Datensicherheit Produktionsdaten wie „Kronjuwelen“ schützen

Von Thomas LaRock 3 min Lesedauer

Anbieter zum Thema

Die Sicherheit von und der Zugang zu seinen Kronjuwelen ist dem britischen Königshaus ein unmittelbares und ständiges Anliegen. Das Gleiche sollte auch für die „Kronjuwelen“ eines Unternehmens gelten: Produktionsdaten, mit denen sie ihre geschäftskritischen täglichen Aufgaben und Prozesse durchführen können, einschließlich der Kernanwendungen, die das Unternehmen täglich nutzt.

Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas.
Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas.
(Symbolbild: tomertu - stock.adobe.com)

Wenn die britischen Kronjuwelen transportiert oder bewegt werden, wie z.B. für eine königliche Hochzeit oder die anstehende Krönungszeremonie von Charles III, werden sie jederzeit von hochrangigen Ex-Militärmitgliedern bewacht, und der Zugang ist nur einigen wenigen ausgewählten Personen gestattet. Diese Anekdoten zeugen nicht von der Liebe zur königlichen Familie, sondern verdeutlichen vielmehr, dass die Sicherheit von und der Zugang zu den Kronjuwelen dem Königshaus ein unmittelbares und ständiges Anliegen ist. Das Gleiche gilt auch für die „Kronjuwelen“ eines Unternehmens – die Produktionsdaten, mit denen sie ihre geschäftskritischen täglichen Aufgaben und Prozesse durchführen können, einschließlich der Kernanwendungen, die das Unternehmen täglich nutzt.

In vielen Fällen richten Unternehmen Testumgebungen ein, in denen Entwicklerteams Codes schreiben und Tests durchführen können, um sicherzustellen, dass die gelieferten Anwendungen von hoher Qualität sind, bevor sie an die Kunden weitergehen. Diese Testumgebungen können jedoch Risiken bergen, wenn Unternehmen darin ihre „Kronjuwelen“, die Produktionsdaten, verwenden.

Reale Daten, die Kundeninformationen – wie Sozialversicherungsnummern, Finanzinformationen, Adressen und mehr – oder andere geschützte Daten enthalten, sind für die Geschäftstätigkeit eines Unternehmens von zentraler Bedeutung. Die Verwendung dieser Produktionsdaten in Staging-Umgebungen setzt sie unnötigerweise neuen Risiken aus, die darin bestehen, dass sie übertragen, gestohlen oder offengelegt werden. Um noch einmal die Analogie mit dem königlichen Schatz zu verwenden, wäre dies so, als würde man einem Wachmann erlauben, die Kronjuwelen in einem Einkaufszentrum umherzutragen.

Was ist also die effektivste Methode, um das Risiko der Preisgabe kritischer Daten zu vermeiden und dennoch effektiv hochwertige Anwendungen zu entwickeln?

Die Verwendung von Dummy-Daten

Ein Unternehmen sollte nur selten echte Produktionsdaten für die Entwicklung von Anwendungen verwenden müssen. Stattdessen sollte es einfach Informationen verwenden, die wie Produktionsdaten aussehen, sich so verhalten und verarbeitet werden. Dummy-Daten sind sicherer, weil sie das Risiko ausschließen, dass auf Kundeninformationen unberechtigterweise zugegriffen wird.

Eine der gängigsten Möglichkeiten für Unternehmen, Dummy-Daten für die Verwendung in ihren Testumgebungen zu erhalten, sind Testdaten-Generatordienste oder API-Mocking-Tools. Diese Dienste erstellen automatisch Informationen, die Unternehmen in ihren Testumgebungen verwenden können. Das hört sich zwar einfach an, ist aber in der Regel mit Kosten verbunden, und man muss immer noch manuell einen Beispieldatensatz erstellen und eingeben, damit der Generator funktioniert. Wenn Unternehmen daran interessiert sind, Dummy-Daten selbst zu erstellen, gibt es auch Methoden, mit denen sie Statistiken in ihren Datenbanken simulieren können, um diese Art von Daten zu erzeugen. Durch die manuelle Eingabe von Fake-Informationen in leere Datenbanken (eine Anleitung zur Erstellung von Statistiken zur Information von Dummy-Daten finden Sie hier) in ihrem System können sie Daten zur Verwendung in Testumgebungen generieren.

Leider ist es immer noch üblich, Produktionsdaten in Staging-Umgebungen zu verwenden, weil dies einfacher und kostengünstiger ist als die Erstellung dieser Dummy-Daten. Und obwohl Produktionsdaten oft als das wichtigste Gut eines Unternehmens angesehen werden, ist es erstaunlich, dass sicherheitsbewusste Unternehmen immer noch Produktionsdaten in Testumgebungen verwenden. Trotz aller Warnungen und Risiken für die Unternehmenssicherheit benötigen sie möglicherweise immer noch Produktionsdaten, um eine Anwendung möglichst kostengünstig und in kürzester Zeit zu erstellen.

Falls ein Unternehmen unbedingt Produktionsdaten in seine Testumgebungen übertragen und dort verwenden muss, gibt es eine Handvoll bewährter Verfahren, die es dabei berücksichtigen sollte. Das erste ist die Verwendung von branchenweit empfohlener Datenverschlüsselung. Wenn es um die beste Methode geht, greifen viele Unternehmen auf die vom National Institute of Standards and Technology (NIST) genehmigte Format-Preserving Encryption zurück, um ihre Produktionsdaten zu deidentifizieren.

Alternativ dazu ist die Verschleierung oder Maskierung von Daten eine weitere Technik, die Unternehmen in Betracht ziehen sollten. Der Prozess erzeugt Daten, die strukturell ähnlich, aber nicht identisch mit den Originaldaten sind. Auch wenn das Ziel der Datenmaskierung oder verschleierung darin besteht, eine Version der ursprünglichen Informationen zu erstellen, die nicht entschlüsselt oder zurückentwickelt werden kann, besteht dennoch ein – wenn auch geringes – Risiko.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Es ist von höchster Wichtigkeit, das Risiko der Offenlegung von Produktionsdaten so weit wie möglich zu reduzieren. Die potenziellen Konsequenzen sind schlichtweg zu gravierend.

Über den Autor: Thomas LaRock ist Head Geek bei SolarWinds.

(ID:49242509)