sdecoret - stock.adobe.com
Wie DataOps Datenschutz und Datenmanagement vereint
Eine unmittelbare Datenbereitstellung ist für Firmen notwendig, um in der digitalen Wirtschaft Schritt zu halten. Unternehmen müssen hierbei umdenken.
Eine zügige Datenbereitstellung ist für Unternehmen zwingend notwendig, um in der digitalen Wirtschaft Schritt zu halten. Das Einbinden von zahlreichen Datenquellen sowie das zentrale Verwalten der Dateninstanzen gilt hier als Grundvoraussetzung. Als besonders herausfordernd betrachten viele Unternehmen jedoch, sicher und gesetzeskonform mit den Daten umzugehen. Die Lösung liegt in einem Datenmanagement, das automatisiertes Erkennen und Maskieren sensibler Daten beherrscht.
Liefern relationale Datenbanken, Data Warehouses, NoSQL-Datenbanken und Data Lakes auf Basis von Apache Hadoop oder Spark sowie weiteren externen Quellen die Daten, auf die Entwickler und ihre Kollegen aus anderen Fachabteilungen zugreifen müssen, ist eine manuelle Verwaltung praktisch unmöglich. Automatisiertes Einbinden aller in Frage kommenden Datenquellen wie Oracle, SAP, SQL, DB2, SAP ASE, Postgres, MongoDB sowie MySQL ist die Lösung.
Dies lässt sich mit der DataOps-Technologie realisieren. Die Technologie liest über eine API-Anfrage die Daten ein, erstellt so viele virtuelle Kopien, wie benötigt werden, und synchronisiert diese mit ihren Quellen. Auf diese Weise wird sichergestellt, dass verschiedenen Nutzergruppen auf denselben Datenstand zugreifen – und parallel arbeiten können. Die Daten sind stets aktuell und damit hochwertig.
Erweiterter Sicherheitsfokus bei Nicht-Produktiv-Umgebungen
Die größte Herausforderung im Datenmanagement stellt der Sicherheitsaspekt dar. Laut einer Umfrage von Delphix und 451 Research sorgen sich fast zwei Drittel (68 Prozent) der befragten Unternehmen darum. Kein Wunder, denn Daten enthalten wertvolle Informationen, die nicht in fremde Hände gelangen dürfen.
Das Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist ein Meilenstein in der Geschichte des Datenschutzes und betrifft jeden Wirtschaftssektor. Während Unternehmen ihre Produktivdaten häufig bereits vor Inkrafttreten der Verordnung gut abgesichert haben, bergen Test- und Entwicklungsdaten neue Risiken hinsichtlich Datenschutzverletzungen in sich.
In den Nicht-Produktiv-Umgebungen liegt ein Vielfaches an Daten. Denn im Rahmen der agilen Softwareentwicklung und DevOps läuft in der Regel eine große Menge an Entwicklungsprojekten und -prozessen parallel. Dies hat zur Folge, dass verschiedene Entwicklerteams oft gleichzeitig dieselben Datensätze benötigen. Dadurch entstehen für jede Instanz von Produktivdaten nicht selten zwischen fünf bis zehn Instanzen von Nicht-Produktiv-Daten. Aus Security-Sicht bedeutet das, dass sich die Angriffsfläche erheblich vergrößert und es dementsprechend schwieriger wird, die Masse an verteilten Informationen richtig zu schützen.
Mit der Verbreitung von Cloud Computing sind jedoch auch Nicht-Produktiv-Umgebungen vermehrt ins Visier von Angreifern gerückt. Dazu kommen Gefahren durch mögliche Insider-Attacken.
Governance Overhead muss nicht bei allen Daten greifen
Wie sich die bestehenden hohen Anforderungen an Security und Compliance im Datenmanagement erfüllen lassen, legen Unternehmen in ihrer Data Governance fest. Diese regelt über Richtlinien den Datenumgang und beantwortet hierbei die entscheidenden Fragen: Wer hat wann und wo Zugriff auf die Daten? Wie lange bekommt ein Nutzer die Daten? Welche Daten bekommt er? Wohin dürfen welche Daten fließen? Die heutige Masse und starke Verteilung von Daten macht es jedoch schwer, Data Governance zu etablieren.
In der Praxis zeigt sich, dass Unternehmen stark restriktive Richtlinien aufstellen, um sensible personenbezogene Daten so zu schützen, wie es die DSGVO verlangt. Das ist richtig und muss so sein. Nur stellt sich die Frage, wie sinnvoll die gängige Praxis ist, das eigene strenge Regelwerk auf alle Daten in Nicht-Produktiv-Umgebungen anzuwenden.
Wenn bei unkritischen Telemetriedaten aus Applikationen der ganze Governance Overhead aktiviert wird, bremst das die Produktion aus. Von agiler Entwicklung kann dann keine Rede sein. Dazu müssten Entwickler sich jederzeit und ortsunabhängig Testdaten ziehen können. Anderseits darf das richtige und wichtige Fördern von Innovationen und Agilität in der Entwicklung nicht mit Abstrichen bei Security und Compliance erkauft werden.
Masse an kritischen Daten eingrenzen
Innovatives, agiles Entwickeln unter Berücksichtigung der Compliance, erfordert ein Klassifizieren und Segmentieren der Daten. Der Effekt: Kritische Daten lassen sich deutlich eingrenzen. So fallen in der Regel mehr Telemetriedaten an, anhand derer man keinen Nutzer identifizieren kann. Es sei denn, sie enthalten Geolocation-Daten. In dem Fall gehören sie in die Klasse der kritischen Daten wie Transaktionsdaten, die sowieso einen Personenbezug haben. Bei Log-Daten von Endgeräten wiederum ist beides möglich – sowohl das Zuordnen zu den sensiblen als auch zu den unkritischen Daten.
Im nächsten Schritt definieren Unternehmen für die ermittelten Datentypen die jeweils angemessene Sicherheitsstufe, was sich letztendlich in veränderten Richtlinien für die Data Governance niederschlagen muss. In der Folge greifen die schärfsten internen Vorgaben für sensible Daten, während die unkritischen Daten keinen Beschränkungen unterliegen. Sie dürfen frei durch die Systeme fließen.
Security und Innovation mittels DataOps
Wer mit einer ausgereiften DataOps-Plattform seine Daten als virtuelle Kopien bereitstellt, hat die Chance, vertrauliche Informationen einfach zu identifizieren. Dafür sorgen integrierte Algorithmen, die automatisch schützenswerte Daten erkennen. Eine solche DataOps-Plattform maskiert die personenbezogenen Daten, wobei das im Zuge der Datenvirtualisierung automatisiert geschieht.
Durch die Maskierung werden die kritischen Daten anonymisiert beziehungsweise pseudonymisiert, ein Vorgang, der unumkehrbar ist. Rückschlüsse auf eine Person lassen sich dadurch nicht mehr ziehen. Im Artikel 32 nennt die DSGVO ausdrücklich Pseudonymisierung als eine der Maßnahmen, die ein ausreichendes Schutzniveau herstellen. Sobald kritische Daten ins Spiel kommen, stellt die DataOps-Technologie Entwicklern und allen anderen Nutzern ausschließlich pseudonymisierte Daten zu Verfügung. Für die Produktion sind die maskierten Daten weiterhin wertvoll, da sie funktionsfähig und realitätsnah bleiben. Deshalb steht dem Entwickeln von höherwertigem Code nichts im Wege.
„Im Einsatz erweist sich eine DataOps-Plattform als hilfreich, um die Data Governance zu überwachen und durchzusetzen. Die Technik ist als zentrale Instanz in der Lage, Richtlinien automatisiert in Workflows zu integrieren.“
Sanjeev Sharma, Delphix
Im Einsatz erweist sich eine DataOps-Plattform als hilfreich, um die Data Governance zu überwachen und durchzusetzen. Die Technik ist als zentrale Instanz in der Lage, Richtlinien automatisiert in Workflows zu integrieren. Zu beachten ist, dass ein privilegierter Nutzerzugang so sparsam wie möglich eingerichtet werden sollte. Dank der Reporting- und Audit-Funktionen lässt sich die Data Governance jederzeit kontrollieren.
Das Datenschutzargument nutzen
In der oben genannten Studie von 451 Research gaben zwei Drittel der befragten Unternehmen an, dass sie mit ihrer eingesetzten DataOps-Plattform die Security und Compliance erhöht haben. Die hierbei praktizierte Datensegmentierung und -maskierung ist gerade für Unternehmen aus Branchen unverzichtbar, die strengen Vorschriften unterliegen. Das trifft unter anderem auf das Finanz- und Gesundheitswesen zu. Nur so gelingt es deren Vertretern, hohe Datenschutzstandards einzuhalten, ohne die Agilität auszubremsen.
Banken und Versicherungen bewegen sich heute in einem hochdynamischen Umfeld mit starkem Wettbewerbsdruck, den maßgeblich FinTechs aufbauen. Um ihm gewachsen zu sein, müssen sie in der Lage sein, schnell und kreativ zu agieren. Das gilt in allen Branchen. Denn wer sorgfältig mit den Daten seiner Kunden umgeht, schafft eine Vertrauensbasis, auf die Verbraucher, Partner und Geschäftskunden setzen.
Über den Autor:
Sanjeev Sharma, Bestsellerautor von „DevOps Adoption“, ist der erste Global Practice Director for Data Transformation bei Delphix. Sein Unternehmen verfolgt die Mission, Daten in Unternehmen ohne Reibungsverluste bereitzustellen und Innovation zu beschleunigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
