Business-IT
09.07.2019
Daten als hochwertiges Gut
1. Teil: „Die Kontrolle behalten durch Data Governance“

Die Kontrolle behalten durch Data Governance

DatenzentrumDatenzentrumDatenzentrum
ImageFlow / shutterstock.com
Daten sind das neue Gold für Unternehmen. Aber um diese Informationen optimal zu nutzen, zugleich aber kein Risiko einzugehen, gibt es einiges zu beachten.
  • Weshalb setzen Unternehmen Data-Governanance-Tools ein? Die Gründe sind hauptsächlich Datenschutz- und Compliance-Anforderungen.
    Quelle:
    Teknowlog / PAC
Marketing-Fachleute von IT-Firmen und Marktforscher werden nicht müde, die Vorzüge des digitalen Zeitalters für Unternehmen zu beschwören. Daten sind Grundlage für neue Geschäftsmodelle und Einnahmequellen, so eine gängige These. Doch damit Unternehmen den Datenschatz heben können, müssen sie lernen, mit der steigenden Flut von Informationen umzugehen.
Und hier kommt die sogenannte Data Govenrnance ins Spiel. Darüber, was Data Governance ist, gibt es jedoch unterschiedliche Auffassungen. Das fängt schon beim Begriff an. Etliche Fachleute und Anbieter von Data-Governance-Lösungen verwenden mittlerweile die Bezeichnung Information Governance. Dies soll unterstreichen, dass nicht Daten im Mittelpunkt stehen, sondern gewissermaßen ein höherwertiges Gut: Erkenntnisse und Analyseergebnisse, die sich aus der Auswertung und Interpretation von Daten ergeben.
Es geht also nicht nur um das Erfassen, Klassifizieren und Schützen von Daten. Vielmehr werden Data und Information Governance als Mittel gesehen, um Informationen in ein Wirtschaftsgut zu transformieren. In diese Richtung zielt auch die Argumentation von Adam Famularo, Chief Executive Officer bei Erwin, einem Unternehmen, das sich auf Data Governance spezialisiert hat: „Data Governance ist mehr als Compliance. Unternehmen, die eine Vorreiterrolle einnehmen, verwandeln Datenbestände in einen Wettbewerbsvorteil und verfolgen einen Data-Intelligence-Ansatz.“
Konkreter wird Andreas Gillhuber, Co-CEO der Münchner Data- und KI-Beratungsfirma Alexander Thamm: „Kurz gesagt kann man bei Data Governance von der Vorgabe einzuhaltender Regeln im Umgang mit einem definierten Datenspektrum sprechen. Data Governance übernimmt damit die vielfältigen Aufgaben der Planung, Kontrolle und Bereitstellung von Daten.“ Dieser Ansatz bilde den Rahmen für die
sichere, rechtlich legitimierte und effiziente Nutzung von Daten. „Außerdem sorgt Data Governance für die Einhaltung wichtiger Standards, etwa auf Gebieten wie Qualität, Sicherheit, Datenerfassung und Prozessen“, so Gillhuber weiter.
Auf einen weiteren Punkt weist Jonathan Lacefield hin, Senior Director Product Management bei DataStax, einem Anbieter von Datenbanken und Data-Governance-Tools: „Ein wichtiger Aspekt von Data Governance ist die Verfügbarkeit von Daten. Wenn Informationen Mitarbeitern nicht in der richtigen Form zur Verfügung stehen, wirkt sich das negativ auf deren Produktivität aus. Und wenn Kunden keinen Zugang zu den gewünschten Daten haben, führt dies zu Frustration.“ Dass die richtigen Daten zur passenden Zeit und in der erforderlichen Qualität am richtigen Ort bereitstehen, sei kein Luxus, sondern eine Notwendigkeit.
2. Teil: „Impulse durch Datenschutz“

Impulse durch Datenschutz

  • Führende Anbieter von Datenmanagement-Lösungen: Laut den Analysten von Gartner haben Alation, Collibra und Informatica derzeit die Nase vorn.
    Quelle:
    Gartner (Juli 2018)
Es sind jedoch nicht nur die neue Geschäftsoptionen, die im Zeitalter der Digitalisierung das Interesse an Data-Governance-Lösungen steigen lassen: „Die Cloud hat dafür gesorgt, dass sich der Bereich der Governance erweitert hat“, sagt beispielsweise Todd Peterson, Evangelist Identity & Access Management bei One Identity. „Es gilt, mehr Ressourcen zu überwachen, teils wegen der vielfältigen Speicheroptionen innerhalb der Cloud, teils wegen des Einsatzes von Collaboration-Tools, mit denen sich Daten einfacher und schneller mit anderen austauschen lassen.“
Daher ist wichtig, den Zugriff auf Informationsbestände präzise zu steuern und zu protokollieren. Dazu dienen  IAM-Lösungen (Identity and Access Management). Mit Hilfe von Regelwerken (Policies) kann ein Unternehmen festlegen, welche Mitarbeiter oder Partner welche Daten nutzen und verändern dürfen. Nicht nur in Branchen mit strengen Compliance-Regeln wie dem Finanzsektor und dem Gesundheitswesen sind solche Vorgaben wichtig. Trends wie die Fernwartung von Produktionssystemen durch externe Partner­unternehmen erfordern es, dass geschäftskritische Informationen ausschließlich befugten Fachleuten zugänglich sind.

Lösungen für Data Governance

Angesichts der vielen Felder, die Data Governance abdecken muss, ist es nicht verwunderlich, dass eine große Zahl von Anbietern für sich reklamiert, entsprechende Lösungen anzubieten. Allerdings ist dabei zu beachten, dass ein beträchtlicher Teil des Angebots nur Teilbereiche von Data Governance abdeckt. Dazu zählen beispielsweise Tools, die für die Verwaltung von Meta- und Stammdaten (Master Data) ausgelegt sind, etwa SAP Master Data Management oder Agi­-lity Governance von Agility. Auch ein Teil der Lösungen von OpenText kombiniert Funktionen für das Master Data Management mit dem Klassifizieren von Stammdaten und der Option, nur dazu autorisierten Nutzern den Zugriff auf bestimmte Daten zu ermöglichen.
Weitere Lösungen fokussieren den Bereich Verwaltung von Zugriffsrechten und Nutzergruppen. Zu dieser Kategorie zählt die Identity Manager - Data Governance Edition von One Identity. Der Anbieter argumentiert, dass Governance sich nicht nur darauf konzentrieren kann, die Qualität und Integrität von Datenbeständen sicherzustellen. Ebenso wichtig sei, dass nachvollziehbar ist, welcher Mitarbeiter wann auf welche Daten zugegriffen hat, was er damit getan hat und welche Änderungen er an diesen Informationsbeständen vorgenommen hat. Gegebenenfalls können Unternehmen nach dem Baukastenprinzip ergänzende Governance-Werkzeuge an solche Lösungen anflanschen. Das kann etwa eine Software sein, die Aspekte wie die Datenqualität und Inte­gration von Informationen abdeckt.
Umfassende Frameworks für Data Governance bieten nicht zwangsläufig die ganz großen Software-Häuser an, etwa SAP, Oracle, SAS und IBM. Zu den führenden Anbietern zählen nach Einschätzung von Markforschungsfirmen wie Gartner und Forrester Research vielmehr Unternehmen wie Collibra, Informatica, Talend oder Infogix. Allerdings gilt es, auch bei solchen Angeboten einen Blick auf die Details zu werfen, sprich die Funktionen und Schnittstellen zu ergänzenden Software-Paketen. Ein Beispiel: Cloudera arbeitet im Bereich Data Governance mit Informatica zusammen, etwa bei Lösungen für den Finanzsektor.
Anforderungen an eine Lösung für Data Governance
Bei der Auswahl von Data-Governance-Tools sollten Nutzer vor allem auf fünf Kernkriterien achten. Das empfiehlt Andreas Gillhuber, Co-CEO des Beratungshauses Alexander Thamm.
 
Usability und Funktionalität/Austauschbarkeit des Editors: Mit der einfachen, intuitiven Nutzbarkeit des Editors des Data-Governance-Tools steht und fällt die Akzeptanz bei den Nutzern - sowohl bei den Mitarbeitern, die Beschreibungen und Skripts erstellen, als auch bei jenen, die es als Fachanwender meist lesend oder ausführend nutzen. Bei der Erstellung von Artikeln ist HTML5-Kompatibilität des Editors vorteilhaft - oder grundsätzlich die freie Wählbarkeit eines passenden Editors, sodass man nicht an den im Tool angebotenen Editor gebunden ist.
Meta Data: Das Data-Governance-Tool sollte die Nutzung und freie Konfigurierbarkeit von Meta-Daten ermöglichen. Gut ist in diesem Zusammenhang die Möglichkeit zur Vererbung von Meta-Daten-Einträgen in einer Baumstruktur, außerdem die Nutzung der Meta-Daten zur systematischen Suche.
History/Versionierung: Das Tool sollte über Historisierungs- und Versionierungsmöglichkeiten verfügen. Die Historisierung bedeutet etwa das fortlaufende Logging der Einträge und Artikel im Tool. Dann kann der Nutzer zu einem beliebigen Stand in der chronologischen Abfolge zurückgehen. Mit Hilfe der Versionierung ist es möglich, feste Release-Stände abzuspeichern. Außerdem sollte sichergestellt sein, dass unterschiedliche Autoren beziehungsweise Editoren gleichzeitig arbeiten können und eine zuverlässige Synchronisierung der Bearbeitungsstände erfolgt.
Monitoring: Ein Monitoring sollte das Nutzungsverhalten der User analysieren können. Ein solches Monitoring gibt darüber Aufschluss, welche Artikel wie häufig aufgerufen werden, welche Skripts, Views, SQL-Statements die Nutzer verwenden, welche Einträge veraltet sind und welche Bereiche wie oft editiert werden. Diese Informationen helfen bei der zielgerichteten inhaltlichen Weiterentwicklung im Data-Governance-Tool.
Datenbank: Das Verwalten der Artikel, Skripts, Views, SQL-Statements sowie der User und der Rechte sollte möglichst in einer separaten Datenbank erfolgen, nicht nur im Data-Governance-Tool selbst. Die separate Datenbank erlaubt es, Governance-Daten außerhalb des Tools weiterzuverwenden, etwa im Rahmen eines speziellen Reportings, Monitorings und Incident-Managements. Außerdem vereinfacht sie es, die Informationen in eine andere Data-Governance-Lösung zu portieren.
3. Teil: „Die Cloud berücksichtigen“

Die Cloud berücksichtigen

Die Cloud kommt bei Data Governance in zweifacher Hinsicht ins Spiel. Zum einen geht, ebenso wie bei anderen Applikationen, der Trend in Richtung Data Governance as a Service. Das heißt, Frameworks und Teillösungen werden als Cloud-Dienst bereitgestellt. Diesen Ansatz forciert beispielsweise Talend in besonderem Maß. Die meisten Anbieter unterstützen allerdings auch eine Implementierung der Software im Rechenzentrum eines Unternehmens. Dieses On-Premise-Modell kommt jedoch vor allem für Firmen mit einer entsprechend großen IT-Abteilung in Betracht, die die Betreuung der Data-Governance-Lösung übernehmen kann. Für Mittelständler und kleinere Unternehmen ist der Cloud-Ansatz eine attraktive Alternative.
Der zweite Aspekt ist Data Governance für Datenbestände, die in einer Cloud-Umgebung vorgehalten werden. Nach Angaben von Gartner werden 2023 drei Viertel aller Datenbanken in der Cloud angesiedelt sein. Das heißt im Hinblick auf Data Governance, dass eine Lösung in der Lage sein muss, alle Daten zu erfassen, die in einer Cloud lagern. Das gilt auch für Zugriffsberechtigungen und Faktoren wie die Herkunft (Datenquellen) und Qualität von Daten.

Trend: KI und ML

Zu den Technologien, die künftig den Bereich Data Governance maßgeblich prägen werden, zählen Künstliche Intelligenz (KI) und maschinelles Lernen (ML). Das ist nicht verwunderlich, denn angesichts immer größerer Datenbestände ist es notwendig, Aufgaben mit Hilfe von KI- und ML-Algorithmen zu automatisieren. Informatica setzt beispielsweise bei seiner Plattform Axon Data Governance auf eine intelligente Automatisierung. Dabei werden Data-Governance-Regeln unter Verwendung von KI- und ML-Algorithmen erzeugt und umgesetzt.
Die Grundlage sind Meta-Daten, auf die diese Algorithmen zurückgreifen. „Mit einer KI-gesteuerten Automatisierung sind unsere Kunden in der Lage, die Leistungsfähigkeit ihrer intelligenten Daten zu skalieren und auszuschöpfen, und dies über Multi-Cloud- und Hybrid-Umgebungen hinweg“, so Amit Walia, President Products und Marketing bei Informatica.
Machine Learning kommt beispielsweise beim Erstellen von Datenkatalogen zum Einsatz. Zudem unterstützen ML-Algorithmen Nutzer dabei, alternative oder erweiterte Datasets zu finden. Mit diesen können User hochwertigere Analysen durchführen. Dank KI und ML ist es zudem einfacher, Daten in großem Maßstab in einen Geschäftskontext einzuordnen. Das wiederum ist wichtig, um Compliance- und Data-Governance-Vorgaben einzuhalten.

Umsetzung

Doch einfach ein Data-Governance-Framework oder Tools anzuschaffen und einzusetzen, reicht nicht aus. Damit ein solches Projekt Erfolg hat, müssen im Vorfeld die Grundlagen gelegt werden, so Holger Fleck, Principal SharePoint Consultant bei Axians IT Solutions. Wichtig ist nach seiner Einschätzung ein Governance-Workshop, bei dem die Strategie für das jeweilige Unternehmen abgestimmt wird. Auf dieser Grundlage wird dann zusammen mit dem Nutzer ein Information- oder Data-Governance-Plan entwickelt.
„Bei der Einführung einer Lösung sollte zudem die Messbarkeit des Erfolgs ein wichtiger Bestandteil sein“, betont Fleck. „Eines der Ziele bei Data Governance ist die Datenqualität. Diese kann beispielsweise über Data Score Cards und Stichproben ermittelt werden.“ Das Messen der Datensicherheit ist Fleck zufolge deutlich schwieriger. „In größeren Unternehmen kann als quantitativer Wert die Zahl der Datenvorfälle herangezogen werden. Detailliertere Informationen erhält man jedoch über anonyme Mitarbeiterumfragen oder Auswertungen von Lessons-Learned-Protokollen.“

Faktor Mensch nicht vergessen

Wichtig ist auch, bei den Mitarbeitern das Bewusstsein für einen verantwortungsvollen Umgang mit Daten zu schärfen. Daran hapert es offenkundig noch. Häufig landen sensible Informationen auf USB-Sticks oder in Archivordnern auf Rechnern, wo sie dann gewissermaßen „vor sich hin vegetieren“ und für Hacker eine leichte Beute sind. „Geschäftsverantwortliche sollten daher verstärkt auf ‚Ordnerwüsten‘ und das dadurch entstehende potenzielle Sicherheitsrisiko achten“, mahnt Maxim Frolov, Vice President of Global Sales bei Kaspersky Lab. Zudem müssen die Mitarbeiter darüber aufgeklärt werden, wie sie digitale Assets am besten verwalten. Das heißt, Governance-Tools können Hilfestellung dabei geben, Informationen und darauf basierende „Insights“ zugänglich zu machen und Sicherheitsrisiken zu minimieren. Letztlich beginnt Data Governance aber in den Köpfen der Mitarbeiter.
Data-Governance-Elemente
Der Oberbegriff Data Governance deckt vier Kernbereiche ab:
Data Quality: Es ist sicherzustellen, dass Daten vollständig erfasst werden, aktuell sind, für die Weiterverarbeitung geeignet und entsprechend vorbereitet sind. Zudem muss der Zugang zu den Daten geregelt und gewährleistet sein.
Data Maintenance: Hier sind die Ziele Datenanreicherung, Datenkorrektur und die Pflege von Stammdaten.
Data Privacy: Es ist sicherzustellen, dass alle relevanten Standards in Bezug auf Sicherheitsaspekte, Compliance und Vertraulichkeit eingehalten werden.
Data Compliance: Einhaltung gesetzliche Standards, ethischer Richtlinien und firmeneigener Vorgaben.
4. Teil: „Lösungen für Data Governance (Auswahl)“

Lösungen für Data Governance (Auswahl)

Lösungen für Data Governance (Auswahl)
5. Teil: „Im Gespräch mit Todd Peterson von One Identity“

Im Gespräch mit Todd Peterson von One Identity

  • Todd Peterson: Evangelist Identity & Access Management bei One Identity
    Quelle:
    One Identity
Häufig wird Data Governance darauf reduziert, den Zugriff von Nutzern auf bestimmte Informationen zu regeln. Das ist zu kurz gedacht, so Todd Peterson, Evangelist für den Bereich Identity and Access Management bei One Identity.
com! professional: Data Governance ist ein Begriff, der gegenwärtig einen hohen Stellenwert hat. Warum ist das so?
Todd Peterson: Dafür ist maßgeblich die EU-Datenschutz-Grundverordnung verantwortlich. In der Vergangenheit hat man sich deutlich weniger Gedanken um die Governance gemacht. Das lag nicht zuletzt daran, dass man sie fälschlicherweise auf den Zugriff von Endbenutzern auf Anwendungen beschränkt hat. Jetzt liegt die Betonung gleichermaßen auf den Daten selbst, und damit hat sich der Inhalt des Begriffs auf den ersten Blick vergrößert.
In Wirklichkeit ist der Umfang nach wie vor der gleiche, nur die Wahrnehmung ist eine andere. Ich bin mir ziemlich sicher, dass sich niemand vollständig darüber im Klaren ist, welche Teilaspekte Governance letztlich beinhaltet.
com! professional: Etliche Anbieter von Lösungen für Data Governance beziehen diesen Begriff auf die Verwaltung von Zugriffsberechtigungen. Ist das nicht zu kurz gedacht?
Peterson: Es ist richtig, dass viele Anbieter von Lösungen für das Identity and Access Management unter Governance die Funktionen verstehen, die ihr eigenes Produkt abdeckt. Und das ist in aller Regel die Steuerung der Zugriffsberechtigungen des Endbenutzers auf eine Anwendung. Governance umfasst aber sehr viel mehr. Sie betrifft alle Arten von Zugriffsberechtigungen für jede Art von Ressourcen, inklusive der Daten. Folglich gibt es einen wachsenden Markt für Data-Governance-Lösungen. Dem Fokus auf die Zugriffsberechtigungen liegt allerdings eine Fehleinschätzung zugrunde.
com! professional: Welche ist das?
Peterson: Governance bleibt Governance, unabhängig davon, ob es sich um Anwendungen, Daten oder um die Zugriffsberechtigungen für privilegierte Konten handelt. Die Anforderungen sind immer dieselben. Man muss sicherstellen, dass den richtigen Personen die korrekten Zugriffsberechtigungen für die richtigen Ressourcen zugewiesen werden. Und es muss sich nachweisen lassen, dass dies tatsächlich in der gewünschten Weise umgesetzt wird. Wenn man sich jedoch darauf beschränkt, unterschiedliche Aspekte von Governance in ihren jeweiligen Silos zu überwachen, dann bleiben zwangs­läufig Lücken. Das wiederum erhöht die Risiken.
com! professional: Welche Rolle spielt Cloud-Computing im Zusammenhang mit Governance?
Peterson: Die Cloud hat dafür gesorgt, dass sich der Bereich der Governance erweitert hat. Es gilt, mehr Ressourcen zu überwachen, teils wegen der vielfältigen Speicheroptionen innerhalb der Cloud, teils wegen des Einsatzes von Collaboration-Tools, mit denen sich Daten einfacher und schneller mit anderen austauschen lassen.
Daten werden an unterschiedlichen Speicherplätzen vorgehalten - und deren Zahl nimmt weiter zu. Diese verschiedenen Ressourcen müssen zusätzlich berücksichtigt werden. Einfach gesagt: Die Cloud macht es schwieriger und zugleich wichtiger, die Daten sicher und angemessen zu verwalten.
com! professional: Wie ist Data Governance im Zusammenspiel mit Techniken und Verfahren wie der Bereitstellung von Datenbeständen zu bewerten?
Peterson: Es gibt keine Anforderungen an Data Governance, die nicht auch für alle anderen Governance-Formen gelten. Dazu zählen die Access Governance oder die Privileged Access Governance, also die Verwaltung der Zugriffsrechte von Nutzern mit erweiterten Berechtigungen. Außerdem müssen weitere Gesichtspunkte berücksichtigt werden, beispielsweise das Feststellen der notwendigen Berechtigungen, also die Aspekte Discovery, das Anfordern von Zugriffsberechtigungen durch einen Nutzer und die anschließende Bereitstellung.
All diese Punkte sollten adressiert werden. Das erfolgt idealerweise mit Hilfe einer einzigen Lösung, die alle Aspekte und Zielsetzungen abdeckt.

mehr zum Thema