[05.10.2011] Beim Umgang mit sensiblen Daten verhalten sich viele Unternehmen erstaunlich leichtsinnig: Für Softwareentwicklung, Tests und Data Mining werden echte Kundendaten herausgegeben, sogar an externe Partner. Doch diese enormen Geschäfts- und Datenschutzrisiken lassen sich einfach beseitigen – durch realitätsnahe Anonymisierung mittels Data-Masking-Tools.

1. Heft 10 | Oktober 2011 | 5. Jahrgang | ISSN 1864-6557
IT-Governance Zeitschrift des ISACA Germany Chapter e.V.
Carsten Herbe
„ Grundlagen des Datenschutzes
Softwareentwicklung und
„ Beschäftigtendatenschutzgesetz
Kundenanalyse ohne Datenschutzrisiko
„ Systematisches Datenschutzmanagement
Wirksamer Schutz sensibler Daten durch Data Masking
„ Datenschutzmanagementsystem der SAP AG
Sonderausgabe für
metafinanz-Informationssysteme GmbH
dpunkt.verlag http://it-governance.dpunkt.de www.isaca.de

2. Sonderausgabe
aus:
IT-Governance
Zeitschrift des ISACA Germany Chapter e.V.
http://it-governance.dpunkt.de/
5. Jahrgang – Heft 10 – Oktober 2011
Seiten 21–22
© dpunkt.verlag GmbH
ISSN 1864-6557

3. Softwareentwicklung und Kundenanalyse ohne Datenschutzrisiko 21
Zum Thema
Softwareentwicklung und Kundenanalyse
ohne Datenschutzrisiko
Wirksamer Schutz sensibler Daten durch Data Masking
Carsten Herbe
Beim Umgang mit sensiblen Daten verhalten sich viele Unter- Symantec­ beauftragte Studie, dass rund die Hälfte aller ent-
nehmen erstaunlich leichtsinnig: Für Softwareentwicklung, lassenen Mitarbeiter Firmendaten mitgehen lassen – von
Tests und Data Mining werden echte Kundendaten heraus­ E
­ -Mails bis zu Datenbankinhalten. Wenig Beachtung finden
gegeben, sogar an externe Partner. Doch diese enormen in diesem Zusammenhang offenkundig auch die rechtlichen
G
­ eschäfts- und Datenschutzrisiken lassen sich einfach beseitigen Aspekte beim Umgang mit Kundendaten. Spätestens seit der
– durch realitätsnahe Anonymisierung mittels Data-Masking- Einführung des Bundesdatenschutzgesetzes nämlich unter-
Tools. liegt die Nutzung von Produktivdaten strengen Regeln, die
auch die Weitergabe von Daten außerhalb der EU betreffen.
Nicht zu übersehen sind schließlich besondere Publikations-
1 Einleitung pflichten bei Datenschutzverstößen.
Datenschutzskandale größeren Ausmaßes häufen sich in letz-
ter Zeit – ob es um die Kunden-CD der Telekom ging, die 2 atenschutzkonformes Data Mining zur Pro-
D
Kreditkartendaten der Citigroup oder den Angriff auf Sonys duktentwicklung
Playstation-Netzwerk: Jedes Mal müssen betroffene Unter-
nehmen mit größeren finanziellen Schäden sowie längerfris- Wachsenden Datenschutzherausforderungen begegnen Un-
tigem Reputationsverlust rechnen. Viele dieser Risiken gelten­ ternehmen der Finanz- und Versicherungswirtschaft auch
als bekannt – doch eine weitgehend unterschätzte Angriffs­ äche
fl noch auf einem anderen Gebiet: Für die Entwicklung neuer,
für illegale Datenzugriffe bieten die Bereiche Softwareent- innovativer Produkte sind sie zunehmend auf Data Mining
wicklung, Testing und Data Mining. Jede neu entwickelte angewiesen, um aus den Kunden- und Geschäftsdaten der
Geschäftsanwendung etwa erfordert vor ihrer Einführung Data Warehouses so auf viele wertvolle neue Zusammenhän-
zwangsläufig umfassende Funktionstests. Und damit diese ge zu schließen. Dabei werden für viele Auswertungen nicht
Tests unter möglichst realistischen Bedingungen ablaufen, alle Daten benötigt, sodass insbesondere personenbezogene
verwenden Entwickler und Tester dafür erstaunlich oft echte Daten problemlos anonymisiert werden können, ohne die
Kundendaten und Geschäftszahlen. So fand das Ponemon- Ergebnisse beispielsweise einer Warenkorbanalyse zu beein-
Institut bereits vor einigen Jahren in einer Studie heraus, dass trächtigen. Wie also lassen sich maximaler Schutz der Daten
drei Viertel aller deutschen Unternehmen ihre Kundendaten und optimale Nutzung der Datenschätze unter einem Hut
für Testzwecke missbrauchen. Zum Einsatz kommen dabei vereinen? Die Antwort der Softwareindustrie lautet Data
alle Arten von sensiblen Informationen wie Kunden- und Masking.
Kreditkartennummern, Angaben zur Sozialversicherung,
Zahlungsinformationen sowie Daten von Mitarbeitern und Data Masking nutzt Verfahren der realitätsnahen Daten­
Lieferanten. Meist wird dabei die Tatsache übersehen, dass anonymisierung, um geschäftliche Daten so zu verändern,
in etwa 60 % der Unternehmen die Softwareentwicklung dass sie sich weiterhin für aussagekräftige Tests und Auswer-
und die damit verbundenen Tests beim Outsourcing-Partner tungen eignen. Dabei werden alle Bezüge zu realen Personen
durchgeführt werden, wobei dieser natürlich keinerlei Risi- oder Geschäftsentitäten verschleiert, sodass keinerlei daten-
ken übernimmt – diese verbleiben nämlich generell beim Auf- schutzrechtliches Risiko mehr besteht. Richtig eingesetzt ver-
traggeber. setzt Data Masking ein Unternehmen in die Lage, jederzeit
Kunden- und Geschäftsdaten für Tests und Analysen weiter-
Doch auch intern lauern Gefahren beim laxen Umgang mit zugeben.
Produktionsdaten. So liegen Dumps von Datenbanken sehr
oft auf persönlichen Laufwerken oder eigenen Festplat- Zwei gängige Produkte kommen beim Data Masking häu-
ten und gelangen so über Laptops auch jenseits der Unter- fig zum Einsatz: Net 2000 und Oracle Data Masking. Das
nehmensgrenzen. Nicht zu unterschätzen sind schließlich Grundprinzip dieser Werkzeuge ist recht einfach erklärt: Soll
auch vorsätzliche Datendiebstähle. So ergab etwa eine von eine Datenbank für Testing oder Data Mining zur Verfügung
IT-Governance 10 | Oktober 2011

4. 22 Softwareentwicklung und Kundenanalyse ohne Datenschutzrisiko
gestellt werden, anonymisiert ein solches Tool die Datenfel- 3 Fünfstufiges Vorgehensmodell
der nach zuvor festgelegten Methoden derart, dass die Inhalte
die gleichen Eigenschaften wie die Produktivdaten aufweisen. Wichtig sind daher beim Data Masking eine gründliche Pla-
Selbstverständlich ließen sich solche Aufgaben auch ohne nung sowie eine koordinierte Vorgehensweise, bei der die IT
externe Produkte erledigen, doch ersparen Data-Masking-­ und die zuständigen Fachbereiche eng zusammenarbeiten
Programme mühselige Eigenentwicklung und Handarbeit. müssen. metafinanz hat dazu ein fünfstufiges Vorgehens­ odell
m
entwickelt. Zunächst setzen sich in einem Workshop die IT,
die Fachabteilung und der Datenschutzbeauftragte zusam-
1 o wenig wie möglich, so viel wie nötig ver-
S men und definieren Anforderungen, Datenmodell, Maskie­
schleiern rungsarten sowie die geeigneten Tools. In der Konzeptphase­
kümmert sich die IT um die Maskierung, den Prozess und
Zunächst ist bei einem Data-Masking-Projekt einmal zu klä- die Blueprints. Im nächsten Schritt erarbeiten beim Review
ren, welche Felder maskiert werden müssen. Prinzipiell könn- alle Beteiligten gemeinsam ein Qualitätssicherungskonzept.
ten alle Angaben maskiert werden, doch stünde der enorme Die Umsetzung obliegt wiederum der IT, die sich um Infra-
Aufwand dafür in keinem Verhältnis zum Nutzen. Als grober struktur, Implementierung und Tool-Schulung kümmert. Den
Leitfaden gilt deshalb: So wenig wie möglich, aber so viel nö- Schlusspunkt bildet schließlich die Qualitätssicherung, bei
tig. Die aus Data-Masking-Projekten gewonnene Erfahrung der die Güte der gesamten Maskierungsschritte noch einmal
besagt, dass in enger Zusammenarbeit mit dem Kunden das überprüft wird und die Abnahme durch die IT, die Fachabtei-
richtige Maß gefunden werden muss. lung und den Datenschutzbeauftragten erfolgt.
Beim Maskieren von Feldern finden unterschiedliche Metho- Abschließend lässt sich feststellen, dass beim Data Masking
den Verwendung. Wenig hilfreich wäre ein einfaches Austau- wie bei vielen Sicherheitsthemen der Grundsatz gilt: »There­
schen von Zeichenketten durch Zufallswerte, da solche Daten is no free lunch« – Sicherheit kostet Geld. Dieses ist aber
weder lesbar noch realistisch sind und Tests auf Plausibilität beim Data Masking gut angelegt, weil beim Testing und der
oder Format beeinträchtigen würden. Ein Beispiel dafür sind Datenanalyse die Kronjuwelen eines Unternehmens auf dem
Kreditkartennummern: Checkt die Anwendung eine Kredit- Spiel stehen können.
kartennummer auf Gültigkeit, so muss bei der Maskierung
eine plausible Zahlenkombination eingesetzt werden. Man-
che Anbieter liefern hierzu eine eigene Maskierungsdaten- Carsten Herbe
bank, die plausible, aber künstliche Kreditkartennummern, metafinanz-Informationssysteme GmbH
Adressen oder Namen zum Austauschen bereitstellt. carsten.herbe@metafinanz.de
2 Shuffeln verwischt konkreten Personenbezug
Eine andere Möglichkeit der Verschleierung ist das Durch-
mischen von Feldinhalten, das sogenannte Shuffeln. Auch so
können jegliche Bezüge auf reale Personen und ihre Daten
verwischt werden, jedoch ist hierbei eine gewisse Mindestan-
zahl an Datensätzen erforderlich, um eine Rekonstruktion zu
verhindern. Oft enthalten Datenbanken auch mehrere Felder,
die zueinander in Bezug stehen. Die dabei zugrunde liegende
Logik muss beim Erstellen der Maskierregeln berücksichtigt
werden, damit beim Testen der Anwendung keine Fehler auf-
tauchen.
Die wirksamste Verschleierungsmethode ist natürlich das
Löschen von Feldinhalten. Doch auch hier ist ein planvolles
Vorgehen erforderlich. Zunächst muss dabei definiert wer-
den, welche Inhalte beim Testen oder Analysieren verzichtbar
sind.
Wie wichtig eine gute Kenntnis bzw. Analyse über die zu
maskierenden Daten ist, zeigt sich beispielsweise bei Frei-
textfeldern, die potenzielle Stolperfallen bergen. So könnten
Bestellformulare oder Banküberweisungen in solchen Feldern
vertrauliche Informationen enthalten, die möglicherweise bei
der Maskierungskonfiguration übersehen werden.
IT-Governance 10 | Oktober 2011