Zum Hauptinhalt springen

Anonymisierung sensibler Daten im IT-Betrieb - Grundschutz für Dumps, Logs und Traces

Webcast-Aufzeichnung vom 28.9.2023

ENTERPRISE-IT-SECURITY.COM
Firma: ENTERPRISE-IT-SECURITY.COM
Sprache: Deutsch
Dauer: 60 Minuten
Erscheinungsjahr: 2023
Besonderheit: registrierungspflichtig Agenda herunterladen
Exklusiv
für Mitglieder

Premium: Einloggen und anschauen

Beim täglichen Betrieb der Unternehmens-IT fallen sensible Daten an, die geschützt werden müssen. Welche rechtlichen Aspekte dabei eine Rolle spielen und welche technischen Herausforderungen es zu beachten gilt, erfahren Sie in dieser Webcast-Aufzeichnung.

Sprecher

Dr. Alesch Staehelin

Dr. Alesch Staehelin

Rechtsanwalt, Digital Lawyer & Counsel (DLC)

Dr. Alesch Staehelin ist Rechtsanwalt in Zürich.
Mit seiner Kanzlei Digital Lawyer & Counsel (DLC) ist er in den Bereichen "Data, IT/IP & Media" tätig: Er entwirft, prüft und verhandelt Verträge aller Art (insbesondere komplexe, zeitkritische und grenzüberschreitende Tech-Deals), er berät in Fragen des Datenschutzes, der IT-Sicherheit, der digitalen Transformation, der neuen Technologien (IoT, AI, VR, AR usw.), der sozialen Medien, des e-Commerce, des Urheber-, Unterhaltungs- und Medienrechts, des Marken-, Design- und Patentrechts (inkl. Know-how-Schutz), des unlauteren Wettbewerbs usw., er vermittelt in strittigen Projekten, und er führt Gerichts- und Schiedsverfahren. Zuvor war Alesch Staehelin über ein Jahrzehnt Partner in einer schweizerischen Anwaltskanzlei und Senior Corporate Counsel bei IBM.
Dr. Stephen Fedtke

Dr. Stephen Fedtke

Chief Technology Officer (CTO), ENTERPRISE-IT-SECURITY.COM

Dr. Stephen Fedtke ist Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM,
ein auf IT-Sicherheit und Compliance-Lösungen spezialisierter Dienstleistungsbereich des
Unternehmens Dr. Stephen Fedtke System Software. Als Co-Founder dieses Lösungs-Providers
für Mainframes und Client-Server-Plattformen ist er seit 20 Jahren für die Entwicklung und
Implementierung hochinnovativer und zuverlässiger Technologien verantwortlich.
Dr. Stephen Fedtke ist Wirtschaftsingenieur, Bereich Elektrotechnik. Er ist Autor und Herausgeber
zahlreicher Fachbücher im Bereich Informationstechnologie im Springer Vieweg Verlag.
Martin Seiler

Martin Seiler

Heise Business Services

Martin Seiler befasste sich als IT-Redakteur bei der Computerwoche viele Jahre lang mit Themen wie Netzwerke, Telekommunikation oder Security. 2006 wechselte er in den Eventbereich von IDG, für den er Fachveranstaltungen unterschiedlichster Art wie Seminare, Konferenzen, Roadshows und Webcasts entwickelte, organisierte und moderierte. Seit 2010 arbeitet Martin Seiler für Heise Business Services.

Dumps entstehen bei allen Computer- und Applikationsabstürzen. System-Logs werden fortlaufend erzeugt. Traces, z.B. des Netzverkehrs, erstellt der Administrator gezielt für die Problemanalyse. Sämtliche IT-Diagnose-Daten enthalten potentiell sensible Personendaten, sicherheitsrelevante Informationen und Geschäftsgeheimnisse. Ohne Zweck dürfen personenbezogene Daten gemäß DSGVO und DSG Dritten nicht zugänglich gemacht werden. Dennoch werden IT-Diagnose-Daten regelmäßig vom IT-Betrieb an den Support der Software-Anbieter und Dienstleister geschickt, oft auch in „unsichere Drittländer“ wie etwa USA, Indien oder China. Dort werden sie entschlüsselt, gespeichert und verarbeitet.

Datenschutzverletzungen durch IT-Diagnose-Daten betreffen die Bereiche: IT-Betrieb, IT-Security, Datenschutz, IT-Haftpflicht und Cyber-Versicherung (Obliegenheitsverletzungen und Deckungseinwendungen).

Dieses Datenschutz- und Sicherheits-Risiko kann durch Anonymisierung und Pseudonymisierung der sensiblen Daten eingegrenzt werden. Erfahren Sie hierzu von Dr. Alesch Staehelin, Rechtsanwalt in Zürich, und Dr. Stephen Fedtke, Chief Technology Officer (CTO) von ENTERPRISE-IT-SECURITY.COM wichtige rechtliche und technische Details in den beiden Fachvorträgen dieses Webcasts.

Teil 1 - rechtliche Aspekte: Anonymisierung oder Pseudonymisierung – wie können Risiken minimiert werden?

Von "Pseudonymisierung" ist im Zusammenhang mit Möglichkeiten der Datenbearbeitung oft die Rede, es gibt hier aber auch viele Missverständnisse: Pseudonymisierung ist eine grundlegende Methode zum Mindern von Datenschutzrisiken. Die DSGVO definiert sie sinngemäss als die Verarbeitung personenbezogener Daten in einer Weise, dass diese Daten ohne Hinzuziehen zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. In der Schweiz ist die Rechtslage nicht anders. Der Unterschied zur "Anonymisierung" besteht darin, dass bei der Anonymisierung persönliche Identifikatoren entfernt werden, Daten aggregiert werden oder diese Daten so bearbeitet bzw. verarbeitet werden, dass sie nicht mehr einer bestimmten oder bestimmbaren Person zugeordnet werden können. Im Gegensatz zu anonymisierten Daten gelten pseudonymisierte Daten sowohl nach DSGVO wie auch in der Schweiz als personenbezogene Daten. Darum ist zwischen diesen beiden Konzepten stets klar zu unterscheiden.

Teil 2 - technische Aspekte: Anonymisierung von datenschutz- und sicherheits-kritischen Daten in IT-Diagnose-Dateien

Dumps, Logs und Traces bieten für die Anonymisierung von sensiblen Daten die besondere Herausforderung einer unstrukturierten Gesamtsituation. Im Vergleich zu einer Datenbank, einem CSV- oder Excel-File liegen die gespeicherten sensiblen Daten in keiner strukturierten Form vor. Bei Dumps ist es einfach der „ausgekippte Speicherinhalt“.

Die Identifikation der willkürlich in IT-Diagnose-Dateien eingelagerten und verteilten Personen- und Sicherheits-Daten ist eine komplexe Aufgabe. Herausfordernd ist, wenn Daten binär-kodiert sind, d.h. nicht direkt als lesbare Texte erscheinen.

Neben der Suche ist aber auch die Auswahl der Anonymisierungs- und Pseudonymisierungs-Methode entscheidend.  Denn der Erhalt der Aussagekraft der IT-Diagnose-Dokumente, und damit der Erhalt ihres technischen Wertes, ist grundsätzlich von höchster Priorität und gleichzeitig eine schwierige Aufgabe. Während nicht-technische, personen-bezogene Daten anonymisiert werden können, ist für ausgewählte diagnose-relevante technische Daten eine Pseudonymisierung nötig. Erst mit den richtigen Algorithmen lässt sich das Problem toolbasiert und automatisiert lösen.

Herr Staehelin und Herr Fedtke beantworteten während der Sendung auch Fragen der Zuschauer. Moderator der Sendung war Martin Seiler von Heise Business Services.

Anonymisierung sensibler Daten im IT-Betrieb - Grundschutz für Dumps, Logs und Traces

Webcast-Aufzeichnung vom 28.9.2023

Inhaltstyp: Webcast
ENTERPRISE-IT-SECURITY.COM