Data-Discovery- und Data-Leakage-Prevention-Tools

Datenschutz mit Programm

Reimar Karlsburger, Mark Sobol

Die DSGVO verpflichtet Unternehmen, Kunden auf Verlangen Auskunft über ihre gespeicherten Daten und deren Verbleib zu geben. Das kann ohne Data-Discovery-Werkzeuge und Data Leakage Prevention zur Sisyphusarbeit ausarten.

EU-DSGVO – sechs Essentials

Wer wissen will, wie Software Unternehmen bei der Umsetzung der EU-DSGVO unterstützen kann, muss einen Blick in die Verordnung werfen. In den elf Kapiteln, 99 Artikeln und unzähligen Absätzen steht, welche Vorgaben Unternehmen erfüllen müssen.

Informationspflicht: Betroffene Personen müssen laut Artikel 13 und 14 darüber aufgeklärt werden, welche Daten von ihnen gespeichert werden und warum. Nach Artikel 15 können sie dazu jederzeit Auskunft verlangen. Data-Discovery-Tools unterstützen Unternehmen dabei. Sie zeigen, wo personenbezogene Daten verarbeitet werden, und mithilfe einer DLP-Software auch, wohin diese übertragen werden.

Recht auf Berichtigung: Nach Artikel 16 haben Personen das Recht, dass falsche Daten korrigiert werden. Ein Data-Discovery-Tool hilft, relevante Datensätze zu finden, um Änderungswünsche auf alle Datensätze einer Person anzuwenden. Ändert sich zum Beispiel durch Heirat der Name, wird dies nicht nur bei Rechnungen, sondern auch bei Anschreiben oder Lieferungen berücksichtigt.

Recht auf Löschung: Für die Löschung oder Sperrung personenbezogener Daten nach den Artikeln 17, 18 und 21 ist eine Data-Discovery-Software mehr als sinnvoll. Verantwortliche können damit sicherstellen, dass personenbezogene Daten in strukturierten und unstrukturierten Datenspeichern gefunden werden und das Löschen oder Sperren eingeleitet wird. Sie können auch prüfen, ob die Daten tatsächlich gelöscht oder gesperrt wurden. Wichtig ist dies besonders bei Kündigungen. Erhält ein ehemaliger Kunde nach Widerruf der Datennutzung Werbung, kann er klagen.

Meldung an Aufsichtsbehörde: Personenbezogene Daten dürfen nur über definierte Schnittstellen übertragen werden. Kommt es trotz aller Vorsichtsmaßnahmen zu einem Datenschutzverstoß, muss dieser laut Artikel 33 zeitnah gemeldet werden. Mit DLP-Tools können Unternehmen einfache Verstöße erkennen oder verhindern. Die Tools schlagen Alarm oder blockieren die Übertragung, sobald sie verdächtige Vorgänge oder Daten entdecken.

Folgenabschätzung: Artikel 35 gibt vor, dass Verantwortliche abschätzen müssen, welche Folgen geplante Verarbeitungsvorgänge für den Schutz der Daten haben. Damit das möglich ist, müssen personenbezogene Daten erkannt und als solche klassifiziert werden. Das ist der Hauptzweck von Data-Discovery-Tools. Kommen sie zum Einsatz, lässt sich die Folgenabschätzung einfacher umsetzen.

Grundsätze der Datenübermittlung: Die allgemeinen Grundsätze der Datenübermittlung nach Artikel 44 setzen lediglich DLP-Tools um, nicht aber Data-Discovery-Werkzeuge. Eine vorherige Klassifizierung und Identifizierung der Daten ist jedoch unumgänglich. Fehlt diese, kann die Kommunikation mit Dritten nicht gezielt nach personenbezogenen Daten durchsucht werden. Es kann auch nicht geprüft werden, ob diese Übertragungen autorisiert sind.

Seit dem 25. Mai 2018 dürfen Kunden Unternehmen offiziell foltern. Dieses Gefühl dürften zumindest viele IT-Verantwortliche und Datenschutzbeauftragte haben, die für die Umsetzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) verantwortlich sind.

Die Folterinstrumente tragen Namen wie Informationspflicht und Auskunftsrecht. Greifen Kunden zu den Werkzeugen, müssen Unternehmen ihnen mitteilen, ob und wie sie personenbezogene Daten von ihnen verarbeiten. Einfache Frage, komplizierte Antworten: Das Aufspüren personenbezogener Daten gleicht der Suche nach einer Nadel im Heuhaufen. Oder genauer: der Suche nach hundert Nadeln in hundert Heuhaufen. Namen, Adressen, Kontonummern, IP-Adressen, Kontostände, Rechnungen und Fotos verstecken sich in E-Mails, Datenbanken, Protokolldateien, Programmen, Backups und an vielen anderen Stellen.

Was ist DLP?

Data-Leakage-Prevention-Tools (auch Data Loss Prevention genannt, kurz DLP) helfen in erster Linie dabei, den unautorisierten Abfluss von Daten zu verhindern. Dabei werden sie in der Regel am Perimeter, auf dem Endpoint oder an der Schnittstelle zu Cloud-Diensten eingesetzt. Data-Discovery-Werkzeuge klassifizieren Daten im Hinblick auf den anzuwendenden Schutzstatus und lokalisieren deren Speicherorte. Präventive Funktionen stehen bei ihnen nicht im Fokus, sind aber möglich, zum Beispiel in Kombination mit anderen IT-Security-Produkten wie Verschlüsselungsprogrammen.

DLP-Anbieter sind schon länger am Markt. Sie entwickelten die ersten Produkte vor etwa zehn Jahren. Der ursprüngliche Fokus lag vor allem darauf, das Abfließen vertraulicher Informationen zu verhindern. Mit Inkrafttreten der EU-DSGVO erleben DLP-Anbieter eine unerwartet steigende Nachfrage. Hersteller von Data-Discovery- und DLP-Produkten versprechen, dass sie mit ihren Produkten Speicherorte von personenbezogenen Daten finden und Transportpfade aufzeichnen. Doch Funktionen und Einsatzbereiche der Angebote unterscheiden sich deutlich.

Softwarehäuser haben das Problem erkannt und bieten Werkzeuge zur Data Leakage Prevention (DLP) und zum Data Discovery an.

Strukturierte oder nicht strukturierte Daten?

Alle im Folgenden vorgestellten Produkte unterstützen Unternehmen bei der Umsetzung der EU-DSGVO, manche mehr, manche weniger. Welche Software sich am besten eignet, hängt stark von der Situation im Unternehmen ab und von den Anwendungen, die personenbezogene Daten verarbeiten oder speichern. Ein zentraler Aspekt dabei ist, ob personenbezogene Daten eher in strukturierten Quellen wie Datenbanken, Verzeichnisdiensten und ERP-Systemen oder eher in unstrukturierten Quellen wie E-Mails, SharePoint oder Server-Filesystemen gespeichert sind.

Das klären im Detail folgende Fragen, bezogen auf das ins Auge gefasste Tool:

– Kann die Software relationale Datenbanken wie Oracle, MySQL, MSSQL und PostgresSQL durchsuchen?

– Können auch Verzeichnisdienste als Datenquelle durchsucht werden?

– Ermöglicht das Produkt eine Anbindung der ERP-Systeme etwa von SAP, Microsoft oder Oracle?

– Kann die Software Logfiles nach Informationen wie IP-Adressen, Nutzer-IDs und Positionsdaten durchsuchen?

– Ist das Produkt in der Lage, Daten in Groupware wie in Microsoft-Exchange- oder IBM-Notes-Konten zu identifizieren und zu kategorisieren? Hierbei kommt es darauf an, ob lediglich E-Mails durchsucht werden müssen oder auch Kontakte und Kalender. Gegebenenfalls sollten auch IMAP-Postfächer sowie CalDav-Kalender und CardDav-Kontakte angebunden werden können.

– Verfügt das Produkt über die Möglichkeit, Inhalte aus Confluence, SharePoint oder anderen Collaboration-Werkzeugen zu verarbeiten?

– Kann das Produkt mit allen gängigen Linux- und Windows-Dateisystemen umgehen? Werden personenbezogene Daten nicht in Fileshares oder Datenbanken abgelegt, sondern als Datei auf dem nativen Dateisystem des Servers, kann es notwendig sein, diese ebenfalls zu durchsuchen. Beispiele dafür wären der Upload eines PDFs oder Bildes in einer Webapplikation.

– Ist das Produkt in der Lage, mit Cloud-Diensten wie Microsoft Azure, Amazon Web Services (AWS) oder Google Cloud zu kommunizieren?

– Besteht die Möglichkeit, auf verschlüsselte Daten zuzugreifen oder verschlüsselten Datenverkehr auszuwerten? Schwierig ist dabei der fehlende Zugriff auf das Schlüsselmaterial. Um diesen Punkt umzusetzen, muss der Anwender eine zentrale Schlüsselverwaltung einsetzen, auf die die Data-Discovery- oder DLP-Lösung zugreifen kann. Alternativ muss er einen Master- beziehungsweise Recovery-Key bereitstellen.

– Kann das Tool nicht nur herausfinden, ob personenbezogene Daten auf zentralen Dateiservern liegen, sondern die Dateien auch auf einzelne Datensätze hin durchsuchen?

– Ist es möglich, personenbezogene Daten während der Übertragung im eigenen Netzwerk und an Netzwerkübergängen zu öffentlichen Netzwerken (Internet) zu erkennen?

Sprachaufzeichnungen nicht vergessen

Einige Unternehmen speichern Daten, die sich aus technischen Gründen nur schwer analysieren lassen. So ist es beispielsweise für Callcenter wichtig, dass sie personenbezogene Daten in Sprachaufzeichnungen und Textnachrichten aufspüren können. Das gilt auch für Unternehmen, die Kundengespräche aufzeichnen oder bei denen Mitarbeiter Kunden in einem Chat helfen.

Personenbezogene Daten in eingescannten Dokumenten, egal ob hand- oder maschinengeschrieben, sind noch ein Randthema, gewinnen aber an Bedeutung. Trotzdem beherrschen erstaunlich viele der untersuchten DLP- und Forensik-Produkte dies schon heute.