Kommentar von Wim Stoop : Der Data Protection Day und die Zukunft der Datensicherheit von maschinell erzeugten Daten

Das neue Jahr ist noch jung und wir alle sehen den kommenden Chancen mit Zuversicht entgegen. Betrachten wir jedoch das Thema Security, steht bereits jetzt fest, dass 2022 keine Erleichterung in Sachen Cyberbedrohungen mit sich bringen wird. Der heute zelebrierte Data Protection Day steht bewusst am Beginn des Jahres gesetzt, um Bewusstsein für das Thema Datenschutz zu schaffen. Anders als in früheren Jahren ist dieses Bewusstsein inzwischen in den meisten Unternehmen gewachsen. Nicht nur, dass rechtliche Vorgaben und Verordnungen – hierzulande allen voran die DSGVO – immer höhere Anforderungen an den Schutz sensibler Daten stellen. Gleichzeitig haben die Veränderungen in der IT wie im Arbeitsleben das Bewusstsein der Unternehmen für diese Problematik geschärft.

Darüber hinaus nimmt die Summe der Daten exponentiell zu, wobei insbesondere maschinell erzeugte Daten ein enormes Wachstum verzeichnen. So nahmen beispielsweise, und vielleicht in direktem Zusammenhang mit den pandemiebedingten Home-Office-Regelungen, unsere Online-Interaktionen erheblich zu, wobei unsere Navigation zwischen verschiedenen Websites virtuelle, persönliche Fußabdrücke in Form von Clickstream-Daten hinterlässt. Die fortschreitende Weiterentwicklung von Systemen und Services im Internet der Dinge (Internet of Things, IoT) sowie Smart Assistants führt außerdem zu einem Anstieg der Sensordaten, der Verbindungsdaten und des allgemeinen Netzwerkdatenverkehrs, die alle in dem einen oder anderen Protokoll landen. Die Basis hierfür wurde anhand von 5G-Netzwerken geschaffen, sodass alle Endgeräte überall miteinander verbunden sein können. So prognostizierte IDC bereits 2020 für das Jahr 2025 55,7 Milliarden verbundene Geräte, von denen wiederum drei Viertel mit einer IoT-Plattform verbunden sind und enorme Datenmengen erzeugen.

Aufpassen müssen Unternehmen jedoch, wie sie diese Daten wahrnehmen. Denn maschinell generierte Daten werden häufig (immer noch) nicht als sensible Informationen erkannt. Auf den ersten Blick geben die Daten lediglich Preis, wo beispielsweise Schwachstellen im Mobilfunknetz liegen, sodass die Kapazität optimiert werden kann. Doch zugleich werden Verbindungsdaten erhoben, welche zu einem bestimmten Telefon oder einem Nutzer zurückverfolgt werden können.

Ein weiterer genauer Blick lohnt sich auf die maschinelle Datenanalyse des am häufigsten genutzten Weges durch eine Website. Dies kann zwar einerseits zur Optimierung von Werbeplatzierungen beitragen, aber andererseits auch den Schutz sensibler Daten gefährden. Denn die Nachverfolgung der Bewegung auf einer Website erfolgt basierend auf Cookies und IP-Adressen – welche zu den sensiblen Daten zählen.

Dabei macht die Summe das Problem: Sind einzelne gesammelte Daten noch wenig sensibel, werden sie aufgrund der Korrelation mit anderen Daten höchst persönlich und somit auch datenschutzrechtlich relevant.

Unternehmen müssen daher aufmerksam prüfen, wie sensibel die von ihnen genutzten Daten tatsächlich sind – und zwar über den aktuellen Verwendungszweck hinaus. Die zugrundeliegende Frage sollte ohne Ausnahme sein: Handelt es sich bereits um sensible Daten oder können diese sensibel werden, wenn sie mit weiteren Daten korreliert werden?

Hierfür ist eine proaktive und umfassende Data Governance von essenzieller Bedeutung. Denn angesichts dieser Entwicklungen sind eine konsistente Datenverwaltung und -sicherheit sowie die strenge Kontrolle darüber, wo Daten gespeichert werden, wichtiger denn je. Datensicherheit bedeutet, personenbezogene Daten zu schützen – und dies möglichst gemäß geltender Regeln. Unternehmen, die wirklich wirksame Regeln für die Datensicherheit aufstellen wollen, müssen in der Lage sein, sensible Daten zu identifizieren und aus den heterogenen Infrastrukturen innerhalb des Unternehmens zusammenzuführen. Nur dann können sie wirksame Regeln für die Datensicherheit erstellen. Bei dieser Tätigkeit befinden sie sich im dauernden Wettrennen mit Cyberkriminellen, die leicht aus versprengten Nutzerdaten – etwa die Hausnummer oder Schuhgröße – detaillierte Personenprofile erstellen und für ihre Zwecke nutzen können.

Am besten steuern Unternehmen hier mit automatisierten, in eine Enterprise Data Cloud integrierten Systemen, gegen. Ein automatisierter Datenschutz innerhalb der Enterprise Data Cloud ermöglicht es, Analysetools dort einzusetzen, wo sie gebraucht werden sowie die Regeln für die Infrastruktur und die Analytik wie auch für den Datenzugriff nur einmal festzulegen. Der Zeitaufwand für die Klassifizierung der Daten lässt sich signifikant verringern und wirksame Datenzugriffsregeln implementieren. Dies sorgt für eine gute Data Governance und bestmöglichen Schutz über den gesamten Datenlebenszyklus hinweg. Das gewährleistet einen sicheren Datenschutz auch angesichts zunehmender Datenvolumen – vermutlich auch über das Jahr 2022 hinaus.