[07.12.2011] Geschützte Kundendaten – sogar bei Tests und Data-Mining. Viele Unternehmen übersehen, dass bei Softwaretests und beim Data-Mining oft sensible Kundendaten zum Einsatz kommen – sogar bei Outsourcingpartnern. Mit Data-Masking-Tools lassen sich diese Geschäfts- und Datenschutzrisiken einfach beseitigen.

1. 24 VERSICHERUNGS-IT
Analyse ohne Datenschutzrisiko
Geschützte Kundendaten – sogar bei Tests und Data-Mining. Viele Unternehmen übersehen,
dass bei Softwaretests und beim Data-Mining oft sensible Kundendaten zum Einsatz kommen – sogar
bei Outsourcingpartnern. Mit Data-Masking-Tools lassen sich diese Geschäfts- und Datenschutzrisiken
einfach beseitigen.
Datenschutzskandale wie etwa die Softwaretest sind vor der Einführung neuer Ge- Keine Geschäftsinnovationen
Veröffentlichung der Telekom-Kunden-CD oder schäftsanwendungen zwingend erforderlich. ohne Datenanalyse
der Kreditkartendaten der Citigroup stellen für Und am zuverlässigsten lassen sie sich mit echten
Großkonzerne ein enormes Risiko dar. Die po- Kundendaten und Geschäftszahlen durchführen. Unternehmen, insbesondere in der Finanz- und
tenziellen Schäden reichen hier von Entschädi- Tatsächlich erhalten die Tester solche Echtdaten Versicherungswirtschaft, befinden sich vor die-
gungen über Strafzahlungen bis zu Reputati- erstaunlich oft von der IT. So missbrauchen laut sem Hintergrund in einem Dilemma: Einerseits
onsverlusten. Während die meisten Daten- einer Ponemon-Studie drei Viertel aller deutschen müssen sie sorgfältiger als andere Branchen mit
schutzrisiken als allgemein bekannt gelten, exis- Unternehmen ihre echten Kundendaten für Test- ihren Geschäftsdaten umgehen, da die Risiken
tieren bis heute in vielen Unternehmen unter- zwecke – von Kunden- und Kreditkartennum- in diesem Business ungleich höher sind als in
schätzte Angriffsflächen. So gilt etwa als weitge- mern über Angaben zur Sozialversicherung bis zu anderen Märkten. Auf der anderen Seite lebt die-
hend unbekannt, dass beim Softwaretesting und Mitarbeitern und Lieferantendaten. 60 Prozent se Branche von permanenten Softwareinnova-
Data-Mining überwiegend ungeschützte Unter- dieser Tests werden sogar von Outsourcingpart- tionen. Gerade Data-Mining verspricht wach-
nehmensdaten zum Einsatz kommen. nern durchgeführt, die selbst kein Risiko tragen. sende Geschäftspotenziale, weil sich damit stän-
dig neue Erkenntnisse aus Kunden- und Ge-
schäftsdaten gewinnen lassen. Daher gilt es, den
Data-Masking: Die wichtigsten Techniken Spagat zu meistern zwischen maximalem
Schutz der Daten auf der einen und optimaler
Ǟ Ersetzen Ausnutzung der Datenressourcen auf der ande-
Eine gängige Technik beim Data-Masking ist das Ersetzen von Tabelleninhalten ren Seite.
durch ähnliche Daten, die völlig ohne Bezug zu den Ursprungsdaten stehen. Die Antwort der Softwareindustrie darauf lautet
Ǟ Vermischen Data Masking. Hierbei kommen Verfahren der
Vermischen (Shuffling) ähnelt dem Ersetzen, jedoch kommen hier die Ersatzda- Datenverschleierung zum Einsatz, bei denen
ten aus derselben Tabellenspalte. geschäftliche Daten so unkenntlich gemacht
Ǟ Zahlen- und Datenstreuung werden, dass sie sich weiterhin für realistische
Beim der Zahlenstreuung modifiziert ein Algorithmus jede Zahl oder jeden Tests und Auswertungen eignen. Bei der Mas-
Datumswert um einen festgelegten Prozentsatz, um die Werte realitätsnah zu kierung werden alle Bezüge zu realen Personen
Sergey Ilin - Fotolia.com
halten. oder Geschäftsentitäten zuverlässig entfernt, so
Ǟ Verschlüsselung dass keinerlei datenschutzrechtliches Risiko
Verschlüsseln von Tabelleninhalten ermöglicht eine originalgetreue Weitergabe mehr besteht.
der Daten. Richtig eingesetzt, versetzt Data-Masking also
ein Unternehmen in die Lage, jederzeit risikolos
versicherungsbetriebe 4 2011

2. VERSICHERUNGS-IT 25
Kunden- und Geschäftsdaten für Tests und Ana-
lysen weiterzugeben – ob an interne Mitarbeiter Beispiel: Daten unkenntlich machen
oder externe Partner.
Vorgehensmodell in fünf Stufen
Data-Masking erfordert eine gründliche Pla-
nung sowie eine koordinierte Vorgehensweise,
bei der die IT und die zuständigen Fachbereiche
eng zusammenarbeiten müssen. metafinanz
hat dazu ein fünfstufiges Vorgehensmodell ent-
wickelt. Zunächst definieren in einem Work-
shop IT, Fachabteilung und Datenschutzbeauf-
tragte die Anforderungen, Datenmodell, Mas-
kierungsarten sowie die Tools. In der Konzept-
phase kümmert sich die IT um die Maskierung
und den Prozess. Beim folgenden Review ent-
steht ein Qualitätssicherungskonzept, dessen
Umsetzung wiederum der IT obliegt. Den
Schlusspunkt bildet schließlich die Qualitätssi-
cherung, die die Güte der Maskierungsschritte
überprüft. Die Abnahme erfolgt durch die IT,
die Fachabteilung und den Datenschutzbeauf-
tragten.
Generell gilt beim Data-Masking der bekannte
Security-Grundsatz „There is no free lunch“. Si-
cherheit kostet Geld, doch gerade hier ist es gut
angelegt, weil beim Testing und der Datenana-
lyse die Kronjuwelen eines Unternehmens auf
dem Spiel stehen können. ½
Autor: Carsten Herbe, Project Manager Busi-
ness Intelligence, metafinanz Informations-
systeme
4 2011 versicherungsbetriebe