Datenschutztools funktionieren praktisch ohne Kontext darüber, wessen Daten sie angeblich schützen. Entdeckung Der Schutz sensibler, vertraulicher und regulierter Daten steht seit zehn Jahren ganz oben auf der To-do-Liste fast aller CISOs. Als Reaktion darauf hat die IT-Sicherheitsbranche eine Reihe von Lösungen entwickelt, die das Aufspüren und Klassifizieren von Informationen erleichtern und so deren Schutz verbessern. Diese Lösungen kämpften jedoch mit einem hartnäckigen Problem: Datenschutz-Tools funktionieren praktisch ohne Kontext darüber, wessen Daten sie eigentlich schützen sollen.
Der Schutz persönlicher und privater Daten wird immer wichtiger: Bekanntwerden von Datenschutzverletzungen ist fast an der Tagesordnung, und immer mehr Datenschutzbestimmungen und -vorschriften betonen die Verpflichtung von Unternehmen, ihre Kunden- und Nutzerdaten zu schützen. Weitere Bestimmungen fordern von Unternehmen angemessene Kontrollmechanismen sowie Reaktions- und Benachrichtigungsprozesse für betroffene Nutzer und Kunden, die von der Offenlegung ihrer privaten Daten betroffen sind.
Da Datenschutzbedenken sowohl für Verbraucher als auch für Unternehmen, die neue Compliance-Anforderungen erfüllen müssen, mittlerweile von größter Bedeutung sind, stellt sich für viele die Frage: Wie kann ich die Privatsphäre meiner Kunden schützen, wenn ich nichts über die Daten weiß, die ich schütze?
Die IT-Umgebung hat sich weiterentwickelt und legt einen stärkeren Fokus auf den Datenschutz, doch die Datenschutz-Tools müssen sich diesem Wandel noch anpassen. IT-Sicherheitslösungen konzentrieren sich darauf, Informationen zu schützen und deren Verschlüsselung sicherzustellen, sofern kein autorisierter Zugriff erfolgt. Firewalls an der Peripherie, Agenten auf dem Server, Gateways vor dem Server, IPS, AV, DLP, IPS, SIEM, EDR, UEBA, PIM, IAM, SSO – die Liste ist endlos. Dennoch bleibt eine grundlegende Frage unbeantwortet: Wessen Daten gehören und welche Relevanz haben sie – handelt es sich um die Sozialversicherungsnummer eines Kunden? Eines Mitarbeiters? Einer beliebigen Person? Eines Kindes? Eines Ausländers?
Im heutigen Datenschutz fehlt ein Schlüsselelement: die Kenntnis der Identität der Daten – oder wer die „betroffene Person“ ist, wie Datenschutzexperten und -vorschriften es nennen. Warum ist die Kenntnis der Identität der Daten hilfreich? Hier sind fünf kurze Gründe:
1. Verbesserte Genauigkeit
Die meisten Datenschutztools verwenden heutzutage reguläre Ausdrücke, um persönliche und sensible Informationen wie Sozialversicherungsnummern oder Kreditkartennummern zu identifizieren. Das Problem ist, dass eine scheinbare Sozialversicherungsnummer nicht immer eine ist. Es kann sich beispielsweise um eine neunstellige Telefonnummer mit Bindestrichen handeln. Wenn Sie jedoch wissen, dass die Sozialversicherungsnummer einem Ihrer Kunden oder Mitarbeiter gehört, wissen Sie, dass es sich um eine echte Sozialversicherungsnummer handelt.
2. Identitätskontext definiert Sensibilität
Personenbezogene Daten (PII) gelten nur im Kontext eines bestimmten Benutzers als sensibel. Persönliche Informationen wie Geschlecht, Religion, Alter, Laufstrecken, Einkaufsvorlieben, Wohnadresse … all diese sind nur dann sensibel, wenn sie einer bestimmten Person zugeordnet werden können. Aktuelle Datenschutztools können nicht analysieren, ob eine Datei oder ein Datensatz mit Informationen zu Geschlecht, Größe und Gewicht einer Person Attribute eines bestimmten Kunden sind. Es gibt keinen regulären Ausdruck oder maschinellen Lernalgorithmus, der dies sagen kann, ohne zu wissen, wessen Daten es sind. Dafür ist die Identität der Daten erforderlich.
3. Reaktionsplan bei Verstößen
Sie müssen davon ausgehen, dass Ihr System gehackt wird. Deshalb verlangen 25 US-Bundesstaaten und die bevorstehende DSGVO, dass Sie einen Plan zur Reaktion auf Sicherheitsverletzungen haben und Ihre Kunden im Falle einer Sicherheitsverletzung innerhalb von 72 Stunden benachrichtigen können. Wenn Sie nicht alle Ihre Kunden benachrichtigen möchten, wenn Sie eine Sicherheitsverletzung in einem Rechenzentrum oder einer Datenbank feststellen, müssen Sie wissen, welche Kundendaten wo gespeichert sind. Wenn Sie einen Datendump gehackter persönlicher Daten erhalten und wissen möchten, welche Ihrer Kunden betroffen sind, um sie zu benachrichtigen oder sie zumindest zum Zurücksetzen ihrer Passwörter aufzufordern, müssen Sie in der Lage sein, diesen Datendump mit den Daten Ihrer Kunden zu korrelieren. Dies erfordert wiederum die Kenntnis der Identität der Daten.
4. Wahrung der Rechte der betroffenen Person
Während der Begriff „Betroffenenrechte“ typischerweise mit der EU-Datenschutz-Grundverordnung (DSGVO) in Verbindung gebracht wird, ist das Prinzip des Verbrauchereigentums an seinen Daten in den USA durch verschiedene bestehende Verordnungen wie HIPAA breit verankert und wird in neuen Regeln der FTC und FCC zunehmend betont. Betroffenenrechte beziehen sich auf eine Reihe von Rechten, die Einzelpersonen in Bezug auf ihre personenbezogenen Daten und Einschränkungen hinsichtlich der Erhebung und Verarbeitung dieser Daten durch Dienstanbieter, Behörden und andere Stellen haben. Dazu gehört das Recht zu erfahren, welche Daten über Sie gespeichert sind, das Recht auf Datenzugriff sowie das Recht auf Löschung oder Änderung der Daten. Die Nichteinhaltung und Nichtgeltendmachung dieser Rechte kann empfindliche Strafen nach sich ziehen – bis zu 41TP3B des weltweiten Umsatzes gemäß DSGVO. Damit eine Organisation diese Rechte erfüllen kann, muss sie wissen, wo die Daten jeder einzelnen Person gespeichert sind. Die Wahrnehmung der Betroffenenrechte setzt die Kenntnis der Identität der Daten voraus.
5. Datenresidenz und -hoheit bestimmen
Die Anwendbarkeit vieler Datenschutzbestimmungen hängt vom Wohnsitz der betroffenen Personen ab. Insbesondere die DSGVO ist abhängig vom Wohnsitz der betroffenen Person in der EU, mittlerweile aber auch in Russland, China und anderen Ländern. Das bedeutet: Wenn Sie Daten von Einwohnern dieser Länder verarbeiten, unterliegen Sie deren Datenschutzbestimmungen. Wie können Sie herausfinden, welche Datensysteme welche Daten enthalten? Auch hier müssen Sie die Identität der Daten kennen.
Bestehende Datenschutz-Tools müssen sich an diese neuen Anforderungen anpassen, um den Datenschutzanforderungen gerecht zu werden. In der Praxis erfordert dies die Erstellung eines Dateninventars der personenbezogenen Daten Ihrer Kunden, das den Speicherort der einzelnen Daten angibt. Die gute Nachricht: Ein solches Inventar verbessert nicht nur Datenschutz und Sicherheit, sondern kann Ihnen auch dabei helfen, damit Geld zu verdienen.
Bestehende Datenschutz-Tools müssen sich an diese neuen Anforderungen anpassen, um den Datenschutzanforderungen gerecht zu werden. In der Praxis erfordert dies die Erstellung eines Dateninventars der personenbezogenen Daten Ihrer Kunden, das den Speicherort der einzelnen Daten angibt. Die gute Nachricht: Ein solches Inventar verbessert nicht nur Datenschutz und Sicherheit, sondern kann Ihnen auch dabei helfen, damit Geld zu verdienen.
Autor
