Worum geht es?
In nahezu allen Organisationen gibt es Bereiche, die sich allein über die Vergabe von Zugangsberechtigungen nicht mehr sinnvoll steuern lassen. So brauchen oftmals verschiedene Personen mit unterschiedlichen Aufgabenbereichen Zugriff auf dieselbe Datenbank und mitunter auch auf gleiche oder verwandte Vorgänge. Dennoch muss zur Aufgabenbewältigung nicht jeder alles sehen und aus Sichtweise der Informationssicherheit und des Datenschutzes sollte auch nicht jeder alles sehen. Hier kann es helfen, Informationen auszublenden, erst bei echtem Bedarf auf zweiter oder dritter Stufe sichtbar zu machen oder durch unverfängliche Werte zu ersetzen.
Ein schönes Beispiel sind Krankenhaus-Informationssysteme, in denen massenhaft Patientendaten abgelegt sind, die grundsätzlich nicht jedem vollumfänglich zugänglich sein sollten, im Ernstfall einem bislang nicht behandelnden Arzt aber bereitstehen müssen. Hier sollte es für Notfälle einen Schalter geben, mit dem sich medizinisches Personal selbstständig, aber natürlich auch protokolliert volle Einsicht in die Patientenakte verschaffen kann.
Was empfiehlt die ISO 27002?
Sämtliche Vorschläge von Kapitel 8.11 der Norm zielen darauf, Informationen nur sichtbar oder lesbar zu machen, wie dies in Abhängigkeit eines konkreten Zwecks erforderlich ist. Statt aber (wie bei einer fehlenden Berechtigung) Systeme, Anwendungen oder Datensätze insgesamt nicht zugänglich zu machen, wird schlicht die Anzeige bzw. Darstellung der Daten an die Bedürfnisse des Benutzers angepasst.
Oder aber es werden anonyme oder wenigstens pseudonyme Informationen statt der Klardaten verwendet, weil dies es dem Benutzer erlaubt, seiner Aufgabe nachzukommen und die Belange von Betroffenen dennoch größtmöglich zu schützen.
Dies klingt allerdings einfacher, als es in der Praxis häufig ist. Daten tatsächlich wirksam zu pseudonymisieren oder gar tatsächlich zu anonymisieren, ist oft weitaus schwieriger, als es auf den ersten Blick scheint.
Folgende andere Möglichkeiten bieten sich nach der Norm zur Maskierung von Daten an:
- Um besonders schützenswerte Informationen lesbar zu machen, muss eine Verschlüsselung überwunden werden. Besonders autorisierte Personen erhalten dazu einen entsprechenden Schlüssel.
- Die sensiblen Informationen können aber auch ausgeblendet, mit anderen Zeichen überschrieben oder aber durch andere Zeichen ersetzt werden. So ist beispielsweise bei der Eingabe von Zahlungsinformationen teilweise zwingend, dass diese nicht im Klartext, sondern nur über die auch von Passworteingaben bekannten Sternchen angezeigt werden.
- Eine im Zusammenhang mit der Pseudonymisierung von Informationen gängige Methode ist es, Informationen durch einen Hashwert zu ersetzen.
Um wirksam zu sein, muss die Maskierung abhängig vom jeweiligen Benutzer greifen. Entsprechend sollten Abfragemöglichkeiten und Masken in Anwendungen so gestaltet werden, dass jeder Nutzer nur angezeigt bekommt, was er zwingend zur Wahrnehmung seiner Aufgaben sehen muss. Auch wenn es, entsprechend dem oben genannten Krankenhausbeispiel, im Einzelfall möglich sein muss, dass sich manche Benutzer über solche Sichtbarkeitsschranken hinwegsetzen können, sollte dieser Grundsatz immer noch beachtet werden. Selbst in dringlicheren Fällen wird es kaum notwendig sein, als Alternative zur beschränkten Ansicht dann gleich den völlig unbeschränkten Zugang auf ausnahmslos alles zu gewähren.
In manchen Fällen kann es zum Schutz der Informationen oder der betroffenen Personen notwendig sein, bereits den Umstand nicht erkennbar zu machen, dass bestimmte Informationen nicht angezeigt werden. Hier jeweils die richtige Balance zu erlangen, kann eine Herausforderung sein.
Wie stark die eingesetzten Mechanismen sein müssen, muss in Abhängigkeit von den im Einzelfall verarbeiteten Daten entschieden werden. Zudem sollten auch durch entsprechende Vereinbarungen und Vorgaben bzw. Verbote die passenden Rahmenbedingungen geschaffen werden. Die in einer Anwendung nicht frei sichtbaren Daten dürfen nicht über den Umweg über die Datenbank oder gar den Dateinamen plötzlich doch zugänglich sein. Ergänzend sollte der Abgleich mit anderen Informationen, um so auf die geschützten Daten Rückschlüsse zu ziehen, nach Möglichkeit verhindert werden und darüber hinaus klar verboten sein.
Fazit
Die Idee der Maskierung ist vielen Organisationen nicht präsent. Was sich nicht über naheliegende Berechtigungskonzepte abbilden lässt, wird nicht weiter betrachtet. Das Handlungsbedarf besteht, wird oft nicht erkannt und wenn, dann herrscht Ratlosigkeit, was getan werden könnte.
Aber auch Hersteller mussten häufig erst lernen, dass es durchaus ein wünschenswertes Feature sein kann, Informationen granular und gezielt in Abhängigkeit des Betrachters bereitzustellen. Diesen Gesichtspunkt fand man zumindest früher kaum und so sahen Einkauf und Vertrieb, Support und Marketing alle Daten aller Kunden oder Interessenten – und gelegentlich die Daten der eigenen Kollegen gleich mit dazu. Mit dem gewachsenen Bewusstsein und dem gestiegenen Zwang zur Beachtung des Datenschutzes, ändert sich das allerdings mittlerweile.