Sichere Datenverwaltung

Regulatory Compliance durch Metadata-Management

Michael Matzer

Metadata-Management (MDM) ist die Grundlage für die Einrichtung einer unternehmensweiten Datenarchitektur, die für die Durchsetzung der IT-Sicherheitslinien eines Unternehmens von Bedeutung ist. Die Einrichtung einer Datenarchitektur, die Governance und Compliance berücksichtigt, lässt sich mit Modellierungswerkzeugen realisieren, die bestimmte Voraussetzungen erfüllen.

Bislang haben sich IT-Manager vor allem um die Abschottung des Intranets gegen Angriffe von außen gekümmert, doch auch die eigene Datenbank ist immer wieder Angriffsziel innerhalb eines Unternehmens. Dass die Gefahr in höherem Maße von den eigenen Mitarbeitern droht, machen Untersuchungen immer wieder deutlich. Schätzungen gehen davon aus, dass im Zeitraum zwischen Februar 2005 und Februar 2006 die persönlichen Daten von mehr als 53 Millionen Amerikanern unrechtmäßig offen gelegt wurden (Privacy Rights Clearinghouse vom 25.03.2006. „A Chronology of Data Breaches“).

Durch entsprechende Datenschutzverstöße wurden durchschnittlich Kosten von 14 Millionen Dollar pro Fall verursacht (Gregg Keizer, 14.11.2005: „Consumers Flog Companies That Lose Data“).

Bestimmte Aspekte spielten also beim Schutz von Daten bislang eine untergeordnete Rolle. Man schirmte das Netzwerk und die Peripherie ab, doch der Schutz gegen unbefugten Zugriff eigener Mitarbeiter wurde – je nach Vorgehensmodell – vernachlässigt. Das sollte und muss sich ändern. Während Betriebssysteme bekanntlich Zugriffsbeschränkungen bereitstellen und sich durch Identity Management ebenfalls Zugangsregeln durchsetzen lassen, gibt es noch eine Reihe Sicherheitsmaßnahmen, die hinsichtlich der Sicherheit von Datenbanken getroffen werden sollten. Dazu gehören die folgenden Aspekte:

  • IT-Sicherheitsstrukturen im Unternehmen: Umfassen sowohl hardware- als auch softwareseitige Schutzmaßnahmen (Firewall, Verschlüsselung, Zugangscodes, Zugangskarten, Ausweise, Videoüberwachung usw.), die in ein umfassendes Sicherheitskonzept eingebunden sind.
  • Governance: Durch Policies, Standards und Prozeduren für Aspekte wie Datenbank-Design sowie durch eine Sicherheitsklassifizierung von Daten und Sicherheitseinstellungen werden verbindliche Vorgaben für den Umgang mit den internen Daten gemacht, an die sich jeder Mitarbeiter halten muss.
  • Metadata-Management (MDM): Dies umfasst die Bestandsaufnahme und Analyse der Unternehmensdaten bezüglich ihrer Qualität, die Erkennung von Redundanzen, die Verifizierung der Metadatastrukturen und die Standardisierung der Metadaten in Anlehnung an die IT-Sicherheitsrichtlinien.
  • Administration und Änderungsmanagement können weitere Schutzmaßnahmen bereitstellen, mit Kontrollen wie Passwörtern und Verschlüsselung lassen sich Sicherheitsrichtlinien durchsetzen. Auditing überprüft die Einhaltung bzw. den Verstoß gegen diese Vorgaben. Die diesen Aufgabenbereichen zugewiesenen Mitarbeiter verfügen über bestimmte Zugriffsrechte, doch um Missbrauch auszuschließen, sollte kein Mitarbeiter über uneingeschränkte Zugriffsrechte verfügen. Daher müssen im Sicherheitsbereich alle Rollen und Verantwortlichkeiten genau festgelegt werden. Jedes Schutzsystem kann jeden Nutzer ausschließen, deshalb kommt es auf die Ausnahmen für die Befugten an – und auf deren Berechtigungen.
Rollen und Zuständigkeitsbereiche

In jedem Unternehmen sind Sicherheitsfunktionen, operative Aufgaben und Audit-Funktionen unterschiedlich strukturiert. Dennoch sollten all diese Funktionen in jedem Unternehmen vorhanden sein und innerhalb des Unternehmens voneinander unabhängig operieren. Bei der Führung eines so genannten „Audit Trails“ ist es beispielsweise nicht besonders günstig, wenn die für administrative Aufgaben zuständige Person gleichzeitig auch die Möglichkeit hat, diesen Audit Trail zu modifizieren oder zu deaktivieren. Noch problematischer ist es, wenn diese Person auch für die Meldung ungewöhnlicher Aktivitäten verantwortlich ist. Das hieße, den Bock zum Gärtner machen.

Im Zusammenhang mit der Sicherheit von Daten und Datenbanken gibt es folgende Rollen und Verantwortlichkeiten. Dabei ist es nicht nur wichtig, die in den Zuständigkeitsbereich der einzelnen Rollen fallenden Sicherheitsfunktionen zu definieren; vielmehr muss auch festgelegt werden, wo die einzelnen Rollen enden, um eine klare Aufgabentrennung zu gewährleisten. (Die Liste ist eine Auswahl, und es gibt, wie gesagt, auch Funktionen in Betriebssystemen und Identity Management, um diese Policies durchzusetzen.)

  • IT-Sicherheitsbeauftragter: ist auf Adminebene zuständig für Governance, technische Sicherheit, Auditing; für die Definition von Policies, Standards und Prozeduren, die Definition und Überprüfung von Audit-/Compliance-Berichten sowie die Reaktion auf Echtzeit-Sicherheitsalarme, bei denen ein Verstoß gegen eine Sicherheits-Policy vorliegt.
  • Datenbank-Administrator (DBA): Seine Aufgaben sind Administration und Änderungsmanagement im Datenbankbereich, die Festlegung der zu überwachenden Datenbanktabellen, Benutzer und sicherheitsrelevanten Ereignisse, die Generierung von Audit-Berichten, die Überprüfung von Audit-Berichten auf inhaltliche Richtigkeit und Integrität, die Reaktion auf Echtzeit-Sicherheitsalarme, bei denen ein Verstoß gegen eine Schutzrichtlinie vorliegt, und er ist zuständig für die Durchführung von Datenbank‑Backups und Sicherung des Audit-Repositories. Der DBA hat Zugang zum Auditing-Repository, aber nur für die von dieser Person verwalteten Datenbanken.
  • Datenarchitekt: ist zuständig für Architektur und Änderungsmanagement, die Umsetzung von Sicherheitsanforderungen in der Gestaltung und Strukturierung der Datenbank, die Erstellung und Implementierung von Standards für die Datennutzung, einschließlich der Sicherheitseinstufung von Daten (s.u.), die Information der Datennutzer über unternehmensweite Datenstandards, so etwa über Aspekte der Informationssicherheit.

Diese drei Positionen sind an kritischen Stellen der Sicherheitsarchitektur eines Unternehmens angesiedelt. Arbeiten sie gut und zusammen, können sie die Datenarchitektur in hohem Maße schützen, aber nicht hundertprozentig. Weitere Positionen sind zu besetzen, aber auch jeder Mitarbeiter muss sich für Datenschutzbelange einsetzen. Immerhin gilt: Allein schon durch die Schaffung bestimmter Voraussetzungen hinsichtlich Datenarchitektur, Governance, Administration und Änderungsmanagement lassen sich Verletzungen der Sicherheitsrichtlinien unterbinden. Während ein interner IT-Auditor post factum kontrolliert, was bei einer solcher Verletzung passiert ist, kann ein Datenarchitekt solche Verletzungen von vornherein verhindern. Seinen Aufgabenbereich stellt das Folgende im Detail vor.

Ein Vorgehensmodell für Datensicherheit

Im Folgenden wird ein Vorgehensmodell für die interne Datensicherheit angeboten. Es erhebt keinen Anspruch auf exklusive Korrektheit und neben der Lösung ER/Studio von Embarcadero Technologies sollte man einige weitere Werkzeuge einsetzen, vor allem Tools, die die Datenbanken schon selbst mitbringen. Es soll gezeigt werden, wie weit sich Schutz allein schon anhand von Metadata-Management aufbauen lässt.

Wie kann man Daten absichern, bei denen man nicht weiß, ob man sie besitzt und wo sie gespeichert sind? Aus diesem Grund ist es wichtig, nicht nur die Hardware, sondern auch die darin enthaltenen Datenbanken und Datentypen vollständig zu inventarisieren. Danach sollten die Komponenten mit dem jeweiligen fachlichen Eigner (s.o.) verknüpft werden; denn er hat zu entscheiden, wie mit den Daten verfahren werden soll. Ein Prozess ist zu implementieren, mit dem festgelegt wird, wie neue Komponenten in die Bestandsliste aufgenommen werden, wenn man neue Datenbanken in Betrieb nimmt.

Nach der Bestandsaufnahme der vorhandenen Datenbanken und Datentypen müssen diese auf der Grundlage der Datenklassifizierungs-Policy der Unternehmens-Governance klassifiziert werden. Durch entsprechende Klassifizierungs‑Attribute wird definiert, welche Sicherheitsmaßnahmen implementiert werden müssen und welche gesetzlichen und organisatorischen Vorgaben (Compliance und Governance) zu beachten sind. Deshalb sollten für personenbezogene Daten und die Datenbanken, in denen diese enthalten sind, strengere Maßnahmen implementiert werden. Durch die Verwendung von Metadaten im Datenbank-Design lassen sich Daten inventarisieren und klassifizieren. Mit Hilfe der Metadaten wird ein Data Dictionary aufgebaut, das wiederum die Grundlage für Datenmodelle bildet. Das Dictionary weist Domänen wie etwa „NAME“ bestimmte Attribute zu und verwaltet sie unternehmensweit auf einheitliche Weise. Mit Datenmodellen können Informationen zu Daten erfasst werden, um diese schnell und problemlos nutzbar zu machen, vor allem für die Generierung zuverlässiger Berichte zu Datenklassifizierungen. Auf diese Weise verfügt das Unternehmen über einen umfassenden Überblick über sämtliche Daten.

  1. Erstellung eines Datenmodells: Ein Datenmodell kann durch Reverse Engineering der Metadaten aus dem Systemkatalog der meisten relationalen Datenbanken erzeugt werden. Die nötigen Metadaten lassen sich im Data Dictionary wie auch in Business Intelligence- und ETL-Tools finden, in anderen Modellierungswerkzeugen sowie in Formaten wie XML und XMI. Eine modellgesteuerte Lösung für Datenarchitektur und Datenbank-Design ist ER/Studio von Embarcadero. Das Tool unterstützt Unternehmen bei der Ermittlung, Dokumentation und Wiederverwendung von Datenbeständen. Es vereinfacht die Inventarisierung und Klassifizierung vorhandener Datenbanken und Datentypen und erlaubt eine Übernahme dieser Klassifizierungen bei der Entwicklung künftiger Applikationen. Solch ein Modellierungstool sollte auf jeden Fall ein Repository besitzen, das sich durchsuchen lässt, um daraufhin Berichte erstellen zu können.
  2. Risikoanalyse findet Schutzbereiche: Datenarchitekten nehmen nach der Erstellung des Datenmodells eine Risikoanalyse der vorhandenen Datenarchitektur vor. Klassifizierte Risikodaten sind zum Beispiel Kreditkartennummern mit den damit verknüpften Kundennamen. Der Zugang zu dieser Tabelle sollte eingeschränkt oder nur mit bestimmten Befugnissen (s. o.) erlaubt sein. In den USA werden Sozialversicherungsnummern (SSNs) per Gesetz automatisch als sensitiv eingestuft. Dem DBA bieten die Hersteller der aktuellen Datenbanken die Möglichkeit, diese Tabelle zu verschlüsseln. Diese Klassifizierung wird also in einem Report hervorgehoben werden. Ein anderer Report würde alle solche Tabellen aufführen, sie klassifizieren und die Stellen bezeichnen, wo sie in Modellen und Datenbanken abgelegt sind.
  3. Die operative Umsetzung des Risiko-
    analyse: Diesen Report erstellt der Datenarchitekt und gibt ihn an den DBA und/oder den Systemverwalter weiter. Diese Stellen richten dann die Befugnisstruktur ein, die Sicherheitsrollen und führen eventuell auch die Verschlüsselung aus. Dem DBA steht zum Beispiel das verbreitet eingesetzte Embarcadero-Werkzeug DBArtisan zur Verfügung. DBArtisan verfügt über umfangreiche grafische Editoren und Wizards, die produktivitätssteigernd wirken, indem sie zur Reduzierung von Fehlern beitragen. Die Governance-Regeln, die für bestimmte Datenklassen gelten, werden in der Regel mit den sensitiven Daten verknüpft, sodass sie immer gelten, sowohl wenn die Daten ruhen als auch wenn sie im System bewegt werden. Der Schutz ist dann permanent.
Fazit

Die Schaffung eines unternehmensweiten Metadata-Managements trägt nicht nur zu einer größeren Transparenz von Datenbeständen bei, sondern ermöglicht Unternehmen langfristig auch eine bessere und sicherere Verwaltung der Daten. Durch die größere Transparenz kann eine der Compliance und Governance entsprechende Nutzung von Daten sichergestellt werden. Darüber hinaus können die Eigner der Daten schneller auf Datenanforderungen reagieren, ohne vorhandene Informationen duplizieren zu müssen.

Die Architektur (und die Sicherheit) sollten von den Policies und Standards des Unternehmens bestimmt werden. Ein geeignetes Modellierungswerkzeug für die Datenarchitektur setzt Compliance und Governance um und erlaubt die operative Anwendung von Schutzrichtlinien für die entsprechenden Datenklassen. Allerdings sollte deutlich geworden sein, dass es nur einen begrenzten Beitrag zur Regulatory Compliance einer Datenbank leisten kann. DBAs verfügen über weitere Werkzeuge, um die Sicherheit zu gewährleisten (Verschlüsselung usw.).

Michael Matzer arbeitet als Journalist, Buchautor, Rezensent und Übersetzer und lebt in der Nähe von Stuttgart.
Geschrieben von
Michael Matzer
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.