Big Data Security Lösungen für die Anforderungen der GDPR...

Peter Hansel

bizcon AG

23.03.2017, Peter Hansel, bizcon AG Big Data Security Lösungen 1

Big Data Security Lösungen für die Anforderungen der GDPR

mit dem daten-zentrierten Sicherheitsansatz

Agenda

2

3 Daten-zentrierte Sicherheit – Beispiele

Datenschutz und Datensicherheit –verschärfte Anforderungen1

2Abbildung auf technische Maßnahmen –Innovationspotentiale

Big Data Security Lösungen23.03.2017, Peter Hansel, bizcon AG

Regulatorische Vorgaben

3

Vorschlag derEU Kommission2012-01-12

VerabschiedungEU Parlament2016-04-27

Gilt (als Gesetz) EU-weit ab2018-05-25

Bewertet und angepasstalle 4 Jahre beginnend 2020-05-25

DSGVO DSGVO

jetzt

BDSG Anpassung

??

DSGVO

Branchenregelungen, z.B.

GDV „Code of Conduct“

??

Sensible Daten ...

Personenbezogene

Daten (PII)

besondere

Arten von PII

vertrauliche

Daten

data

security

GDV Code

of Conduc

t

HIPAA

IT-Sicherheitsgesetz

& KritIS Verordnung

EU DS Grundverordnung (DSGVO)

PCI DSS

Datenschutz

Datenschutzgesetz (BDSG)


1 Data Discovery & Monitoring

2 Data Lifecyle & Lineage

3 Data Protection

4 Identity & Access Management (IAM)

Maß

nah

men

K

atal

og

5

7

88

82

87

9

15

16

17

18

19

20

21

22

32

33

34

40

47

4te

chn

isch

rel

evan

te D

SGV

O A

rtik

elBegriffsbestimmungen

Grundsätze für die Verarbeitung von PII

Bedingungen für die Einwilligung

Verarbeitung besonderer Kategorien von PII

Auskunftsrecht der betroffenen Personen

Berichtigung vor dem Verantwortlichen

Korrekte Löschung

Einschränkungen der VerarbeitungMitteilungspflicht bei Berichtigung, Löschung, Einschränkung der Verarbeitung

Datenübertragbarkeit

Personenbezogene Daten

Entscheidungen

Sicherheit und Verarbeitung

Korrekte Meldung bei personenbezogener Daten

Benachrichtigung personenbezogener Daten

Verhaltensregeln

Datenschutzvorschriften

Haftung und Rechte auf Schadensersatz

Verarbeitung nationaler Kennziffern

Datenverarbeitung im Beschäftigungskontext

DSGVO: Rechte der Betroffenen Person

1. Recht auf Auskunft über eigene PII

2. Recht auf „Vergessen werden“

3. Recht auf Entzug der Erlaubnis zur PII Verarbeitung zu jedem Zeitpunkt

4. Recht auf Übertragbarkeit der PII

1 Data Discovery & Monitoring

2 Data Lifecyle & Lineage

3 Data Protection

4 Identity & Access Management (IAM)

Maß

nah

men

K

atal

og

HAAA-A Kontrolle der Zugriffsberechtigungen:Authentisierung, Authorisierung, Audit und Approval

G Berechtigungsentscheidung, PDP, ABAC

tech

nis

che

Lö

sun

gen

Adiscovery: autom. Ermittlung von Quellen & Arten von sensiblen Daten

B Risikoeinschätzung

F

Format preserving Encryption (FPE) für data-at-rest & data-in-motion: Pseudonymisierung & Anonymisierung

D

Backup und -Archivierung mit FPE

C

An- und Einbindung aller Datenquellen

monitoring, anomaly detection, log history

E


Abbildung der DSGVO Anforderungen

DSGVO - wichtige Begriffe

23.03.2017, Peter Hansel, bizcon AG Big Data Security Lösungen 6

4 BegriffsbestimmungenArtikel

2. (Daten-) „Verarbeitung“: erfassen, ordnen, speichern, verändern, abfragen, verwenden (in Programmen), übermitteln, offenlegen, verbreiten, verknüpfen, löschen, vernichten

1. „personenbezogene Daten“ (personally identifiable information, PII)

5. „Pseudonymisierung“: verschlüsseln, tokenizen

Daten-Owner

7. (Daten-) „Verantwortlicher“ (data owner) Auftrags-verarbeiter• Tochter mbH• Sourcing Ltd• private cloud• public cloud• etc.

8. „Auftragsverarbeiter“

BetroffenePerson

„Betroffene Person“: dessen PII verarbeitet werden

11. „Einwilligung“ der betroffenen Person OK

ungeschützte Anwendung geschützte

Anwendung

ungeschützterDatensatz

geschützterDatensatz

geschützterServer/Cluster

10. „Dritter“: anderer befugter Nutzer (user) mit Zugriff auf PIIDaten-Nutzer• Bearbeiter• Analytiker• Prüfer• etc.

Agenda

7





Probleme bei traditioneller Datensicherheit

8

Ija&3k24kQotugDF2390^320OWioNu2(*872weWaasIUahjw2%quiFIBw3tug^5a…?

7412 3456 7890 0000

8juYE%Uks&dDFa2345^WFLERG

AE

S

Notwendigkeit, Datenstrukturen und Applikationen zu ändern

Vollständig verschlüsselte Daten sindunbenutzbar, wenn sie verschlüsselt sind

Key management ist schwierig

Erfordert viele, fragmentierte Lösungen und erzeugtso weitere Sicherheitslücken


Vorteile einer daten-zentrierten Lösung

9

Regel-basierte, dynamischeSchlüssel-Generierung

Ija&3k24kQotugDF2390^320OWioNu2(*872weWaasIUahjw2%quiFIBw3tug^5a…?

versus

7412 3423 3526 0000

7412 3456 7890 0000

FPE

7412 3456 7890 0000

8juYE%Uks&dDFa2345^WFLERG

AES

Minimale Änderungen an Datenstrukturen und Applikationen

Geschützte Daten verhalten sich in Applikationen und Analysen sinnvoll

Erhaltung von Format, Struktur, Verhalten

versus

NAMEN VSNR LOHN STRASSENR PLZ EINTRITTKwfdv Cqvzgk 05 777614 U52 2 1530,70 Nkucgu Ytuwzoc 48 57627 17. 10. 2005

Schlüssel DB

versus

Vereinfachter Betrieb mit Stateless Key Management

end-to-end Sicherheit mit einem konsistentenDatensicherheit-Framework


Format-beibehaltende Verschlüsselung (FPE)

10

MalwareHR mainframe AppETL

AngreiferDBAAnalytiker Helpdesk

NAMEN SVNR CCN STRASSENR KUNDENR PLZ SCORE

Peter Alexander 10 311299 A04 4 3712 3456 7890 1001 Breite Strasse 33 G8199143 01405 100

Peter Gruber 23 071054 G03 3 5587 0806 2212 0139 Schuhgasse 2 S3626248 54376 200

Carla Engelein 06 021172 E27 6 5348 9261 0695 2829 Am Heufeld 104 B0191348 85492 120

Brigitte Wagner 65 180539 W00 6 4929 4358 7398 4379 Ritterplatz 5 G8888767 71281 120

Anna Bergman 89 240381 B14 7 4556 2525 1285 1830 Kurt-Binder-Allee 69 S9298273 92054 160

NAME SVN CCN STRASSE KUNDENNR PLZ SCORE

Kwfdv Cqvzgk 05 777614 U52 2 3712 3488 7865 1001 Nkucgu Ytuwzoc 48 G2304159 05001 100

Veks Iounrfo 99 214566 J29 2 5587 0876 5467 0139 Crarnzazwr 6 S7182558 57627 200

Pdnme Wntob 84 068693 Q92 2 5348 9212 3456 2829 Ok Qnhsgsc 902 B0547086 88495 120

Jhoammtu Ohdybk 75 433408 T63 4 4929 4356 7432 4379 Gzquiwfygpp 2 G0620634 73945 120

Uiqp Heovldw 21 761153 C85 4 4556 2598 7643 1830 Ncra-Enjmhs-Hgtup 14 S2637152 91890 160


Agenda

11





Daten-zentrierter Schutz im Big Data Umfeld

12

Regeln bestimmen

sensitive data discovery

Daten schützen (FPE, Archiv)

Monitoring, Reporting

1

2

3

4

23.03.2017, Peter Hansel, bizcon AG Big Data Security Lösungen

Beispiel: Discovery & Protection im HDFS

13Big Data Security Lösungen23.03.2017, Peter Hansel, bizcon AG

betroffenePerson

Auftrags-verarbeiter

Daten-Nutzer

Daten-owner

OK

IAM

Verschlüsselt

Datenfluss

Entschlüsselt

App mit PII

Steuerung

1. Big Data Analysen mit pseudonymisierten Daten

2. Verarbeitung von PII nur mit ausdrücklicher, opt-in Erlaubnis des Betroffenen

3. Recht auf Entzug der Erlaubnis zu jedem Zeitpunkt

DSGVO use cases – Big Data Szenarien


Daten-Owner

#2

DSGVO use cases – PII Lebenszyklus


!

Daten-Nutzer

betroffenePerson

Archiv/ Backup

produktive DB

Daten-Owner

#1

1. Sichere & effiziente Archivierung und Nachweisbarkeit

2. Recht auf Datenübertragung

3. Recht auf Vergessen werden

Zusammenfassung

16

2Infrastruktur und Perimeter Ansätze – immer noch wichtig, aberaufwändig und gewähren keine end-to-end Datensicherheit

3Der innovative daten-zentrierte Ansatz kann auch die zukünftigenBedrohungen abwähren und dennoch Business Agilität gewährleisten

Schützen von sensiblen Daten und Informationen werden benötigt um kostenintensive Sicherheits- und Compliance Vorfälle zu vermeiden1Vielen Dank für Ihre Aufmerksamkeit!

Peter Hanselbizcon AGNymphenburger Straße 20a80335 München

www.bizcon.de


Big Data Security Lösungen für die Anforderungen der GDPR...

Documents

Transcript of Big Data Security Lösungen für die Anforderungen der GDPR...