserer toolbasierten Lösung und Software für Datenklassifizierung bieten wir mehr als 1000 unterschiedliche Merkmale in mehr als 50 Datenkategorien und aktuell drei Sprachen an.

Datenidentifizierung anhand von Datenmuster und Datensätzen

Neben der Datenklassifizierung anhand von Metadaten gibt es auch Datenscans, die Daten nach Muster identifizieren und klassifizieren. Typische Beispiele sind Kreditkartennummern, Überweisungsdaten, Bankdaten, Sozialversicherungsnummer, Ausweisnummern, EAN-Artikelnummern oder Telefonnummern.

Basis dieses Datenmatching sind vordefinierte Formate, Längen und der Einsatz von Prüfziffern. Dieses Datenmatching kann sowohl für erstmalige Datenklassifikationen als auch für das laufende Monitoring innerhalb eines Netzwerks verwendet werden. Typischerweise arbeiten DLP-Systeme nach dem Prinzip Datenmatching.

Festlegung und Umsetzung Schutzbedarf

Nach der erfolgreichen Datenidentifikation und Datenklassifikation muss der Schutzbedarf (Verschlüsselung, Maskierung und Datenanonymisierung) je Datenkategorie bestimmt werden. Beispielweise sind Kreditkartendaten gemäss PCI/DSS stets auf allen Ebenen zu verschlüsseln.

Oft wird bei diesem Vorgehen aber nicht der komplette Lebenszyklus von Daten angesehen und Fragen wie Clonen, Exporte, Backup, Schnittstellen zu Reporting-/DWH-Systemen oder externen Schnittstellen gerne zurückgestellt und erstmal das System oder Anwendung geschützt, die diese Daten vorrangig oder erstmalig verarbeitet.

Einsatz von Software für Maskierung und Verschlüsselung von Daten

Mit GDPR (General Data Protection Regulation) auf europäischer Ebene und der Umsetzung der DSGVO (Datenschutzgrundverordnung) in Deutschland haben sich Anbieter von Software etabliert, die hierzu schnelle Lösungen anbieten. Dazu gehören vor allen Software für Datenmaskierung und Datenverschlüsselung.

Diese Anbieter installieren meistens Agenten in einem Netzwerk und werden rulebasiert parametrisiert, Daten bei bestimmten Zugriffskombinationen zu maskieren oder zu verschlüsseln. Als eine schnelle Lösung ist dies sicher möglich, unserer Meinung nach stellt diese Art der Umsetzung des Schutzbedarfs ein hohes Risiko dar! Diese neue Zwischenschicht muss wiederum abgesichert, geprüft und operativ überwacht werden. Zudem kann nicht garantiert werden, alle möglichen Datenzugriffe (aktuell und in Zukunft) erfasst und richtig parametrisiert zu haben.

Nutzung Clouddienste und Anbieter mit vollständigen Lösungen

Eine etwas andere Variante ist, die o.g. Themen und Probleme mit einer ganzheitlichen Lösung umzusetzen. Beispielsweise gibt es Cloudanbieter, die grundsätzlich alle Daten wie sehr vertrauliche Daten schützen und verschlüsseln. Damit entfallen die Aufwände für eine Datenklassifizierung und unterschiedliche Schutzmassnahmen.

Unternehmen haben damit sicherlich erstmal den Vorteil, dass die zentrale Datenhaltung verschlüsselt und nach höchsten Standards abgesichert ist, müssen aber dennoch darauf achten, dass die Daten nicht auf lokalen Clients oder externen Clouds exportiert werden.

Über den Autor

Database Security editor