Gerade in Zeiten zunehmender unstrukturierter Daten kommt dem Datenschutz dieser Datengattung ein ganz besonderes Augenmerk zu. Wie man sich als Unternehmen sicher sein kann, mit den unstrukturierten Daten DSGVO-konform umzugehen, hat mir Christoph Spitzer von der Firma Varonis Systems in diesem Video erklärt.
Unstrukturiert, strukturiert, semi-strukturiert: Das sind die Unterschiede
Für das bessere Verständnis von der Bedeutung unstrukturierter Daten im Kontext Datenschutz und Datensicherheit sollte man die Unterschiede von strukturierten, unstrukturierten und semi-strukturierten Daten kennen.
Strukturierte Daten: Alles, was z.B. in Datenbanken abgelegt werden kann, also Personendaten, Bilder, etc. Das führt dazu, dass man über diesen Datentyp sehr viel weiß und auch genau bestimmen kann, wie Anwender auf diese Daten zugreifen, diese löschen können, und so fort.
Unstrukturierte Daten: Dieser Datentyp verhält sich entgegengesetzt zu den strukturierten Daten, da diese nur schwer kontrollier- und verwertbar sind. Das kann eine komplette Dateiablagen sein, die Inhalte eines Multimediaserver (Musik- und Videodateien) und ähnliche Dinge. Dazu gehören aber auch Lebensläufe, PDF-Dokumente, Rechnungen, etc. Von diesen Daten kennt man zwar in groben Zügen die Struktur, aber grundsätzlich hat man im Gegensatz zu den strukturierten Daten keine Ahnung, welche Inhalte sich darin befinden.
Semi-strukturierte Daten: Wie der Begriff vermuten lässt sind das Daten, die sich genau dazwischen befinden, also beispielsweise Mailserver-Daten, die aus einem strukturierten Anteil (Empfänger-/Absender-Name, E-Mail-Adresse) und einem unstrukturierten wie dem Mailtext, den Anhängen, etc. bestehen.
Die besondere Herausforderung von unstrukturierten Daten
Für den Datenschutz-konformen Umgang mit unstrukturierten Daten müssen diverse Herausforderungen bewältigt werden:
Datenklassifizierung: Hierbei findet die Bewertung sämtlicher Daten statt. Daraus ergibt sich, welchen Wert die vorhandenen Daten für das Unternehmen haben. Hier findet bereits eine erste Compliance-technische Bewertung der Daten statt.
Personenklassifizierung: Wichtig ist aber auch eine genaue Spezifizierung sämtlicher Anwender, die auf die vorhandenen Daten zugreifen können. In diesem Kontext stellen sich diverse Fragen: Welche Anwender greifen tatsächlich auf die Daten zu? Sind diese Datenzugriffe legitim? Handelt es sich bei den zugreifenden Anwendern um reale User oder steckt dahinter womöglich ein Bot oder ein Malware-Angriff?
Vom richtigen Umfang mit unstrukturierten Daten
Um all diese beschriebenen Herausforderungen im Bezug auf den Datenschutz-konformen Umgang mit unstrukturierten Daten bewältigen zu können, greift man auf Anbieter wie Varonis Systems zu, die mithilfe ihrer Tools und Services die notwendigen Schritte durchführen:
Data Classification: In diesem Schritt werden – wie unter „Datenklassifizierung“ beschrieben – sämtliche Inhalte der vorliegenden unstrukturierten Daten identifiziert, sodass diese vollumfänglich bekannt sind und somit vollständig bewertet werden können.
User Classification: Im nächsten Schritt wird der Personenkreis identifiziert, der auf die unstrukturierten Daten zugreift. Anhand dieser Ergebnisse kann genau bestimmt werden, wer auf die Daten dann überhaupt zugreifen darf.
Least Privilege Model: Aus den beiden vorangegangenen Schritten lässt sich genau festlegen, welche Anwender überhaupt auf die Daten zugreifen müssen bzw. zugreifen können sollen. Damit lässt sich die Gefahr eines unerlaubten Datenzugriffs bereits recht gut einschränken.
Diese Vorgehensweise betrifft übrigens Daten, die sich sowohl im eigenen Rechenzentrum als auch in der Cloud (Office 365, Box, etc.) befinden. Das Ganze läuft bei Varonis Systems unter dem Oberbegriff Eval Risk Assessment, womit genau festgestellt werden kann, welcher Risikograd von den unstrukturierten Daten eines Unternehmens ausgeht.
Alles zu Varonis auf der Varonis Connect in Frankfurt
Das komplette Interview mit Christoph Spitzer
Disclaimer: Für das Erstellen dieses Videoblogbeitrags hat mich Varonis Deutschland beauftragt. Für das Ausgestalten des Blogbeitrags hatte ich nahezu freie Hand.
Weiter Videoblogbeiträge zur Varonis Connect!
https://www.it-techblog.de/videoblog-thomas-ehrlich-ueber-datensicherheit-und-datenschutz/03/2019/
https://www.it-techblog.de/videoblog-mit-varonis-tools-lassen-sich-daten-dsgvo-konform-in-die-office-cloud-migrieren/04/2019/
https://www.it-techblog.de/videoblog-mit-der-varonis-dsp-7-lassen-sich-datenvorfaelle-schneller-und-zuverlaessiger-aufdecken/04/2019/