In 4 Schritten zur Pseudonymisierung
Um die optimale Lösung für die spezifischen Herausforderungen im eigenen Unternehmen zu finden empfiehlt sich ein Vorgehen in vier Schritten:
Im ersten Schritt erfolgt die Formulierung der Ziele, die mit einer Pseudonymisierung erreicht werden sollen. Dabei sind die Einbindung sämtlicher relevanter Stakeholder des Unternehmens, sowie die Sicherstellung der Unterstützung durch die Unternehmensleitung von hoher Bedeutung. Es gilt die Rahmenbedingungen wie zum Beispiel gesetzliche Vorgaben zu klären und den Umfang der angestrebten Lösung festzulegen. So ist beispielsweise zu entscheiden, welche Geschäftsprozesse im Fokus sind. Die geschäftlichen Anforderungen müssen sorgfältig erhoben und in einem Anforderungskatalog festgehalten werden. Das schafft Transparenz und verhindert unangenehme Überraschungen im späteren Projektverlauf.
Nach Analyse der Geschäftsanforderungen steht die Erfassung und Dokumentation der Datenflüsse an. Eine intensive Analyse der Unternehmensprozesse und der darin verarbeiteten, schutzbedürftigen Daten stellt eine lückenlose Identifizierung der für die Pseudonymisierung relevanten Daten sicher. Parallel erfolgt die Erfassung und Dokumentation der beteiligten, datenhaltenden IT-Systeme sowie der Schnittstellen zwischen den beteiligten IT-Systemen.
Herausforderungen bei der Analyse sind häufig historisch gewachsene Anwendungslandschaften, in denen Schnittstellen und Datenflüsse im besten Fall nur teilweise dokumentiert sind. Nicht übersehen werden dürfen außerdem Schnittstellen zu externen Applikationen von Geschäftspartnern. Oft "verstecken" sich schutzbedürftige Daten auch in Protokolldateien. Eine enge, abteilungsübergreifende Zusammenarbeit ist für den erfolgreichen Abschluss dieses Schrittes unerlässlich.
Sind die Ziele der Pseudonymisierung definiert und die Daten und IT-Systeme hinreichend analysiert, kann die Pseudonymisierungsstrategie erarbeitet werden. Hierbei sind grundsätzliche Entscheidungen zu treffen, wie zum Beispiel durch wen die Pseudonymisierung erfolgen soll. Ein organisatorisch abgetrennter Datentreuhänder bietet hier einen sehr hohen Schutz. Auch die Festlegung der zu pseudonymisierenden Daten gehört dazu.
Vor dem Start der Lösungskonzeption empfiehlt es sich, sich einen Überblick über kommerzielle IT-Produkte zu verschaffen. Bestandteil der Lösungskonzeption sind neben der IT-technischen Lösung auch die künftigen Zielprozesse sowie die erforderlichen Organisationsanpassungen für die Einführung der Pseudonymisierung. Ist die Entscheidung für eine konkrete IT-Lösung gefallen, kann auch das Konzept zur Pseudonymisierung der Bestandsdaten (Datenmigration) entwickelt werden. Gerade bei verteilter Datenhaltung über mehrere Applikationen darf dieser Bestandteil der Lösungskonzeption nicht unterschätzt werden.
Wenn die Pseudonyme über mehrere Applikationen hinweg prozessiert werden, muss außerdem die durchgängige Verarbeitbarkeit mit besonderer Aufmerksamkeit bedacht werden. Nicht immer akzeptieren alle Applikationen und Schnittstellen die für das Pseudonym als zulässig definierten Zeichen. Obacht gilt auch bei Importprogrammen, in denen nicht selten Geschäftslogik versteckt ist. Bewährt hat sich in diesem Zusammenhang die praktische Erprobung mit pseudonymisierten Testdatensätzen.
Datenschutz trifft Überblick
Nach Fertigstellung des Lösungskonzepts und positiver Entscheidung der Geschäftsführung kann die Umsetzung der Pseudonymisierung beginnen. Nach Möglichkeit sollte zunächst ein Pilot für einen abgegrenzten Bereich durchgeführt werden, um die möglichen Risiken für den Geschäftsbetrieb gering zu halten. Außerdem hat es sich bewährt, die Einführung der Pseudonymisierung von neuen Daten von der Migration der Bestandsdaten zu trennen und die Organisation im Rahmen von Trainings auf die Einführung der Pseudonymisierungslösung vorzubereiten. Nach erfolgreicher Einführung der Pseudonymisierung können die Bestanddaten migriert werden. Das Ziel ist erreicht: die sensiblen Unternehmensdaten sind dank Pseudonymisierung vor unerlaubten Zugriffen geschützt.
Trotz vollmundiger Versprechen von Lösungsanbietern, gibt es für das Ausbalancieren von Schutzanforderungen und Geschäftsanforderungen für eine gewachsene IT-Anwendungslandschaft keine Standardlösungen. In jedem Projekt muss diese Balance neu erarbeitet werden. Voraussetzung für eine adäquate Lösung ist die sorgfältige Analyse und Klassifizierung der betroffenen Daten. Genauso müssen die gesetzlichen, geschäftlichen und IT-technischen Anforderungen sorgfältig erhoben werden.
Ein Pseudonymisierungsprojekt bietet aber auch die Chance, einen umfassenden Überblick über die vorhandenen Daten und deren Wert zu erhalten. Zudem können sich neue Möglichkeiten zur Nutzung der Daten ergeben. Ein solches Projekt muss eingebunden sein in die Datenschutz-Governance des Unternehmens, die Verantwortlichkeiten, Prozesse und Datenlebenszyklus festlegt und überwacht. (fm)
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.