24 VERSICHERUNGS-IT

versicherungsbetriebe  4 2011

Datenschutzskandale wie etwa dieVeröffentlichung der Telekom-Kunden-CD oderder Kreditkartendaten der Citigroup stellen fürGroßkonzerne ein enormes Risiko dar. Die po-tenziellen Schäden reichen hier von Entschädi-gungen über Strafzahlungen bis zu Reputati-onsverlusten. Während die meisten Daten-schutzrisiken als allgemein bekannt gelten, exis-tieren bis heute in vielen Unternehmen unter-schätzte Angriffsflächen. So gilt etwa als weitge-hend unbekannt, dass beim Softwaretesting undData-Mining überwiegend ungeschützte Unter-nehmensdaten zum Einsatz kommen.

Softwaretest sind vor der Einführung neuer Ge-schäftsanwendungen zwingend erforderlich.Und am zuverlässigsten lassen sie sich mit echtenKundendaten und Geschäftszahlen durchführen.Tatsächlich erhalten die Tester solche Echtdatenerstaunlich oft von der IT. So missbrauchen lauteiner Ponemon-Studie drei Viertel aller deutschenUnternehmen ihre echten Kundendaten für Test-zwecke – von Kunden- und Kreditkartennum-mern über Angaben zur Sozialversicherung bis zuMitarbeitern und Lieferantendaten. 60 Prozentdieser Tests werden sogar von Outsourcingpart-nern durchgeführt, die selbst kein Risiko tragen.

Analyse ohne DatenschutzrisikoGeschützte Kundendaten – sogar bei Tests und Data-Mining. Viele Unternehmen übersehen,dass bei Softwaretests und beim Data-Mining oft sensible Kundendaten zum Einsatz kommen – sogarbei Outsourcingpartnern. Mit Data-Masking-Tools lassen sich diese Geschäfts- und Datenschutzrisikeneinfach beseitigen.

Sergey Ilin

- Fotolia

.com

Keine Geschäftsinnovationenohne Datenanalyse

Unternehmen, insbesondere in der Finanz- undVersicherungswirtschaft, befinden sich vor die-sem Hintergrund in einem Dilemma: Einerseitsmüssen sie sorgfältiger als andere Branchen mitihren Geschäftsdaten umgehen, da die Risikenin diesem Business ungleich höher sind als inanderen Märkten. Auf der anderen Seite lebt die-se Branche von permanenten Softwareinnova-tionen. Gerade Data-Mining verspricht wach-sende Geschäftspotenziale, weil sich damit stän-dig neue Erkenntnisse aus Kunden- und Ge-schäftsdaten gewinnen lassen. Daher gilt es, denSpagat zu meistern zwischen maximalemSchutz der Daten auf der einen und optimalerAusnutzung der Datenressourcen auf der ande-ren Seite.Die Antwort der Softwareindustrie darauf lautetData Masking. Hierbei kommen Verfahren derDatenverschleierung zum Einsatz, bei denengeschäftliche Daten so unkenntlich gemachtwerden, dass sie sich weiterhin für realistischeTests und Auswertungen eignen. Bei der Mas-kierung werden alle Bezüge zu realen Personenoder Geschäftsentitäten zuverlässig entfernt, sodass keinerlei datenschutzrechtliches Risikomehr besteht.Richtig eingesetzt, versetzt Data-Masking alsoein Unternehmen in die Lage, jederzeit risikolos

Data-Masking: Die wichtigsten Techniken

� ErsetzenEine gängige Technik beim Data-Masking ist das Ersetzen von Tabelleninhaltendurch ähnliche Daten, die völlig ohne Bezug zu den Ursprungsdaten stehen.

� VermischenVermischen (Shuffling) ähnelt dem Ersetzen, jedoch kommen hier die Ersatzda-ten aus derselben Tabellenspalte.

� Zahlen- und DatenstreuungBeim der Zahlenstreuung modifiziert ein Algorithmus jede Zahl oder jeden Datumswert um einen festgelegten Prozentsatz, um die Werte realitätsnah zuhalten.

� VerschlüsselungVerschlüsseln von Tabelleninhalten ermöglicht eine originalgetreue Weitergabeder Daten.

25VERSICHERUNGS-IT

4 2011 versicherungsbetriebe

Beispiel: Daten unkenntlich machenKunden- und Geschäftsdaten für Tests und Ana-lysen weiterzugeben – ob an interne Mitarbeiteroder externe Partner.

Vorgehensmodell in fünf Stufen

Data-Masking erfordert eine gründliche Pla-nung sowie eine koordinierte Vorgehensweise,bei der die IT und die zuständigen Fachbereicheeng zusammenarbeiten müssen. metafinanzhat dazu ein fünfstufiges Vorgehensmodell ent-wickelt. Zunächst definieren in einem Work-shop IT, Fachabteilung und Datenschutzbeauf-tragte die Anforderungen, Datenmodell, Mas-kierungsarten sowie die Tools. In der Konzept-phase kümmert sich die IT um die Maskierungund den Prozess. Beim folgenden Review ent-steht ein Qualitätssicherungskonzept, dessenUmsetzung wiederum der IT obliegt. DenSchlusspunkt bildet schließlich die Qualitätssi-cherung, die die Güte der Maskierungsschritteüberprüft. Die Abnahme erfolgt durch die IT,die Fachabteilung und den Datenschutzbeauf-tragten.Generell gilt beim Data-Masking der bekannteSecurity-Grundsatz „There is no free lunch“. Si-cherheit kostet Geld, doch gerade hier ist es gutangelegt, weil beim Testing und der Datenana-lyse die Kronjuwelen eines Unternehmens aufdem Spiel stehen können. �

Autor: Carsten Herbe, Project Manager Busi-ness Intelligence, metafinanz Informations-systeme