iX 9/2018
S. 38
Titel
DSGVO I
Aufmacherbild

Data-Discovery- und Data-Leakage-Prevention-Tools

Datenschutz mit Programm

Die DSGVO verpflichtet Unternehmen, Kunden auf Verlangen Auskunft über ihre gespeicherten Daten und deren Verbleib zu geben. Das kann ohne Data-Discovery-Werkzeuge und Data Leakage Prevention zur Sisyphusarbeit ausarten.

Seit dem 25. Mai 2018 dürfen Kunden Unternehmen offiziell foltern. Dieses Gefühl dürften zumindest viele IT-Verantwortliche und Datenschutzbeauftragte haben, die für die Umsetzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) verantwortlich sind.

Die Folterinstrumente tragen Namen wie Informationspflicht und Auskunftsrecht. Greifen Kunden zu den Werkzeugen, müssen Unternehmen ihnen mitteilen, ob und wie sie personenbezogene Daten von ihnen verarbeiten. Einfache Frage, komplizierte Antworten: Das Aufspüren personenbezogener Daten gleicht der Suche nach einer Nadel im Heuhaufen. Oder genauer: der Suche nach hundert Nadeln in hundert Heuhaufen. Namen, Adressen, Kontonummern, IP-Adressen, Kontostände, Rechnungen und Fotos verstecken sich in E-Mails, Datenbanken, Protokolldateien, Programmen, Backups und an vielen anderen Stellen.

Softwarehäuser haben das Problem erkannt und bieten Werkzeuge zur Data Leakage Prevention (DLP) und zum Data Discovery an.

Strukturierte oder nicht strukturierte Daten?

Alle im Folgenden vorgestellten Produkte unterstützen Unternehmen bei der Umsetzung der EU-DSGVO, manche mehr, manche weniger. Welche Software sich am besten eignet, hängt stark von der Situation im Unternehmen ab und von den Anwendungen, die personenbezogene Daten verarbeiten oder speichern. Ein zentraler Aspekt dabei ist, ob personenbezogene Daten eher in strukturierten Quellen wie Datenbanken, Verzeichnisdiensten und ERP-Systemen oder eher in unstrukturierten Quellen wie E-Mails, SharePoint oder Server-Filesystemen gespeichert sind.

Das klären im Detail folgende Fragen, bezogen auf das ins Auge gefasste Tool:

 Kann die Software relationale Datenbanken wie Oracle, MySQL, MSSQL und PostgresSQL durchsuchen?

 Können auch Verzeichnisdienste als Datenquelle durchsucht werden?

 Ermöglicht das Produkt eine Anbindung der ERP-Systeme etwa von SAP, Microsoft oder Oracle?

 Kann die Software Logfiles nach Informationen wie IP-Adressen, Nutzer-IDs und Positionsdaten durchsuchen?

 Ist das Produkt in der Lage, Daten in Groupware wie in Microsoft-Exchange- oder IBM-Notes-Konten zu identifizieren und zu kategorisieren? Hierbei kommt es darauf an, ob lediglich E-Mails durchsucht werden müssen oder auch Kontakte und Kalender. Gegebenenfalls sollten auch IMAP-Postfächer sowie CalDav-Kalender und CardDav-Kontakte angebunden werden können.

 Verfügt das Produkt über die Möglichkeit, Inhalte aus Confluence, SharePoint oder anderen Collaboration-Werkzeugen zu verarbeiten?

 Kann das Produkt mit allen gängigen Linux- und Windows-Dateisystemen umgehen? Werden personenbezogene Daten nicht in Fileshares oder Datenbanken abgelegt, sondern als Datei auf dem nativen Dateisystem des Servers, kann es notwendig sein, diese ebenfalls zu durchsuchen. Beispiele dafür wären der Upload eines PDFs oder Bildes in einer Webapplikation.

 Ist das Produkt in der Lage, mit Cloud-Diensten wie Microsoft Azure, Amazon Web Services (AWS) oder Google Cloud zu kommunizieren?

 Besteht die Möglichkeit, auf verschlüsselte Daten zuzugreifen oder verschlüsselten Datenverkehr auszuwerten? Schwierig ist dabei der fehlende Zugriff auf das Schlüsselmaterial. Um diesen Punkt umzusetzen, muss der Anwender eine zentrale Schlüsselverwaltung einsetzen, auf die die Data-Discovery- oder DLP-Lösung zugreifen kann. Alternativ muss er einen Master- beziehungsweise Recovery-Key bereitstellen.

 Kann das Tool nicht nur herausfinden, ob personenbezogene Daten auf zentralen Dateiservern liegen, sondern die Dateien auch auf einzelne Datensätze hin durchsuchen?

 Ist es möglich, personenbezogene Daten während der Übertragung im eigenen Netzwerk und an Netzwerkübergängen zu öffentlichen Netzwerken (Internet) zu erkennen?

Sprachaufzeichnungen nicht vergessen

Einige Unternehmen speichern Daten, die sich aus technischen Gründen nur schwer analysieren lassen. So ist es beispielsweise für Callcenter wichtig, dass sie personenbezogene Daten in Sprachaufzeichnungen und Textnachrichten aufspüren können. Das gilt auch für Unternehmen, die Kundengespräche aufzeichnen oder bei denen Mitarbeiter Kunden in einem Chat helfen.

Personenbezogene Daten in eingescannten Dokumenten, egal ob hand- oder maschinengeschrieben, sind noch ein Randthema, gewinnen aber an Bedeutung. Trotzdem beherrschen erstaunlich viele der untersuchten DLP- und Forensik-Produkte dies schon heute.

Kommentieren