Datensicherheit und Data Governance
Neues Gold ordnen
Veröffentlicht in Ausgabe 10/2022 - SCHWERPUNKT
Datensicherheit bezeichnet die Technologien für die technische Sicherheit von Daten, also beispielsweise die Verschlüsselung, den Zugriffsschutz oder Werkzeuge, um Angriffe auf Informationen beispielsweise durch SQL Injection zu vermeiden. Data Governance steht für den Bereich der Werkzeuge, die auf einen korrekten Umgang mit Daten abzielen, beispielsweise die Kontrolle über personenbezogene und andere sensitive Informationen, und das dazu gehörige Risikomanagement mit geeigneten Controls, also Mess- und Steuerinstrumenten.
Die Grundlage: Überblick über Daten
Um Datensicherheit nicht nur als Punktlösung zum Beispiel für bestimmte Datenbanken umsetzen zu können, sondern alle oder zumindest viele relevante Informationen sichern zu können, gilt es zunächst, die Grundlage zu schaffen. Es braucht ein Management der Daten, um zu wissen, welche Informationen wo liegen. Plakativ formuliert: Was man nicht kennt, kann man weder nutzen noch schützen.
Ein positiver Nebeneffekt ist, dass es dieses Wissens nicht nur für Datensicherheit bedarf, sondern auch für eine effiziente Nutzung der Daten und für die Data Governance. Konkret geht es um Metadata Management und Data Catalogs. Das Metadata Management ist dabei der funktionale Ansatz, der in Data Catalogs als einem Repository von Informationen über die verschiedenen datenhaltenden Systeme funktioniert. Auf dieser Basis lassen sich schützenswerte Daten identifizieren, aber eben auch die besten Datenquellen für eine effiziente und zielgerichtete Nutzung von Informationen.
Datensicherheit bezeichnet die Technologien für die technische Sicherheit von Daten, also beispielsweise die Verschlüsselung, den Zugriffsschutz oder Werkzeuge, um Angriffe auf Informationen beispielsweise durch SQL Injection zu vermeiden. Data Governance steht für den Bereich der Werkzeuge, die auf einen korrekten Umgang mit Daten abzielen, beispielsweise die Kontrolle über personenbezogene und andere sensitive Informationen, und das dazu gehörige Risikomanagement mit geeigneten Controls, also Mess- und Steuerinstrumenten.
Die Grundlage: Überblick über Daten
Um Datensicherheit nicht nur als Punktlösung zum Beispiel für bestimmte Datenbanken umsetzen zu können, sondern alle oder zumindest viele relevante Informationen sichern zu können, gilt es zunächst, die Grundlage zu schaffen. Es braucht ein Management der Daten, um zu wissen, welche Informationen wo liegen. Plakativ formuliert: Was man nicht kennt, kann man weder nutzen noch schützen.
Ein positiver Nebeneffekt ist, dass es dieses Wissens nicht nur für Datensicherheit bedarf, sondern auch für eine effiziente Nutzung der Daten und für die Data Governance. Konkret geht es um Metadata Management und Data Catalogs. Das Metadata Management ist dabei der funktionale Ansatz, der in Data Catalogs als einem Repository von Informationen über die verschiedenen datenhaltenden Systeme funktioniert. Auf dieser Basis lassen sich schützenswerte Daten identifizieren, aber eben auch die besten Datenquellen für eine effiziente und zielgerichtete Nutzung von Informationen.
Data Catalogs und das Metadata Management haben gerade in der Folge der DSGVO mit ihren höheren Anforderungen an den Umgang mit personenbezogenen Daten an Bedeutung gewonnen. Einige der Anbieter in diesem Markt sind mit Produkten für das Privacy Management gestartet und haben dafür dann Data Catalogs und Metadata Management als Kernkomponenten umgesetzt, um damit heute auch andere Anforderungen als "nur" Datenschutz zu bedienen.
Auf dieser Grundlage lassen sich einerseits die Kosten für die Nutzung von Daten reduzieren, wenn Nutzer gezielt auf die jeweils bestgeeigneten Quellen zugreifen. Entsprechend erhöht sich die mögliche Wertschöpfung. Auf der anderen Seite lässt sich mit besserer Data Governance und Datensicherheit die Sicherheit erhöhen respektive das Risiko im Bereich Sicherheit ebenso wie bezüglich möglicher Compliance-Verstöße reduzieren.
In einer Zeit, in der es nicht nur immer mehr Daten in immer mehr Systemen gibt, sondern auch eine immer breitere Zahl von technischen Systemen für die Datenhaltung und deren Management, sind konsolidierende Werkzeuge sowohl für den Überblick über Informationen – also eben das Metadata Management und die Data Catalogs – als auch integrierende Systeme erforderlich. Die Zeiten, als IT-Verantwortliche beim Thema Daten vor allem an relationale Datenbanken und SQL gedacht haben, sind längst vorbei. Damit und mit der massiv wachsenden Datenmenge erhöht sich aber die Komplexität im Umgang mit Informationen und damit die Anforderungen an eine umfassende Datenarchitektur.
Data Fabric: Es braucht eine Datenarchitektur
Datensicherheit und Data Governance sind damit zentrale Bestandteile einer umfassenden Datenarchitektur oder Data Fabric. Um Missverständnisse zu vermeiden: Der Begriff Datenarchitektur bezieht sich hier explizit auf die verwaltenden und nutzenden Systeme und deren Architektur und Zusammenspiel, nicht auf die Informationen selbst und deren Strukturen. Eine Datenarchitektur auf letztgenannter Ebene ist zwar für isolierte Nutzungsfälle denkbar, während organisationsweite Ansätze im Sinne eines Unternehmensdatenmodells schon vor mehr als einer Dekade gescheitert sind.
Ein solches Modell für das Datenmanagement baut auf die unterschiedlichen Quellen auf, die von traditionellen Datenbanken über Business-Anwendungen und deren datenhaltenden Systeme bis hin zu analytischen Applikationen reichen. All diese generieren ebenfalls oft wieder Informationen, die wiederum als Quelle für andere Nutzungssituationen dienen können.
Die erste integrierende Schicht ist das bereits erwähnte Metadata Management und die resultierenden Data Catalogs, die einen Überblick darüber verschaffen, welche Daten in welcher Qualität wo zu finden sind. Moderne Werkzeuge liefern aber zudem weitergehende Informationen beispielsweise zur Datenherkunft (Data Lineage) und ermöglichen die Bewertung und Zusammenarbeit für die Informationen.
Darüber findet sich die Ebene der Datenintegration und -qualität. Produkte für die Datenintegration wie beispielsweise ETL (Extract, Transform, Load) und ELT (Extract, Load, Transform) unterstützen die Integration von Informationen aus verschiedenen Quellen und die Umsetzung von Datenformaten.
Datenqualitätswerkzeuge kommen zum Einsatz, um die Qualität von Informationen zu prüfen, die Daten bedarfsweise zu ergänzen oder sie zu korrigieren. Dazu wird oft auch auf externe Quellen wie beispielsweise Adressdatenbanken zugegriffen. Master Data Management (MDM) setzt darauf auf und liefert funktions- und branchenspezifische Anwendungen für den Umgang mit Informationen wie beispielsweise Produktdaten.
Darüber finden sich dann die analytischen Anwendungen und die Funktionen für die Nutzung von Daten beispielsweise für die Ausspielung von benutzerspezifischen Inhalten in digitalen Diensten oder die Entscheidungsunterstützung.
Datensicherheit: Daten gezielt schützen
Über die gesamten Schichten einer solchen Data Fabric hinweg wirken die Funktionen der Data Governance als Gesamtthema. Ein zentrales Thema ist dabei die Datensicherheit oder Data Security, die sich in den letzten Jahren über technische Einzellösungen für die Datenbanksicherheit für klassische, relationale Data Bases hinaus entwickelt hat.
Datenbanksicherheit ist dabei weiterhin ein wichtiger Teilbereich, um Datenbanken vor Verletzungen der Integrität, der Vertraulichkeit von Informationen und der Verfügbarkeit zu schützen. Dabei geht es primär um die Sicherheitsfunktionen für die Daten selbst, die in Datenbanksystemen gespeichert und verarbeitet werden, aber auch die darunterliegende Server- und Netzwerkinfrastruktur wie auch den Zugriff auf die Informationen.
Mit den Veränderungen der Infrastrukturen und Technologien für die Verarbeitung und Speicherung von Daten, insbesondere mit cloudnativen Werkzeugen und den resultierenden hybriden Infrastrukturen aus modernen und Legacy-Ansätzen, haben sich die Anforderungen aber verändert. Zu den Kernfunktionen moderner Produkte für die Datensicherheit gehören unter anderem folgende Funktionsbereiche:
- Schwachstellenanalyse (Vulnerability Assessment), also die Identifikation von möglichen Angriffspunkten, Konfigurationsfehlern et cetera.
- Data Discovery und Klassifikation, also das Wissen über die Daten und deren Klassifikation beispielsweise bezüglich der Sensitivität, zum Beispiel personenbezogene Informationen. Werkzeuge bauen hier idealerweise auf vorhandene Infrastrukturen für das Metadata Management und Data Catalogs auf.
- Datenschutz durch Verschlüsselung, Markierung und andere Technologien sowohl bei der Speicherung als auch beim Datentransfer.
- Monitoring und Analyse, um Zugriffe auf Daten und deren Nutzung kontinuierlich zu überwachen, Anomalien zu erkennen und darauf reagieren zu können, auch in Integration mit SIEM-Tools (Security Information and Event Management).
- Schutz vor Angriffen (Threat Prevention) gegen gezielte Angriffe wie beispielsweise SQL Injection.
- Zugriffsmanagement, beispielsweise durch den gezielten Schutz von privilegierten Benutzerkonten und dynamische, richtliniengesteuerte Zugriffskontrolle. Diese Funktionen werden oft auch von spezialisierten Anwendungen übernommen.
- Audit- und Compliance-Reporting, also automatisch und ad hoc generierte Reports und Dashboards für einen Überblick über den aktuellen Status der Sicherheit.
Derartige Werkzeuge sind ein elementarer Baustein einer modernen, sicheren Data Fabric und müssen auf die Unterstützung komplexer, hybrider Umgebungen und multipler Cloud-Plattformen ausgelegt sein.
Data Governance: Mehr als nur Datenschutz
Wie schon erwähnt, ist Data Governance am sinnvollsten als Oberbegriff über verschiedene Funktionen des Schutzes und der Kontrolle von Daten und der Nutzung definiert. Neben der Datensicherheit gibt es noch zwei wichtige Funktionsbereiche:
- Privacy Management für den Umgang mit Informationen, die unter den Wirkungsbereich der DSGVO fallen. Dabei geht es, wie beim gesamten Thema des Datenmanagements, längst nicht mehr nur um strukturierte, sondern ebenso um unstrukturierte Daten, die es zu analysieren, verwalten und zu schützen gilt.
- Data Governance & Risk als der Teilbereich, bei dem sich alles um konkrete Mess- und Steuerungsfunktionen dreht, mit denen sich die Einhaltung von definierten Regeln für den Umgang mit Daten überwachen und verbessern lassen. Dazu zählen einerseits die Regulierungen im Bereich des Datenschutzes wie die DSGVO, aber auch andere Vorgaben zum Umgang mit sensitiven Informationen ebenso wie interne Regeln für den Umgang und Schutz von besonders kritischen und wertvollen Daten. Solche Werkzeuge sind typischerweise mit IT-GRC-Produkten verzahnt, um Daten in das übergeordnete Risikomanagement zu liefern.
Eine gute Strategie für Data Governance baut immer auf einer Integration der spezifischen Funktionen mit Datensicherheit, aber auch dem darunter liegenden Metadata Management und den Data Catalogs auf.
Weg vom Wildwuchs: Flexibilität und Koordination
Die vielleicht größte Herausforderung bei der Umsetzung einer Data Fabric ebenso wie bei Teilbereichen wie dem Metadata Management oder der Data Governance ist, dass überall in Organisationen mit Daten gearbeitet wird. Es gibt vielfältige Nutzungsbereiche und etliche Beteiligte. Das macht es schwierig, einen Wildwuchs an Initiativen und technischen Ansätzen zu vermeiden.
Gerade hier helfen aber durchdachte, umfassende Ansätze wie eine Architektur mit zugehörigen Betriebsmodellen (TOM, Target Operating Models) für die Data Fabric sowie serviceorientierte Ansätze für die Bereitstellung der technischen Umsetzung. Die Erfahrung zeigt, dass die wenigsten Bereiche in Unternehmen eigene Werkzeuge umsetzen wollen, wenn sie auf einen funktional guten Service mit einem geeigneten Betriebsmodell zurückgreifen können. Anders formuliert: Mit der Data Fabric als internem Service hat ein Unternehmen, richtig umgesetzt, eine gute Chance, einen erheblichen Teil des Wildwuchses einzudämmen.
Wichtig ist dabei die Kommunikation, sodass die verschiedenen Bereiche im Unternehmen wissen, welche Dienste zur Verfügung stehen. Das ist in diesem Sektor auch deshalb komplexer, weil die Nutzer und involvierten Bereiche sowohl aus der IT als auch aus dem Business kommen. Deshalb ist neben dem technischen Dienst eine beratende Unterstützung erforderlich. Die heutigen Tools im breiteren Umfeld des Datenmanagements unterstützen vielfach aber Funktionen für die Zusammenarbeit, für die Bewertung von Daten bezüglich ihrer Nutzbarkeit und für die Zusammenarbeit zwischen Anwendern, Data Stewards und den administrativen und technischen Nutzern.
Fazit
Daten sind wichtig und sie werden immer wichtiger. Unternehmen müssen deshalb wegkommen von isolierten, unvollständigen Werkzeugen, weil diese hohe Kosten verursachen, weil sie wichtige Anforderungen beispielsweise im Bereich der Datensicherheit und Data Governance oft nicht oder nur unvollständig abdecken und weil es zu lange dauert, immer wieder neue Punktlösungen einzuführen. Gleichzeitig gilt es aber auch, die durchaus unterschiedlichen Anforderungen von Beteiligten aus dem Business, der IT-Sicherheit, dem Datenschutz und vielen anderen Bereichen zu bedienen.
Um mit Daten effizient und effektiv umzugehen, braucht es deshalb eine Strategie, bei der eine Gesamtsicht auf die erforderlichen Elemente wie eine Data Fabric eine zentrale Rolle einnimmt. Mit einzelnen Ansätzen im Bereich der Analyse ist es nicht getan. Sowohl das Fundament mit Metadata Management und Data Catalogs als auch die Querschnittsfunktionen der Data Governance und Datensicherheit müssen IT-Verantwortliche richtig umsetzen, um optimal mit Daten arbeiten zu können und den gewünschten Mehrwert zu erzeugen.
(ln)