Datenmaskierung

DSGVO-konformes Entwickeln und Testen mit DataOps-Plattformen

Eine DevOps-Lösung wie die Dynamic Data Platform von Delphix optimiert Migrationsprojekte und beschleunigt Entwicklungs- und Testprozesse (Quelle: Delphix).

Auch beim Entwickeln gilt die Devise: Security First. Ganz besonders auch im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO). Eine doppelte Herausforderung für Unternehmen. Denn beim Verwenden von „echten“ Daten aus dem Produktivsystem greift nicht nur die EU-Richtlinie. 

Es ist zudem extrem aufwändig und teuer, Entwicklern und Testern Daten auf einer reellen Basis bereitzustellen. Das Dilemma beenden nun Plattformen, die virtuelle Datenkopien aus Produktivsystemen erstellen sowie einen rollenbasierte Zugang und eine automatisierte Datenmaskierung integrieren.

Anzeige

Entwicklung und Tests sicher unter Kontrolle

Softwareentwickler und -tester loggen sich direkt in Datenbanken ein und greifen auf alle Daten zu. Zu kurz kommen in Entwicklungs- und Testumgebungen durch dieses Vorgehen allerdings oft wesentliche Sicherheitsvorkehrungen und Compliance-Anforderungen, die ansonsten unternehmensweit gelebt werden. Spätestens bis zum 25. Mai 2018 müssen Unternehmen solche Sicherheitsrisiken jedoch beenden, da an diesem Stichtag die EU-Datenschutz-Grundverordnung (DSGVO) greift. Aus dieser geht hervor, wie Unternehmen personenbezogene Daten von EU-Bürgern speichern, übertragen oder verarbeiten sollen. Unternehmen müssen sicherstellen, dass nur berechtigte Personen Zugang zu Daten erhalten. Schnell aus dem Blick gerät jedoch, Sicherheitsmaßnahmen ebenfalls für die Software-Entwicklung und -tests zu installieren. Denn auch hier gilt: Unbefugte dürfen keinen Zugriff auf Entwicklungs- und Testdaten erlangen.

Die DSGVO verbietet Unternehmen nicht, personenbezogene Daten zu nutzen, beispielsweise um Produkte und Services zu individualisieren. Die Verordnung stellt jedoch klare Bedingung auf: Die betreffende Person, also der Dateneigentümer, muss sein Einverständnis für die Datenverarbeitung abgegeben haben. Zudem ist die Datenverarbeitung zweckgebunden. Ändert sich der Zweck, muss sich ein Unternehmen beim Dateneigentümer das Verarbeitungsrecht erneut einholen. Ein Dateneigentümer kann jedoch sein Widerrufrecht nicht ausüben, wenn das datenverarbeitende Unternehmen nachweislich die personenbezogenen Angaben anonymisiert oder pseudonymisiert. Der Weg zur DSGVO-konformen Datenverarbeitung führt deshalb über das „Maskieren“ (Anonymisieren) personenbezogener Informationen.

Gesetzeskonforme Datenmaske

Hierbei werden bestimmte Werte geändert, wobei das Format der Daten erhalten bleibt. Methodisch lassen sich persönlichen Angaben wie Kreditkartennummer, Name, Ausweisnummer und vieles mehr durch das Verschlüsseln, das Umstellen oder Ersetzen von Wörtern oder Zeichen verschleiern. In einer Datenbank für ein Testsystem befinden sich dann keine reinen Original- oder Produktivdaten mehr, sondern pseudonymisierte Informationen. Es muss jedoch sichergestellt sein, dass sich die Daten nur mit zusätzlichen Informationen entschlüsseln lassen, die separat abliegen. Unter diesen Voraussetzungen verschafft die Datenmaskierung Entwicklern und Testern den datenschutzkonformen Zugang zu „echten“ Daten des Produktionssystems.

In der Regel benötigen Unternehmen eine sehr große Anzahl von Test- und Entwicklungsumgebungen, wozu sie meist zig Terabyte Daten von einem Produktivsystem kopieren, in eine Entwicklungsumgebung oder auf ein Testsystem transferieren und noch eine Maskierungsregel implementieren müssen. Viele Unternehmen können den Aufwand weder finanziell noch zeitlich stemmen, weshalb bei ihnen synthetische Daten zum Einsatz kommen. Das ist ein echtes Manko: Eine Entwicklung ohne reelle Datenbasis wirkt sich negativ auf die Präzision und der Qualität neuer Applikationen und digitaler Dienste aus.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Eine echte Alternative sind virtuelle Datenkopien

Das Dilemma, „echte“ Daten nicht DSGVO-konform sowie schnell und kostengünstig bereitstellen zu können, beendet eine Lösung wie die Delphix Dynamic Data Platform, die auf Datenvirtualisierung setzt. Eine ausgereifte Lösung, die virtuelle Datenkopien bereitstellt, zeichnen sich dadurch aus, dass sie auch in der Lage ist, Daten zu maskieren. Software-Entwickler und Testspezialisten müssen dann keine zusätzliche Software für das Anonymisieren einsetzen. Ihnen stehen für ihre Arbeit aussagekräftige Informationsbestände zur Verfügung, die keine Rückschlüsse auf den ursprünglichen Dateneigentümer, den Kunden, zulassen. Das Maskieren hat noch einen weiteren Vorteil: Externe Experten, etwa Freelancer oder Off-Shore-Entwickler lassen sich in Entwicklungsprozesse einzubinden, ohne dass Datenschutzbestimmungen verletzt werden. Dennoch besteht die Notwendigkeit, rollenbasierte Zugriffkontrollen für eine Datenvirtualisierungs-Plattform zu integrieren. So lässt sich die geforderte Sicherheit gewährleisten, dass nur ein limitierter Kreis an Befugten auf die Testdaten zugreift.

Argumente für den IT-Betrieb

Eine DataOps-Plattform überzeugt nicht bloß aus datenschutzrechtlicher Sicht, sondern auch im normalen Betrieb. Sie bricht die üblichen Datensilos auf und stellt die Produktivdaten als virtuelle Datenkopien innerhalb von Minuten zur Verfügung. Zudem benötigen die DataPods, wie die virtuellen Datenkopien des Produktivsystems genannt werden, weniger Speicherplatz. Dadurch verschlanken sich Entwicklungs- und Testumgebungen oft bis auf ein Drittel – im Vergleich zu der Größe, die normale Datenkopien beanspruchen.

Eine DataOps-Lösung ist eine Software, die auf allen gängigen Hypervisors installiert werden kann. Sie arbeitet daher mit unterschiedlichen Hardware-Komponenten zusammen, etwa Storage-Systemen, die mit Flash-Speicher oder konventionellen Festplatten bestückt sind. Gleiches gilt für Server. Über Standardschnittstellen wird eine Verbindung zu den Datenquellen, beispielsweise Datenbanken wie Oracle, SQL Server, DB2, mySQL oder Sybase, aber auch Applikationen hergestellt. Von diesen Daten und Applikationen erstellt die Plattform eine komprimierte Kopie, die ständig inkrementell synchronisiert wird. Das bedeutet, dass nur die Änderungen in der Datenquelle in die Datenkopie übertragen werden. Eine DataOps-Plattform lässt sich im Unternehmensrechenzentrum, in einer Public oder Hybrid Cloud betreiben. Die Technologie vereinfacht außerdem die Migration in die Cloud, wodurch sich ein solches Projekt auf die Hälfte der Zeit verkürzt. .

Auf einer wirtschaftlichen und sicheren Plattform

Eine DataOps-Plattform befähigt Unternehmen dazu, Datenbanken und Anwendungen sehr schnell für Entwicklungs- und Testzwecke auf der Basis von Produktivdaten aufzusetzen. Die Größe der Datensätze spielt keine Rolle, denn die maßgeschneiderten virtuellen Datenumgebungen lassen sich bei Bedarf in beliebiger Menge für Entwickler, Testfachleute und Big-Data-Spezialisten bereitstellen. Reibungsverluste und Unschärfen, die der Einsatz von synthetischen „Dummy-Daten“ mit sich bringt, gehören so der Vergangenheit an. Virtuelle Datenkopien benötigen weniger Speicherplatz, wodurch ein aufwändiges Hochfahren von voluminösen Test- und Entwicklungsumgebungen entfällt. Dies beschleunigt die Entwicklung und Tests erheblich, die dann oft in doppelter Geschwindigkeit ablaufen – und sicher. Denn Unternehmen, die Datenvirtualisierungs-Plattformen mit integrierter Datenmaskierung, sprich Anonymisierung, einsetzen, halten die DSGVO-Anforderungen ein. Gleichzeitig schaffen sie sich eine Basis, risikofrei mit Freelancern oder Offshore-Entwicklern zusammenzuarbeiten. Das Sicherheitsniveau erhöhen Datenplattformen noch, die kontinuierlich Compliance-Reports liefern und Änderungen an Datenbeständen transparent machen. Damit kann beim Entwickeln und Testen von Software nichts außer Kontrolle geraten.

Minas Botzoglou, Director DACH bei Delphix

Minas BotzoglouMinas Botzoglou ist Regional Director DACH bei Delphix und verantwortet den Vertrieb im deutschsprachigen Raum sowie den Aufbau eines Partnersystems. Zu seinen Kompetenzbereichen zählen die Themen Security, Datensicherheit, Prozessmanagement und SAP sowie das Erschließen von Märkten für Start-ups. Er verfügt über mehr als 20 Jahre Erfahrung im Enterprise Sales, unter anderem bei Jive Software, der Software AG und bei Symantec. 


 

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.