Datenschutz in SAP-Testumgebungen

Maskierte Daten erfüllen DSGVO-Regeln

25.06.2018
Von 


Minas Botzoglou ist Regional Director DACH bei Delphix und verantwortet den Vertrieb im deutschsprachigen Raum sowie den Aufbau eines Partnersystems. Zu seinen Kompetenzbereichen zählen die Themen Security, Datensicherheit, Prozessmanagement und SAP sowie das Erschließen von Märkten für Start-ups. Er verfügt über mehr als 20 Jahre Erfahrung im Enterprise Sales, unter anderem bei Jive Software, der Software AG und bei Symantec.
Die EU-Datenschutzgrundverordnung (EU-DSGVO) stellt Unternehmen vor die Herausforderung, personenbezogene Daten für Test- und Entwicklungszwecke zu anonymisieren. Mit einer DataOps-Plattform und maskierten Daten lassen sich die neuen Regeln einhalten.

SAP-Anwendungen bilden das digitale Rückgrat vieler moderner Unternehmen. Die Anwender erfassen in diesen Systemen normalerweise sensible Informationen, wie Kundendaten, geistiges Eigentum und Finanzinformationen. In der jüngeren Vergangenheit wurde lang und breit diskutiert, dass Unternehmen, die personenbezogene Daten als Teil ihrer üblichen Geschäftsprozesse nutzen, die Regeln der DSGVO einhalten müssen. Was viele jedoch nicht wissen ist, dass auch solche Unternehmen, die personenbezogene Daten indirekt beispielsweise in Entwicklungs- und Testumgebungen nutzen, ebenfalls zur Compliance verpflichtet sind. Interessanterweise liegen genau hier die meisten Daten - in den Nicht-Produktionsumgebungen.

Maskierte Daten helfen, die Datenschutzregeln einzuhalten.
Maskierte Daten helfen, die Datenschutzregeln einzuhalten.
Foto: Nathapol Kongseang - shutterstock.com

Stellen Sie sich hierzu folgendes Szenario vor: Eine SAP-Datenbank enthält personenbezogene Inhalte, die in eine Testdatei einfließen. Ein Drittanbieter erhält diese Testdaten und wird damit beauftragt, eine neue Smartphone-App zu entwickeln. Um den Zugang für Entwickler zu vereinfachen, wird über die Cloud eine Kopie der Daten bereitgestellt. So erhält das externe Entwicklungsteam Einblicke in die Daten - das Risiko für Datenlecks erhöht sich. Der Dienstleister könnte die Daten ohne das Wissen des Datenverantwortlichen kopieren und an weitere Empfänger übermitteln. Spätestens seit 25. Mai dieses Jahres schiebt die neue EU-Datenschutzgrundverordnung solchen Aktivitäten einen Riegel vor, indem es die Vorgaben für das Verarbeiten von persönlichen Daten verschärft.

Alles zum Thema SAP finden Sie in unserem Online-Special

Findet das Testen und Entwickeln mit personenbezogenen Daten statt, sehen sich Unternehmen mit denselben Auflagen konfrontiert, wie Unternehmen, die mit reinen Produktionsdaten arbeiten. Die Risiken und Kosten wiegen in diesem Fall jedoch schwerer - und lassen sich nur unter Umständen für eine neue Marketing-App vertreten. Den Ausweg aus dem Dilemma weist eine Datenmaskierungs-Technologie. Dank ihr fallen Datensätze nicht mehr unter die Anforderungen der DSGVO.

SAP-Suchprofil führt direkt zu DataOps

Bei einer Datenmaskierungs-Technologie werden Merkmale, die für eine Identifikation von Personen nötig sind, durch anonyme Daten ersetzt. Das Problem dabei: Sensible Daten in einer SAP-Landschaft zu identifizieren und zu maskieren, ist aufwendig und kostet Zeit. Gleichzeitig setzt agile Software-Entwicklung jedoch voraus, dass realitätsnahe Testdaten in kürzester Zeit zur Verfügung stehen. Hinzu kommt die Notwendigkeit, ein kontinuierliches Testen über alle Entwicklungsstufen zu implementieren. Dieser sogenannte Shift-Left-Ansatz besagt, dass die Qualitätskontrolle schon beim Starten der Entwicklermaschine greifen sollte.

Dieses Anforderungsprofil erfüllt die DataOps-Technologie. Die Software-Lösung kann auf allen gängigen Hypervisor installiert werden und erstellt dann virtuelle Datenkopien aus Datenbanken wie Oracle, SQL Server, DB2, mySQL oder Sybase, aber auch Applikationen. Die Einbindung der unterschiedlichen Datenquellen erfolgt über Standardschnittstellen. Nach der initialen Virtualisierung findet die fortlaufende Synchronisation lediglich inkrementell statt, weshalb nur die expliziten Änderungen in der Ursprungs-Datenquelle in die komprimierte Datenkopie übertragen werden. Über Self-Service-Zugänge können Nutzer Datenbanken und Anwendungen in den virtuellen Umgebungen sofort installieren und diese beliebig oft replizieren.

Schritte zum effizienten Maskieren

IT-Verantwortliche beginnen das Maskieren in SAP-Umgebungen, indem sie über eine DataOps-Lösung intelligent Profile der vielen Datenbanktabellen in den SAP-Anwendungen erstellen. Gute Datenmanagement-Services bieten vorkonfigurierte Profiler-Regeln für das Erkennen von sensiblen Daten an. Unternehmen können diese integrierten Tools über die DSGVO hinaus um eigene Richtlinien erweitern. Das fertige Regelwerk definiert dann den zu verwendenden Standard-Maskierungs-Algorithmus. Dieser verschleiert einheitlich die Felder mit sensiblen Daten, wodurch die Schnittstellen sowie die referentielle Integrität in der SAP-Umgebung gewahrt bleiben.

Lesen Sie in unserem kostenlosen Dossier, was die DSGVO verlangt und wie Sie sich am besten darauf vorbereiten

Eine intelligente DataOps-Lösung nutzt die Datenvirtualisierungs-Technologie, um sofort Datenkopien für Test- und Entwicklungssysteme zu erstellen. Zugriffskontrollen und Access-Rechtevergabe stellen sicher, dass die Datenhoheit bei den Operation-Teams bleibt. Dabei gewährleisten kryptografische Verfahren, dass persönliche Daten irreversibel ersetzt werden. Das Ergebnis: Die Anonymisierung ist der DSGVO entsprechend unumkehrbar.

Als zusätzlichen Vorteil generiert die DataOps-Plattform eine Kopie der Produktionsdaten und synchronisiert diese, falls Änderungen auftreten. Die Plattform nutzt diese Kopie, um bei Bedarf vollständige und aktuelle "virtuelle" Kopien der maskierten Daten zu erstellen. Ein Unternehmen kann so alle nichtproduktiven Daten umfassend kontrollieren. Die Dokumentations-Tools zeigen zudem an, wo sich virtuelle Kopien befinden und wer Zugriff darauf hat.

DSGVO-konform mit sensiblen Daten hantieren

Unternehmen können heute DataOps-Plattformen nutzen, um Profiler-Regeln für einen DSGVO-konformen Umgang mit sensiblen Daten zu erarbeiten und umzusetzen. Die sonst üblichen zeit- und kostenaufwändigen Prozesse zum Maskieren sensibler Daten in einer komplexen SAP-Landschaft fallen dadurch weg. Die angewendete Technologie anonymisiert personenbezogene Daten so, dass Daten nicht mehr der DSGVO unterliegen, während die nützlichen Korrelationen für Entwicklung und Tests erhalten bleiben. Insgesamt lassen sich so Release-Zyklen beschleunigen und die Qualität der Anwendungen verbessern.