.jpg)
Search Guard ist ein Open-Source-Plug-in für den Schutz von Elasticsearch-Clustern beim Einsatz im Bereich Enterprise Search. Und Jochen Kressin ist Geschäftsführer der floragunn GmbH, dem Hersteller des Security-Plug-Ins Search Guard. In puncto Daten, Datenschutz und DSGVO ist er mit zwei wachsamen Augen und Ohren unterwegs. Weshalb, erläutert er in einem Gespräch mit Stephanie Englert.
IoT4 Industry&Business: Welches sind die größten Herausforderungen denen sich Unternehmen ob der DSGVO immer noch stellen müssen, vor allem in Bezug auf Big Data?
Jochen Kressin: Zwei Aspekte machen CIOs im Hinblick auf Big Data und DSGVO zu schaffen: exponentiell steigende Datenmengen innerhalb kurzer Zeit und die Tatsache, dass sowohl personenbezogene Daten, so genannte PII-Daten, als auch sensitive Informationen wie IP-Adressen in vielen verschiedenen Systemen und auch in Logfiles gespeichert sind.
IoT: Was sind die Folgen?
Kressin: Die Folgen daraus sind, dass Unternehmen oft gar nicht wissen, wo genau PII-Daten gespeichert sind und wer darauf Zugriff hat. Wie sollen Daten so geschützt oder Datenlecks rechtzeitig erkannt werden? Diese Vorgehensweise wird wider besseres Wissen in Kauf genommen, obwohl sie zwei zentralen Bestandteilen der Grundverordnung widerspricht. Dazu gehören, den Zugriff auf personenbezogene Daten nachverfolgen zu können und zu reglementieren und das „Recht auf Vergessenwerden“, also als Kunde von einem Unternehmen die Löschung eigener Daten verlangen zu können.
Das Risiko, die Anforderungen der DSGVO nicht erfüllen zu können, ist damit sehr hoch und Verstöße dagegen leider an der Tagesordnung.
„Es braucht die Awareness, dass der Vertrauensverlust bei Datendiebstahl einen höheren Schweregrad hat, als sechs- oder siebenstellige Bußgelder.“
IoT: Was bedeutet das in Folge?
Kressin: Dass die vielleicht größte Herausforderung für IT-Entscheider sein wird, Management, Führungskräfte und Mitarbeiter im eigenen Unternehmen zu sensibilisieren. Es braucht die Awareness, dass der Vertrauensverlust, der bei Datendiebstahl oder zweckentfremdeter Verwendung bei den Kunden entsteht, einen höheren Schweregrad hat, als sechs- oder siebenstellige Bußgelder.
IoT: Stellt Big Data für den Datenschutz denn auch ein mögliches Datenrisiko dar?
Kressin: Es ist so: Steigende Datenmengen bedeuten immer ein steigendes Datenrisiko. Big Data ist heute aber branchenübergreifend eine wichtige Grundlage für die Planung effizienter und wirtschaftlicher Unternehmensprozesse.
Aus der Analyse von Umsatzströmen werden Personaleinsatzpläne abgeleitet, Warenlieferungen und Lagerkapazitäten geplant und Prognosen errechnet. Nicht immer sind Big Data personenbezogenen und nicht für alle Analysen müssen sie personenbezogen sein.
Gerade in einer Pandemie, wo der physische Kontakt mit Kunden stark eingeschränkt ist, suchen Unternehmen jedoch den digitalen Kontakt zum Kunden und sammeln gezielt Informationen. Hacker wissen das. Wer seine Kundendaten nicht schützt, ist jetzt leichte Beute für Angriffe, denn mit dem Verkauf personenbezogener Daten erzielen Cyberkriminelle den größten Gewinn.
IoT: Wie kann man dem vorbeugen?
Kressin: Es kommt darauf an zu wissen, wo personenbezogene Informationen gespeichert sind. Im zweiten Schritt muss das System bestmöglich vor inneren und äußeren Angriffen geschützt werden.
Eines der meist genutzten Tools zur zentralen Speicherung und Analyse großer Datenmengen sind Elasticsearch-Datencluster. Die Verantwortung für die DSGVO-konforme Speicherung und Bearbeitung der Daten liegt jedoch bei dem Unternehmen, dass die Daten erhebt und bearbeitet.
IoT: Ist man generell sensibler in puncto Hacker-Angriffe geworden und inwiefern gewährleisten Lösungen wie Search Guard ein risikofreies Arbeiten?
Kressin: Die Sensibilität für die weitreichenden Folgen eines Hackerangriffs haben sich in den letzten Jahren nur bedingt verbessert. In Organisationen ab zirka 1.000 Mitarbeitern teilen viele Führungskräfte die Meinung, dass sich die IT-Sicherheitslage im eigenen Unternehmen mit Einführung der DSGVO verbessert hat, wie der Deloitte Cyber Security Report 2019 zeigt.
Trotzdem gelingt es nicht, Datenlecks zu schließen und Datendiebstahl im großen Stil zu vermeiden. Dies zeigt der Fall von Conrad Electronic. Im November 2019 wurde bekannt, dass Angreifer monatelang Zugriff auf fast 14 Millionen Kundendatensätze hatten, die in einer Elasticsearch-Datenbank gespeichert waren. Search Guard ist der einzige Anbieter, der Features zur DSGVO-konformen Bearbeitung von Daten in Elasticsearch anbietet. CIOs können damit Sicherheitsrisiken reduzieren und die Compliance ihres Unternehmens erhöhen.
IoT: Inwiefern?
Kressin: Als Security-Plug-In ist es unser Ziel Daten, die in einem Elasticsearch-Cluster gespeichert sind, vor unberechtigtem Zugriff und Diebstahl zu schützen. Mit unseren Kunden teilen wir die Auffassung des „Prinzip des geringsten Privilegs“. Zugriffskontrollen sollten es autorisierten Benutzern ermöglichen, nur auf die minimal notwendigen Informationen zuzugreifen, die für die Ausführung von Arbeitsaufgaben erforderlich sind.
IoT: Wird Smart Data somit zum Thema bei Unternehmen, hervorgerufen durch die DSGVO-Bestimmungen?
Kressin: Smart Data sind „sortierte“ Daten, die gesammelt, geordnet und analysiert worden sind. Dies kann die Ursache in DSGVO-Bestimmungen haben, muss aber nicht notwendigerweise so sein.
IoT: Welche technischen Herausforderungen müssen denn bedacht werden, um Daten DSGVO-konform bearbeiten zu können?
Kressin: Die wichtigsten Ansprüche, die Kunden gegenüber Unternehmen in Bezug auf Ihre Daten haben sind, das Recht zu erfahren, wer auf ihre Daten zugegriffen hat, wann und warum, welche Daten gespeichert wurden, wie sich diese im Lauf der Zeit verändert haben und die nachweisliche Löschung der eigenen Daten.
Voraussetzung, um Informationen, die in einem Elasticsearch-Cluster oder in Logfiles gespeichert sind, gemäß der gesetzlichen Vorschriften zu verwalten und zu bearbeiten, sind folgende: eine rollenbasierte Zugriffskontrolle (RBAC) für jeden Index, eine Zugriffskontrolle auf PII-Dokumente und PII-Felder, die Verschlüsselung und Anonymisierung von Daten sowie die Verfolgung des Datenzugriffs und der Datenänderungen. Zudem die Protokollierung von Datenlöschungen, das Überwachen der Datenzugriffe auf Anomalien und eine zeitnahe Meldung dieser.
Die Search Guard Compliance Edition deckt diese Anforderungen ab. Je nach zugewiesener Rolle werden Felder mit PII oder sensiblen Daten wie Klarnamen, Email-Adressen und Kreditkartendetails unberechtigten Benutzern nicht angezeigt, wenn Dokumente, die diese Informationen enthalten, aufgerufen werden.
IoT: Was bedeutet das im Detail?
Kressin: Um den Zugriff bis auf die Feldebene eines Dokuments nachzuverfolgen, erstellt Search Guard einen Audit-Trail aller Zugriffsaktivitäten. Der Audit-Trail enthält das Datum des Zugriffs, den Benutzernamen, die Dokument-ID und eine Liste der personenbezogenen Felder, die im Ergebnis enthalten waren. Die Funktion wie Write History Audit Trail dokumentiert die Lebensdauer von sensiblen und PII Daten. Wenn die E-Mail-Adresse eines Kunden aktualisiert wird, kann festgestellt werden, wann und von wem die Änderung vorgenommen wurde und wie die Änderung aussieht. Der Write History Audit Trail kann auch zur Protokollierung der Datenlöschung verwendet werden.
