Pseudonymisierung – Maximierung von Sicherheit und Wert der Kundendaten

Die Sammlung von persönlichen Daten ist in der heutigen digitalisierten globalen Wirtschaft allgegenwärtig und unvermeidlich. Unternehmen aller Art sammeln Informationen über Verbraucher, die von den typischen Namen, Adressen, Telefonnummern und E-Mail-Adressen bis hin zu sehr persönlichen und wertvollen Daten wie Bankkonto- und Kreditkartennummern reichen. Bei den Namen, Adressen und Telefonnummern handelt es sich um persönlich identifizierbare Informationen (PII). 

​​Der Umfang des Problems​ 

​​Auch Datenverluste sind allgegenwärtig und unvermeidlich. Fälle von Datenschutzverletzungen, bei denen personenbezogene Daten preisgegeben wurden, sind fast regelmäßig in den Nachrichten zu finden. Die folgende Tabelle zeigt eine Liste der sieben größten Datenschutzverletzungen der letzten vier Jahre, zusammengestellt von UpGuard, Inc.​ 

Anleitung zur Datensicherheit 

Laut dem jüngsten Bericht von​ IBM und dem Ponemon Institute​ belaufen sich die Kosten für eine Datenschutzverletzung im Jahr 2021 auf 4,24 Millionen US-Dollar. Das ist ein Anstieg um 10 % gegenüber den durchschnittlichen Kosten im Jahr 2019, die bei 3,86 Millionen US-Dollar lagen. 

PII von Kunden waren in 44 % dieser Verstöße enthalten, wobei die durchschnittlichen Kosten pro Kunde und PII-Datensatz 180 Dollar betrugen. In diesem Bericht wurden 537 Sicherheitsverletzungen in 17 Ländern und 17 Branchen analysiert. 

Aber das muss nicht der Fall sein. Es gibt inzwischen Technologien, die das Risiko mindern oder sogar beseitigen können. Und die Aufsichtsbehörden geben Richtlinien und Vorschriften vor, die es Unternehmen ermöglichen, das Risiko bei der Speicherung, Verarbeitung und Übertragung von PII ausreichend zu minimieren. So sieht die Datenschutzgrundverordnung (DSGVO) beispielsweise vor, dass Unternehmen die Risiken ihrer verschiedenen Datenverarbeitungsaktivitäten bewerten und Maßnahmen wie Verschlüsselung implementieren sollten, um diese Risiken zu mindern, die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die nicht mit der DSGVO konform ist.

Die EU hat die „Pseudonymisierung“ als wirksames Mittel zur Erfüllung der Anforderungen der Allgemeinen Datenschutzverordnung (GDPR) an die sichere Speicherung personenbezogener Daten identifiziert. ​Der Prozess der Pseudonymisierung besteht darin, ein oder mehrere Datenfelder einheitlich durch verschiedene Zeichen zu ersetzen, die nicht erkennbar sind oder mit der Person in Verbindung gebracht werden können, wodurch die Daten in geeigneter Weise als personenbezogene Informationen maskiert werden.​ 

Das Risiko der Nichteinhaltung 

Die Datenschutzbestimmungen sind weitreichend. Für die ​DSGVO​ reicht ein einziger Kunde in der EU aus, um die Einhaltung der ​DSGVOGDPR​ zu verlangen. Die Kosten für Verstöße gegen die ​DSGVOGDPR​ können bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist. Seit Anfang 2021 wurden Amazon und Facebook zusammen wegen ​DSGVOGDPR​-Verstößen mit einer Strafe von fast 1 Milliarde Dollar belegt, wie ​CNBC​ zusammengestellt hat.

Die Herausforderung des Datenvolumens 

In der heutigen Geschäftswelt ist es üblich, dass Datensätze Milliarden oder sogar Billionen von Transaktionsdatensätzen enthalten, die personenbezogene Informationen (PII) enthalten. Laut Hochrechnungen von ​Statista​ wird das Volumen der weltweit erzeugten Daten bis 2025 schätzungsweise 180 Billionen GB erreichen. Sich darauf zu verlassen, dass Menschen entscheiden, welche Felder pseudonymisiert werden sollen und in welchem Umfang, ist nahezu unmöglich. 

Das Konzept der Pseudonymisierung 

Heutige Technologien wie Künstliche Intelligenz/Maschinelles Lernen (KI/ML) können in unstrukturierten Datensätzen eingesetzt werden und eine objektive, quantifizierbare Risikobewertung des Datensatzes liefern und PII ersetzen. Pseudonymisierung ist eine Technik, bei der personenbezogene Daten so verändert werden, dass sie ohne zusätzliche Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Um dies zu erreichen, werden persönliche Identifikatoren durch konsistente und eindeutige Zeichenketten ersetzt: Pseudonyme. Die resultierende Zeichenkette ist für alle Eingabedaten immer gleich, was analytische Korrelationen in einem Prozess namens „Daten-Tokenisierung“ ermöglicht. Damit die Daten jedoch wirklich pseudonymisiert werden können, müssen die PII von den anderen Daten der Benutzer getrennt werden.

Die Pseudonymisierung ist reversibel und daher aus Sicht der Datenanalyse viel nützlicher. Während des Prozesses der Re-Identifizierung werden pseudonymisierte Daten durch eine Reihe komplexer Algorithmen verarbeitet, um sicherzustellen, dass nur autorisiertes Personal den ursprünglichen Benutzer reidentifizieren kann. 

Die derzeit auf dem Markt befindlichen Tools verwenden Listenabfragetechniken, die im Wesentlichen die zu pseudonymisierenden Daten mit früheren Datensätzen vergleichen. Die Einschränkung dieser Technik besteht darin, dass jede neue PII, die nicht in der Referenzliste enthalten ist, den Pseudonymisierungsprozess überspringt. Es gibt Tools auf dem Markt, die nur eine begrenzte Anzahl von Dateiformaten verarbeiten können und nicht in der Lage sind, PII aus unstrukturierten Protokolldateien zu identifizieren. 

Wie KI/ML die Pseudonymisierung angehen kann 

KI/ML kann genutzt werden, um diese Einschränkungen mit sich ständig weiterentwickelnden Algorithmen zu überwinden und die Herausforderung der Pseudonymisierung großer unstrukturierter Datensätze zu meistern. Das Pseudonymization Tool von Orion ist eine KI/ML-basierte Lösung, die darauf trainiert werden kann, personenbezogene Daten in unstrukturierten Protokolldateien zu identifizieren und zu verarbeiten, bevor diese heruntergeladen oder weitergegeben werden. Um das ML-Modell zu trainieren, konfigurieren Datenteams ein Referenzlabor, in dem sie Beispieldaten mit einer genauen Liste möglicher PII-Datenwerte sammeln. Dieser Ansatz ermöglicht eine 100​ ​% genaue Kennzeichnung. Die Qualität der Probedaten und der gekennzeichneten PII-Daten ist entscheidend, um das ML-Modell so zu trainieren, dass es optimal funktioniert und PII-Daten unter realen Bedingungen genau identifiziert. Einmal trainiert, können die ML-basierten Lösungen den Zeitaufwand für die Identifizierung aller Stellen, an denen PII-Daten vorkommen können, erheblich reduzieren, die Gesamtgenauigkeit der Pseudonymisierung verbessern und Unternehmen im Falle einer Datenverletzung schützen.

Was dies für Ihr Unternehmen bedeutet 

Das Risiko heutiger Datenschutzverletzungen und die immer schärferen behördlichen Kontrollen machen den Schutz personenbezogener Daten zu einem wichtigen Gebot für alle globalen Unternehmen, die über Milliarden von Datensätzen mit persönlichen Informationen von Einzelpersonen verfügen. Die Pseudonymisierung hat sich als geeignetes Mittel zum Schutz der Daten erwiesen. Viele der aktuellen Tools sind jedoch in ihren Möglichkeiten begrenzt. KI/ML-basierte Pseudonymisierungstools wie das Orion Pseudonymization Tool sind ein effektiver Schritt, um die Risiken einer Datenschutzverletzung zu mindern und die gesetzlichen Bestimmungen einzuhalten.

Erfahren Sie mehr über das ​Orion Pseudonymization Tool​ oder kontaktieren Sie uns für eine Beratung.