Sensitive Data Services
Die Kronjuwelen sind für jeden etwas anderes
Was sensitive Daten sind, kommt auf den Blickwinkel an. Die Definition, das Erkennen, Finden und Schützen sensitiver Daten wird immer wichtiger. Nicht nur wegen der enormen Menge, sondern auch weil sich sensitive Daten immer häufiger dort befinden, wo sie nicht sein sollten.
Text: Barbara Biesuz, Bilder: Unsplash,
Interview mit Roger Fehr
„Sensitive Daten“ – was sollen wir uns darunter vorstellen?
Der Begriff der Sensitiven Daten wird einerseits durch den Gesetzgeber (GDPR [europäische Datenschutzgesetzgebung], DSGVO [Datenschutzgrundverordnung]) aber auch durch Regulatoren (z.B. Finma) und nicht zuletzt durch die Unternehmung selber definiert. Eine einfache und eindeutige Aussage, was sensitive Daten sind, ist daher schwierig. Im Prinzip kann jede Unternehmung den gesetzlichen Rahmen für sich schärfen und ihn so dem eigenen "Temperament" anpassen.
Sensitive Daten sind also nicht klar definiert?
Ja und nein - Gesetze und Regulation regeln eineindeutig, was sensitiv ist, da haben wir keinen Gestaltungsspielraum. Aber nehmen wir uns als Bankkunden: Meine Daten bei der Bank unterliegen dem Bankgeheimnis und sind durch die Bank entsprechend zu schützen. Da sind wir uns alle einig. Wenn ich aber auf einem Einzahlungsschein meine Daten (Name, Adresse, Kontonummer) preisgebe, sieht die Welt etwas anders aus. Es ist immer eine Frage der Sichtweise und der Position – sind es meine eigenen Daten oder Daten, die wir in unseren beruflichen Funktionen für Dritte halten? Nebst dem einleuchtenden Beispiel aus dem Banking-Umfeld gibt es aber weniger offensichtliche Fälle.
Gib uns doch bitte ein Beispiel für so einen versteckten "Daten-Stolperstein".
Stell dir vor, du bist an ein Golfturnier als VIP-Gast eingeladen. Auf der Einladung fragt man dich, ob du koscher oder halal, gluten- oder lactosefrei essen möchtest. Je nachdem was du ankreuzt oder auch nicht, kann ich daraus Rückschlüsse auf deine Religionszugehörigkeit und deinen Gesundheitszustand machen. Das File mit diesen Daten ist nach GDPR als sensitiv zu definieren und zu klassifizieren; entsprechend ist der Umgang damit zu regeln.
«Unser Service: Definieren, Suchen, Finden, Schützen.»
Sensitive Daten unterliegen keinen festen Regeln – wie kann man sie dann schützen?
Wir folgen mit der „Security-Wertschöpfungskette“ einem klar vorgegebenen Prozess. Der erste Schritt besteht in einer Beratung im Rahmen des „Datenschutz-/Gesundheitschecks“, kurz „Health-Check“, durch unsere Security-Consultants. In diesem Schritt geht es darum, die Kronjuwelen der Unternehmung zu definieren. Anhand gesetzlicher und individuell festgelegter Regeln werden diese sensitiven und daher schützenswerten Daten aufgelistet und klassifiziert. Im zweiten Schritt kommt der Swisscom Sensitive Data Service ins Spiel. Es geht darum, die vorher definierten Kronjuwelen zu finden; wo im Unternehmen überall liegen diese Daten? Sind sie dort, wo sie sein sollten, oder finden wir sie an Orten, wo sie nichts zu suchen haben? Im dritten Schritt sind die Daten dann zu schützen. Dies geschieht mittels organisatorischer aber auch technischer Massnahmen.
Was geschieht, wenn der Datascout die Daten und deren Ablageort gefunden hat?
Einerseits sind diese Daten zu schützen (z.B. mit Audit Guard, DLP), um mit den Gesetzen, regulatorischen aber auch betriebsinternen Vorgaben compliant zu sein. Anderseits gibt es diverse zusätzliche Handlungsoptionen: Man kann die Daten verschieben, (re-)klassifizieren, schützen, anonymisieren oder unter gewissen Umständen auch löschen. Letzteres insbesondere dann, wenn Daten an Orten gefunden werden, wo sie nicht hingehören. Im Sinne eines kontinuierlichen Verbesserungsprozesses sind die Mitarbeitenden im Umgang mit Daten fortlaufend zu sensibilisieren und zu schulen – konsequenterweise wären Verstösse sogar zu ahnden. Unsere Wertschöpfungskette umfasst schliesslich auch die Beratung, wie sensitive Daten organisatorisch, technisch effizient und effektiv geschützt werden. Wir empfehlen, diesen Prozess in regelmässigen Abständen zu wiederholen, da sich Architekturen und Business-Prozesse stetig verändern.
Steigt mit der Menge der gespeicherten Daten die Wichtigkeit von SDS (Sensitive Data Services)?
Sensitive Daten zu erkennen wird immer wichtiger. Nicht nur wegen der enormen Menge, sondern auch weil der Sensitive Data Service immer häufiger Daten dort findet, wo sie nicht sein sollten. Ein schönes Beispiel ist eine Bewerbung: Mein CV, ein sensitives Dokument, gelangt via Online-Tool zum Recruiter. Weil der Auftraggeber grad unterwegs ist – und nicht auf das System zugreifen kann – leitet er es per E-Mail an diesen weiter. Damit der Teamleiter auch Zugriff hat, legt der Auftraggeber den CV auf der Collaboration-Plattform ab. Für das Zweitgespräch wird der Abteilungsleiter hinzugezogen und erhält ein ausgedrucktes CV. Mein CV hinterlässt Spuren auf Exchange-Servern, in E-Mails diverser PCs, in der Druckerqueue usw. Wir bezeichnen diese Orte als „verseucht“. Unsere Aufgabe mit SDS ist es, diese „verseuchten Orte“ aufzudecken.
Wer gibt euch die Aufträge?
Nicht in erster Linie die IT, wie man annehmen könnte. Unsere Hauptansprechpartner sind Verantwortliche aus den Geschäftsbereichen sowie Compliance- und Audit-Beauftragte. Sie haben ein Interesse sicherzustellen, dass der Umgang mit Daten gesetzes-, regulations- und Firmen-Policy-konform erfolgt, um Reputations- aber auch finanzielle Schäden zu verhindern. Es kam auch schon vor, dass wir direkt vom CEO eines Grossunternehmens einen Auftrag erhielten.
Wer – ausser Banken – interessiert sich für euer Geschäft?
Alle Organisationen, in denen sensitive Daten anfallen: Spitäler, Arztpraxen, Gemeinden, Steuerberatungen, Patentabteilungen etc. Aber eigentlich jede Unternehmung, die wissen will, wo ihre Daten sind und diese schützen will. Die Liste ist unendlich lang. Mit dem neuen Datenschutzgesetz ab 2022 müssen sich künftig alle mit der Frage auseinandersetzen: „Weiss ich, wo meine Daten liegen?“ Die meisten Unternehmen, unabhängig von der Branche, wissen das heute nicht abschliessend. Es gibt also viel zu tun für uns.
