Die DSGVO tritt in weniger als 40 Tagen in Kraft – aber es ist noch früh genug, um sich vorzubereiten. Der erste Schritt für die Vorbereitung auf die drohende Deadline ist das Erkennen und Klassifizieren Ihrer DSGVO-Daten.
Besonders häufig beobachten wir, dass Kunden viel mehr von der DSGVO betroffene Daten haben, als sie dachten. Oder sie sind von deren Existenz sogar völlig überrascht. Eine vor kurzem durchgeführte DSGVO-Bereitschaftsprüfung in einer mittelgroßen Versicherungsgesellschaft förderte einige bemerkenswerte Ergebnisse zu Tage. Im folgenden Beispiel wurde schwerpunktmäßig ein einziger Datenspeicher mit einer auf über 20 Millionen Dateien in 1,36 Millionen Ordnern verteilten Datenmenge von 12 TB untersucht.
In diesem einen Datenspeicher haben wir über 15.000 Dateien mit für die DSGVO relevanten, sensiblen Daten gefunden. 90 % der Dateien mit deutschen Daten (Reisepass- und Personalausweisnummern) lagen für jeden Mitarbeiter des Unternehmens offen – und die deutschen Daten waren sogar noch in der besten Verfassung. Die Klassifikationstreffer für Frankreich, Spanien und Schweden lagen zu 100 % offen!
Wie kann ich meine DSGVO-Daten identifizieren?
Zu erkennen und zu klassizieren, welche Daten unter die DSGVO fallen, kann schwierig sein – und zwar so schwierig, dass wir dafür spezielle DSGVO-Muster für unsere Klassifizierungs-Engine entwickelt haben.
Die Datensicherheitsplattform von Varonis erfasst Ihre Datenspeicher in einer Übersicht (Map), so dass Sie Daten mit Relevanz für die DSGVO überwachen und analysieren können. Die Map enthält alle Ordner und Berechtigungen für alle Speichermedien, auf denen sensible Daten gemäß DSGVO liegen können, von einem NetApp-Server über EMC Isilon bis zu Windows Office 365 (und noch mehr).
Sobald Sie über diese Daten-Map verfügen, können Sie damit beginnen, diese Dateien auf DSGVO-Daten zu untersuchen. Wir finden DSGVO-Daten in Word-Dokumenten, Spreadsheets, Notepad-Dateien und sogar XML-Dateien. Unsere Datenklassifizierungs-Engine funktioniert unabhängig vom Dateityp, so dass die Daten sogar in komprimierten Archiven gefunden werden.
Die Varonis DSGVO-Muster enthalten über 250 Muster und Regexes für DSGVO-relevante Daten, die alle 28 EU-Länder abdecken. Die Muster identifizieren und kennzeichnen z. B. Daten, die wie eine IBAN-Nummer, Sozialversicherungsnummer, Reisepassnummer, Personalausweisnummer, Umsatzsteuer-ID, Mobiltelefonnummer, Steuernummer oder ein Autokennzeichen aussehen. Sie können die Ergebnisse in der DatAdvantage-Konsole mit Kennzeichnung der DSGVO-Kategorisierung überprüfen.
Es kann einige Wochen dauern, bis alle unstrukturierten Datenspeicher gescannt sind, wenn Sie das System rund um die Uhr laufen lassen. Das ist eine Aufgabe, die sich durch den Einsatz zusätzlicher Prozessorleistung beschleunigen lässt. Sie können die Arbeit auch auf mehrere Varonis Collector Servers verteilen, um die Anzahl der mit der Ausführung beschäftigten CPUs zu vervielfachen. Je mehr, desto besser! Und machen Sie sich keine Sorgen – der Collector begrenzt die Anzahl der Prozessorleistung, die von der Datenklassifizierungs-Engine genutzt werden kann, um die Beeinträchtigung der Performance zu minimieren und genug Raum für die Ausführung des verbleibenden Betriebssystems zu lassen.
In einem System mit 8 CPUs kann die Datenklassifizierungs-Engine ca. 100 GB pro Stunde pro Varonis Collector Server scannen. Pro Tag ergibt das 2,4 TB Daten pro Collector.
Haftungsausschluss: Diese Zahlen basieren auf internen Tests, die Leistung bei Ihnen kann variieren.
Wie kann ich neue DSGVO-Daten finden?
Die Datenklassifizierungs-Engine setzt das Scannen Ihrer Daten auch nach Abschluss des ersten Scans fort, weil die Benutzer schneller Daten aktualisieren und hinzufügen werden, als Sie diese sperren können. Varonis aktualisiert die oben genannte Ordner- und Berechtigungs-Map (oder die von Ihnen konfigurierte Map) täglich und stellt geänderte Ordner wieder in die Warteschlange für ein erneutes Scannen ein. Die Datenklassifizierungs-Engine hält nicht an, arbeitet pausenlos, bis alle DSGVO-Daten aufgespürt sind, und hört selbst dann nicht auf.
Sobald Sie Ihre DSGVO-Daten entdeckt haben, müssen Sie sich klar werden, was Sie mit ihnen anfangen wollen – wie sie verwaltet, verarbeitet und in Berichten dargestellt werden sollen. Diese Punkte werden wir in den nächsten Teilen dieser Serie behandeln.
Wenn Sie bereits wissen, dass Sie sich auf die DSGVO vorbereiten müssen, können Sie Ihren Status mit einer kostenfreien DSDVO-Beurteilung ermitteln. Wir beurteilen Ihren aktuellen Status und liefern Ihnen einen Bericht , in dem DSGVO-Daten, potenzielle Schwachstellen und Strategien zum Schutz dieser Daten aufgezeigt werden.
