Versicherungsbetriebe

Datenschutzskandale wie etwa die Veröffentlichung der Telekom-Kunden-CD oder der Kreditkartendaten der Citigroup stellen für Großkonzerne ein enormes Risiko dar. Die potenziellen Schäden reichen hier von Entschädigungen über Strafzahlungen bis zu Reputationsverlusten. Während die meisten Datenschutzrisiken als allgemein bekannt gelten, existieren bis heute in vielen Unternehmen unterschätzte Angriffsflächen. So gilt etwa als weitgehend unbekannt, dass beim Softwaretesting und Data-Mining überwiegend ungeschützte Unternehmensdaten zum Einsatz kommen. Softwaretest sind vor der Einführung neuer Geschäftsanwendungen zwingend erforderlich. Und am zuverlässigsten lassen sie sich mit echten Kundendaten und Geschäftszahlen durchführen. Tatsächlich erhalten die Tester solche Echtdaten erstaunlich oft von der IT. So missbrauchen laut einer Ponemon-Studie drei Viertel aller deutschen Unternehmen ihre echten Kundendaten für Testzwecke – von Kunden- und Kreditkartennummern über Angaben zur Sozialversicherung bis zu Mitarbeitern und Lieferantendaten. 60 Prozent dieser Tests werden sogar von Outsourcingpartnern durchgeführt, die selbst kein Risiko tragen.

Keine Geschäftsinnovationen ohne Datenanalyse

Unternehmen, insbesondere in der Finanz- und Versicherungswirtschaft, befinden sich vor diesem Hintergrund in einem Dilemma: Einerseits müssen sie sorgfältiger als andere Branchen mit ihren Geschäftsdaten umgehen, da die Risiken in diesem Business ungleich höher sind als in anderen Märkten. Auf der anderen Seite lebt diese Branche von permanenten Softwareinnovationen. Gerade Data-Mining verspricht wachsende Geschäftspotenziale, weil sich damit ständig neue Erkenntnisse aus Kunden- und Geschäftsdaten gewinnen lassen. Daher gilt es, den Spagat zu meistern zwischen maximalem Schutz der Daten auf der einen und optimaler Ausnutzung der Datenressourcen auf der anderen Seite.

Die Antwort der Softwareindustrie darauf lautet Data Masking. Hierbei kommen Verfahren der Datenverschleierung zum Einsatz, bei denen geschäftliche Daten so unkenntlich gemacht werden, dass sie sich weiterhin für realistische Tests und Auswertungen eignen. Bei der Maskierung werden alle Bezüge zu realen Personen oder Geschäftsentitäten zuverlässig entfernt, so dass keinerlei datenschutzrechtliches Risiko mehr besteht. Richtig eingesetzt, versetzt Data-Masking also ein Unternehmen in die Lage, jederzeit risikolos Kunden- und Geschäftsdaten für Tests und Analysen weiterzugeben ob an interne Mitarbeiter oder externe Partner.

Vorgehensmodell in fünf Stufen

Data-Masking erfordert eine gründliche Planung sowie eine koordinierte Vorgehensweise, bei der die IT und die zuständigen Fachbereiche eng zusammenarbeiten müssen. metafinanz hat dazu ein fünfstufiges Vorgehensmodell entwickelt. Zunächst definieren in einem Workshop IT, Fachabteilung und Datenschutzbeauftragte die Anforderungen, Datenmodell, Maskierungsarten sowie die Tools. In der Konzeptphase kümmert sich die IT um die Maskierung und den Prozess. Beim folgenden Review entsteht ein Qualitätssicherungskonzept, dessen Umsetzung wiederum der IT obliegt. Den Schlusspunkt bildet schließlich die Qualitätssicherung, die die Güte der Maskierungsschritte überprüft. Die Abnahme erfolgt durch die IT, die Fachabteilung und den Datenschutzbeauftragten.

Generell gilt beim Data-Masking der bekannte Security-Grundsatz „There is no free lunch“. Sicherheit kostet Geld, doch gerade hier ist es gut angelegt, weil beim Testing und der Datenanalyse die Kronjuwelen eines Unternehmens auf dem Spiel stehen können.