Im letzten Blogartikel wurde das Thema Architektur und Software in einer Data Governance betrachtet. Im heutigen Artikel unserer Blog-Serie Data Governance in a Nutshell fokussieren wir uns auf das Thema Datensicherheit.
In dem bereits bekannten YouTube-Video GOVERNORS OF DATA rappte Kai Feng „We are not the police, but we are data sherpas“. Doch was hat die Polizei mit Data Governance zu tun? Welche Maßnahmen gibt es, um die Datensicherheit in einer Bank zu gewährleisten?
Mit Blaulicht durch die Data Governance
Du stellst dir jetzt sicherlich die Frage: „Äh Blaulicht und Data Governance, was hat das gemeinsam?“.
Nun, die Polizei, das Exekutivorgan unseres Staates, steht für Sicherheit und Ordnung. In einer Bank wird die Datensicherheit durch die im Rahmen der Data Governance definierten Regeln und die damit verbundene Festlegung von Zugriffsrechten gewährleistet.
Bei Verstößen gegen Sicherheit und Ordnung handelt die Polizei nach dem Gesetz. Analog dazu werden bei Sicherheitsverstößen in einer Bank die im Rahmen der Data Governance Strategie festgelegten Vorgehensweisen und Regeln befolgt.
Ziel der Datensicherheit
Das Ziel der Datensicherheit ist es, Daten mit geeigneten Maßnahmen gegen Manipulation, Verlust, Diebstahl und andere Bedrohungen zu schützen. Diese Maßnahmen können sowohl technischer als auch organisatorischer Art sein.
Banken verfügen über hochsensible Daten, die sie durch eine Reihe von Standards und Technologien vor den eben genannten Bedrohungen schützen. Die Data Governance Strategie definiert das Maß an Datenschutz und Datensicherheit. Daraus lassen sich die nötigen Maßnahmen für die jeweiligen Prozesse bzw. Daten ableiten.
Beispielhafte Maßnahmen zur Datensicherheit
Die Erstellung und Etablierung eines bankinternen Rollen- und Berechtigungskonzeptes, regelmäßige Backups sowie Verschlüsselungsmethoden sind nur ein paar Beispiele für mögliche Maßnahmen, um Datensicherheit zu gewährleisten.
Im Folgenden lernst du zwei exemplarische Maßnahmen zur Datensicherheit kennen.
Rollen- und Berechtigungskonzepte
Stell dir vor, eine Bank hat 1000 Mitarbeiter. Jeder von diesen 1000 Personen benötigt spezielle Berechtigungen, um seiner Arbeit nachzugehen. Eine Berechtigung kann z. B. so aussehen, dass ein Sachbearbeiter die Daten aus der Datenbanktabelle Kundenanschrift lesen, aber nicht bearbeiten darf. Das ist für seine tägliche Arbeit auch nicht notwendig. Sein Chef hingegen darf die gleichen Daten lesen und bearbeiten. Der IT-Admin der Bank dürfte die Daten sogar löschen, wenn es notwendig wäre.
Vergibst du nun an jede der genannten Personen bzw. an die 1000 Mitarbeiter der Bank eine bzw. mehrere spezifischen Berechtigungen einzeln?
Spätestens nach der x-ten Berechtigungsvergabe hast du den Überblick verloren, welcher Nutzer welche Berechtigung hat. Deswegen werden Berechtigungen mittels Rollen zugeteilt.
Die jeweiligen Nutzer (z. B. Sachbearbeiter A, Sachbearbeiter B, IT-Admin, Praktikant) haben bestimmte Aufgaben. Für diese Aufgaben sind bestimmte Berechtigungen wie Lese-, Schreib- oder Löschrechte auf spezifische Daten erforderlich. Jeder Nutzer mit der entsprechenden Aufgabe erhält somit die passende Rolle und die damit verbundenen Berechtigungen.
Ein bankinternes Rollen- und Berechtigungskonzept vereinfacht somit die Zuteilung und dient gleichzeitig der Dokumentation, welche Nutzer welche Rollen und daher welche Berechtigungen erhalten haben. Dadurch soll sichergestellt werden, dass nur befugte Personen und Programme Zugriff auf die von ihnen verarbeiteten Daten erhalten.
Verschlüsselungsmethoden
Falls Unbefugte es doch mal schaffen sollten, auf bankinterne Daten zuzugreifen, kann eine Datenverschlüsselung Schlimmeres verhindern. Daten können nämlich mittels Verschlüsselungsmethoden nicht einfach so ausgelesen werden.
Klartextdaten und direkt zu öffnende Dateien werden in nicht lesbare, verschlüsselte Informationen umgewandelt. Nur mittels eines eindeutigen Schlüssels, der zum Zeitpunkt der Verschlüsselung bereitgestellt wurde, können diese unlesbaren Texte und Dateien direkt wieder entschlüsselt werden.
Die Verschlüsselungsmethoden lassen sich mit Authentifizierungsdiensten kombinieren. Dadurch wird sichergestellt, dass nur autorisierte Benutzer auf die verschlüsselten Daten zugreifen können.
Fazit
Wie du bereits im Blogartikel Data as an Asset erfahren hast, haben Daten einen ökonomischen Wert, der sich berechnen lässt. Die Sicherheit dieser Daten hat deshalb höchste Priorität.
Mittels verschiedener organisatorischer und technischer Maßnahmen können die Bedrohungen von Datenmanipulation, Datenzugriff durch unbefugte Personen oder auch Datendiebstahl stark reduziert werden. Neben all den Maßnahmen ist aber auch jeder Mitarbeiter und jede Mitarbeiterin einer Bank für mögliche Datensicherheitsgefahren zu sensibilisieren, denn das Einfallstor zur IT einer Organisation und damit zu den zu schützenden Daten sind oftmals die Angestellten selbst.
Beachtet man bei der Einführung von Data Governance in einer Bank den Aspekt der Datensicherheit und erstellt einen zugeschnittenen Maßnahmenkatalog, dann wird man am Ende mit Kai Fengs Worten sagen können: „Governance is cool, yeah you got that right, in the name of data: hands up and high five!“