dpunkt.verlag

IT-GovernanceZeitschrift des ISACA Germany Chapter e.V.

http://it-governance.dpunkt.de www.isaca.de

„ Grundlagen des Datenschutzes

„ Beschäftigtendatenschutzgesetz

„ Systematisches Datenschutzmanagement

„ Datenschutzmanagementsystem der SAP AG

Heft 10 | Oktober 2011 | 5. Jahrgang | ISSN 1864-6557

1899 IT-Gouvernance Heft 10.indd 1 21.09.11 14:53

Carsten Herbe

Softwareentwicklung und Kundenanalyse ohne DatenschutzrisikoWirksamer Schutz sensibler Daten durch Data Masking

Sonderausgabe für metafinanz-Informationssysteme GmbH

Sonderausgabeaus:

IT-Governance Zeitschrift des ISACA Germany Chapter e.V.

http://it-governance.dpunkt.de/

5. Jahrgang – Heft 10 – Oktober 2011 Seiten 21–22

© dpunkt.verlag GmbH ISSN 1864-6557

Softwareentwicklung und Kundenanalyse ohne Datenschutzrisiko 21

IT-Governance 10 | Oktober 2011

Beim Umgang mit sensiblen Daten verhalten sich viele Unter-nehmen erstaunlich leichtsinnig: Für Softwareentwicklung, Tests und Data Mining werden echte Kundendaten heraus-gegeben, sogar an externe Partner. Doch diese enormen Geschäfts- und Datenschutzrisiken lassen sich einfach beseitigen – durch realitätsnahe Anonymisierung mittels Data-Masking-Tools.

1 Einleitung

Datenschutzskandale größeren Ausmaßes häufen sich in letz-ter Zeit – ob es um die Kunden-CD der Telekom ging, die Kreditkartendaten der Citigroup oder den Angriff auf Sonys Playstation-Netzwerk: Jedes Mal müssen betroffene Unter-nehmen mit größeren finanziellen Schäden sowie längerfris-tigem Reputationsverlust rechnen. Viele dieser Risiken gelten als bekannt – doch eine weitgehend unterschätzte Angriffs fläche für illegale Datenzugriffe bieten die Bereiche Softwareent-wicklung, Testing und Data Mining. Jede neu entwickelte Geschäftsanwendung etwa erfordert vor ihrer Einführung zwangsläufig umfassende Funktionstests. Und damit diese Tests unter möglichst realistischen Bedingungen ablaufen, verwenden Entwickler und Tester dafür erstaunlich oft echte Kundendaten und Geschäftszahlen. So fand das Ponemon-Institut bereits vor einigen Jahren in einer Studie heraus, dass drei Viertel aller deutschen Unternehmen ihre Kundendaten für Testzwecke missbrauchen. Zum Einsatz kommen dabei alle Arten von sensiblen Informationen wie Kunden- und Kreditkartennummern, Angaben zur Sozialversicherung, Zahlungsinformationen sowie Daten von Mitarbeitern und Lieferanten. Meist wird dabei die Tatsache übersehen, dass in etwa 60 % der Unternehmen die Softwareentwicklung und die damit verbundenen Tests beim Outsourcing-Partner durchgeführt werden, wobei dieser natürlich keinerlei Risi-ken übernimmt – diese verbleiben nämlich generell beim Auf-traggeber.

Doch auch intern lauern Gefahren beim laxen Umgang mit Produktionsdaten. So liegen Dumps von Datenbanken sehr oft auf persönlichen Laufwerken oder eigenen Festplat-ten und gelangen so über Laptops auch jenseits der Unter-nehmensgrenzen. Nicht zu unterschätzen sind schließlich auch vorsätzliche Datendiebstähle. So ergab etwa eine von

Symantec beauftragte Studie, dass rund die Hälfte aller ent-lassenen Mitarbeiter Firmendaten mitgehen lassen – von E-Mails bis zu Datenbankinhalten. Wenig Beachtung finden in diesem Zusammenhang offenkundig auch die rechtlichen Aspekte beim Umgang mit Kundendaten. Spätestens seit der Einführung des Bundesdatenschutzgesetzes nämlich unter-liegt die Nutzung von Produktivdaten strengen Regeln, die auch die Weitergabe von Daten außerhalb der EU betreffen. Nicht zu übersehen sind schließlich besondere Publikations-pflichten bei Datenschutzverstößen.

2 Datenschutzkonformes Data Mining zur Pro-duktentwicklung

Wachsenden Datenschutzherausforderungen begegnen Un-ternehmen der Finanz- und Versicherungswirtschaft auch noch auf einem anderen Gebiet: Für die Entwicklung neuer, innovativer Produkte sind sie zunehmend auf Data Mining angewiesen, um aus den Kunden- und Geschäftsdaten der Data Warehouses so auf viele wertvolle neue Zusammenhän-ge zu schließen. Dabei werden für viele Auswertungen nicht alle Daten benötigt, sodass insbesondere personenbezogene Daten problemlos anonymisiert werden können, ohne die Ergebnisse beispielsweise einer Warenkorbanalyse zu beein-trächtigen. Wie also lassen sich maximaler Schutz der Daten und optimale Nutzung der Datenschätze unter einem Hut vereinen? Die Antwort der Softwareindustrie lautet Data Masking.

Data Masking nutzt Verfahren der realitätsnahen Daten-anonymisierung, um geschäftliche Daten so zu verändern, dass sie sich weiterhin für aussagekräftige Tests und Auswer-tungen eignen. Dabei werden alle Bezüge zu realen Personen oder Geschäftsentitäten verschleiert, sodass keinerlei daten-schutzrechtliches Risiko mehr besteht. Richtig eingesetzt ver-setzt Data Masking ein Unternehmen in die Lage, jederzeit Kunden- und Geschäftsdaten für Tests und Analysen weiter-zugeben.

Zwei gängige Produkte kommen beim Data Masking häu-fig zum Einsatz: Net 2000 und Oracle Data Masking. Das Grundprinzip dieser Werkzeuge ist recht einfach erklärt: Soll eine Datenbank für Testing oder Data Mining zur Verfügung

Zum ThemaSoftwareentwicklung und Kundenanalyse ohne DatenschutzrisikoWirksamer Schutz sensibler Daten durch Data Masking

Carsten Herbe

IT-Governance 10 | Oktober 2011

22 Softwareentwicklung und Kundenanalyse ohne Datenschutzrisiko

gestellt werden, anonymisiert ein solches Tool die Datenfel-der nach zuvor festgelegten Methoden derart, dass die Inhalte die gleichen Eigenschaften wie die Produktivdaten aufweisen. Selbstverständlich ließen sich solche Aufgaben auch ohne externe Produkte erledigen, doch ersparen Data-Masking- Programme mühselige Eigenentwicklung und Handarbeit.

1 So wenig wie möglich, so viel wie nötig ver-schleiern

Zunächst ist bei einem Data-Masking-Projekt einmal zu klä-ren, welche Felder maskiert werden müssen. Prinzipiell könn-ten alle Angaben maskiert werden, doch stünde der enorme Aufwand dafür in keinem Verhältnis zum Nutzen. Als grober Leitfaden gilt deshalb: So wenig wie möglich, aber so viel nö-tig. Die aus Data-Masking-Projekten gewonnene Erfahrung besagt, dass in enger Zusammenarbeit mit dem Kunden das richtige Maß gefunden werden muss.

Beim Maskieren von Feldern finden unterschiedliche Metho-den Verwendung. Wenig hilfreich wäre ein einfaches Austau-schen von Zeichenketten durch Zufallswerte, da solche Daten weder lesbar noch realistisch sind und Tests auf Plausibilität oder Format beeinträchtigen würden. Ein Beispiel dafür sind Kreditkartennummern: Checkt die Anwendung eine Kredit-kartennummer auf Gültigkeit, so muss bei der Maskierung eine plausible Zahlenkombination eingesetzt werden. Man-che Anbieter liefern hierzu eine eigene Maskierungsdaten-bank, die plausible, aber künstliche Kreditkartennummern, Adressen oder Namen zum Austauschen bereitstellt.

2 Shuffeln verwischt konkreten Personenbezug

Eine andere Möglichkeit der Verschleierung ist das Durch-mischen von Feldinhalten, das sogenannte Shuffeln. Auch so können jegliche Bezüge auf reale Personen und ihre Daten verwischt werden, jedoch ist hierbei eine gewisse Mindestan-zahl an Datensätzen erforderlich, um eine Rekonstruktion zu verhindern. Oft enthalten Datenbanken auch mehrere Felder, die zueinander in Bezug stehen. Die dabei zugrunde liegende Logik muss beim Erstellen der Maskierregeln berücksichtigt werden, damit beim Testen der Anwendung keine Fehler auf-tauchen.

Die wirksamste Verschleierungsmethode ist natürlich das Löschen von Feldinhalten. Doch auch hier ist ein planvolles Vorgehen erforderlich. Zunächst muss dabei definiert wer-den, welche Inhalte beim Testen oder Analysieren verzichtbar sind.

Wie wichtig eine gute Kenntnis bzw. Analyse über die zu maskierenden Daten ist, zeigt sich beispielsweise bei Frei-textfeldern, die potenzielle Stolperfallen bergen. So könnten Bestellformulare oder Banküberweisungen in solchen Feldern vertrauliche Informationen enthalten, die möglicherweise bei der Maskierungskonfiguration übersehen werden.

3 Fünfstufiges Vorgehensmodell

Wichtig sind daher beim Data Masking eine gründliche Pla-nung sowie eine koordinierte Vorgehensweise, bei der die IT und die zuständigen Fachbereiche eng zusammenarbeiten müssen. metafinanz hat dazu ein fünfstufiges Vorgehens modell entwickelt. Zunächst setzen sich in einem Workshop die IT, die Fachabteilung und der Datenschutzbeauftragte zusam-men und definieren Anforderungen, Datenmodell, Maskie-rungsarten sowie die geeigneten Tools. In der Konzeptphase kümmert sich die IT um die Maskierung, den Prozess und die Blueprints. Im nächsten Schritt erarbeiten beim Review alle Beteiligten gemeinsam ein Qualitätssicherungskonzept. Die Umsetzung obliegt wiederum der IT, die sich um Infra-struktur, Implementierung und Tool-Schulung kümmert. Den Schlusspunkt bildet schließlich die Qualitätssicherung, bei der die Güte der gesamten Maskierungsschritte noch einmal überprüft wird und die Abnahme durch die IT, die Fachabtei-lung und den Datenschutzbeauftragten erfolgt.

Abschließend lässt sich feststellen, dass beim Data Masking wie bei vielen Sicherheitsthemen der Grundsatz gilt: »There is no free lunch« – Sicherheit kostet Geld. Dieses ist aber beim Data Masking gut angelegt, weil beim Testing und der Datenanalyse die Kronjuwelen eines Unternehmens auf dem Spiel stehen können.

Carsten Herbemetafinanz-Informationssysteme GmbHcarsten.herbe@metafinanz.de