Die digitale Transformation, neue Technologien sowie die allgemeine Geschäftspraxis führen dazu, dass sich Datenmengen ansammeln, die Unternehmen kaum bewältigen können. Genauer gesagt, ist es schier unmöglich geworden, Daten korrekt zu klassifizieren, um veraltete und unnötige Informationen zu löschen.
Ohnehin zwingen die Richtlinien der DSGVO Unternehmen dazu, nur die notwendigsten personenbezogenen Informationen zu speichern. Nicht zuletzt sind aufgeblähte Datenbanken ein dankbares Angriffsziel für Hacker. Eine Daten-Diät ist somit alternativlos.
Daten sind das Gold des digitalen Zeitalters – keine Frage. Die Gründe liegen auf der Hand: Je mehr Informationen Unternehmen über ihre Kunden besitzen, desto besser lernen sie diese kennen und desto eher können sie auf geänderte Anforderungen und Bedürfnisse reagieren – etwa mit neuen Produkten, Lösungen oder Kundenservice-Angeboten. Dies ist jedoch nur die eine Seite der Medaille. Nackte Daten an sich sind nutzlos. Erst durch den Einsatz ausgefeilter Datenanalyse-Tools ist es möglich, sie in nützliche Informationen zu verwandeln, die dem Unternehmen wirklich dienlich sein können.
Darüber hinaus regeln Vorschriften wie die Datenschutz-Grundverordnung, wieviel digitales Wissen Organisationen über Personen sammeln dürfen – nämlich nur so viel, wie zwingend nötig. Flattern Data Subject Access Requests (DSAR) dieser Personen ins Haus – also Anträge auf die Erteilung einer Auskunft über die Speicherung und Verarbeitung personenbezogener Daten – müssen Unternehmen diesem innerhalb einer Frist von einem Monat nachzukommen. Wer auf dieses Auskunftsersuchen nicht reagiert, muss mit hohen Strafen rechnen.
Eine große Herausforderung, denn bei vielen Unternehmen liegen diese wichtigen Informationen in unstrukturierten Daten wie E-Mails, Tabellenkalkulationen und Textdokumenten vor. Viele dieser einst erhobenen Daten sind längst veraltet oder schlichtweg überflüssig. Doch was tun, wenn das nötige Handwerkszeug fehlt, um die riesigen Datenmengen in allen firmeneigenen Systemen erfolgreich zu durchforsten, um die gewünschten Auskünfte zu erteilen?
Die Sicherheitsrisiken
Doch dies ist nicht die einzige Herausforderung, mit der viele Unternehmen zu kämpfen haben. Es herrscht unter ihnen immer noch die Meinung, dass es nahezu unmöglich sei, die Eigentumsverhältnisse und Inhalte veralteter Datensätze zu identifizieren. Eine Einstellung, die sie nicht geringen Sicherheitsrisiken aussetzt. Cyberkriminelle werden nicht müde, nach neuen Wegen zu suchen, um in Firmennetzwerke einzudringen und sensible Daten zu ergattern. Je mehr Informationen Organisationen an unterschiedlichen Orten aufbewahren, desto mehr Ansatzpunkte gibt es für Hacker. Anders ausgedrückt: Große Mengen unnötiger oder veralteter Daten erhöhen die Angriffsfläche eines Unternehmens. Hinzu kommt, dass nur wenige über die nötigen Technologien und Tools verfügen, um die Sichtbarkeit und den Zugriff auf alte Datensätze zu überwachen. So dürfte es für IT-Teams viel Zeit in Anspruch nehmen, eventuelle Schwachstellen oder eine nicht konforme Datenverwaltung zu erkennen.
Verstöße gegen das Regelwerk der DSGVO wirken sich natürlich auch negativ auf die Compliance aus. Die EU erlässt harte Strafen gegen jene, die sich nicht an die Vorschriften halten. Einem deutschen Unternehmen wurde kürzlich eine Geldstrafe von mehr als 14 Millionen Euro auferlegt, weil es sich nicht an den Grundsatz des „Privacy by Design“ gehalten hat. Diese Maxime legt nahe, im Vornherein schon nur so viele Daten zu erheben, wie unbedingt notwendig. Jedoch kam in diesem Fall ein Archivsystem zur Anwendung, das nicht in der Lage war, überflüssige oder veraltete Daten zu entfernen. Zweifellos wollte man mit dieser Summe auch eine Signalwirkung hervorrufen, die ohne Umschweife zeigte, welch hohen Stellenwert Datenschutz und -sicherheit in Deutschland genießen.
Sicherlich ist die Überlastung vieler IT-Teams dafür verantwortlich, dass sie sich auf ihre eigentlichen Kernaufgaben konzentrieren müssen, weshalb Themen wie Sicherheit oder Data Governance leicht mal unter den Tisch fallen können. Sie sind nur bedingt in der Lage, die Richtlinien durchzusetzen, sodass sie sich zumeist darauf verlassen, dass die einzelnen Mitarbeiter selbst ihre Dateien korrekt verwalten. Die Realität sieht jedoch so aus, dass die meisten keine Zeit in das Sortieren oder Verwalten von Dokumenten und Daten investieren möchten und diese oftmals „nur für den Fall“ aufbewahren, da sie ihnen zu einem späteren Zeitpunkt dienlich sein könnten. Nochmals problematischer wird dies, wenn ein Mitarbeiter die Abteilung wechselt oder ausscheidet und niemand mehr seine Daten verwaltet. Antragssteller, die auf die Erteilung einer Auskunft über ihre erhobenen Daten hoffen, bekommen so meist nur veraltete Informationen, während die jeweiligen Unternehmen darauf hoffen, dass die unstrukturierten Daten niemals offengelegt werden. Praktikabel ist dieser Ansatz freilich nicht.
Der bessere Weg
Ob zur Einhaltung der Compliance oder zur Optimierung der allgemeinen Geschäftspraxis – die Qualität des Datenmanagements zu erhöhen, macht nicht nur Sinn, es reduziert auch ganz erheblich Risiken. Doch die Umsetzung ist alles andere als trivial: Wem gehören die Daten? Wer hatte zuletzt darauf Zugriff? Welche Daten enthalten die Dokumente genau? Und gibt es darunter wirklich wertvolle Informationen, die dem Unternehmen zugutekommen könnten?
Der Zugriff und Besitz von Daten im Unternehmen dreht sich heutzutage um persönliche Referenzen und digitale Profile. Ein Ansatz wäre daher ein identitätszentriertes Sicherheitsmodell. Dies kann bei der Definition der Art und Weise, wie eine Organisation Informationen sammelt und wie sie diese klassifiziert sowie bei der Festlegung der Aufbewahrungszeit dieser Daten von entscheidender Bedeutung sein. Unternehmen benötigen auch Kontrollen, damit IT-Teams überprüfen können, ob die Richtlinien ordnungsgemäß umgesetzt wurden.
Eine Organisation muss in der Lage sein, verschiedene Arten von Informationen automatisch und vollumfänglich einzusehen – insbesondere dann, wenn es sich um sensible Daten oder um Dubletten handelt – um diese entsprechend den Anforderungen der Richtlinien zu verwalten oder zu löschen.
Ein identitätsbasiertes Programm zur Verwaltung von Daten, die in Anwendungen und Dateien oder Ordnern gespeichert sind, spielt hierbei eine tragende Rolle. Nur mit einem umfassenden identitätsbasierten Ansatz wird eine Organisation in der Lage sein, festzustellen, welche Informationen in den Dateien und Ordnern gespeichert sind, wer auf diese Dateien zugreift, was Mitarbeiter mit diesen Dateien tun, wer der rechtmäßige Eigentümer ist und wann zuletzt auf diese Informationen zugegriffen wurde. Auf diese Weise könnten alle Anträge auf Auskunftserteilung bezüglich der Speicherung und Bearbeitung von personenbezogenen Daten abgearbeitet werden – unabhängig davon, ob es sich dabei um strukturierte oder unstrukturierte Informationen handelt. Durch die Rückverfolgbarkeit der Daten lassen sich solche Aufgaben in weniger als 20 Minuten erledigen.