Erkennen und Schützen von Daten in großem Umfang mit Amazon Macie - DSGVO-Compliance auf AWS

Erkennen und Schützen von Daten in großem Umfang mit Amazon Macie

Artikel 32 der DSGVO sieht vor, dass „… der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen sollen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, unter anderem: […]

(b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und Services dauerhaft sicherzustellen;

[…]

(d) ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Ein fortlaufender Datenklassifizierungsprozess ist entscheidend für die Anpassung der Sicherheitsdatenverarbeitung an die Arten von Daten. Wenn Ihre Organisation sensible Daten verwaltet, überwachen Sie, wo sie sich befinden, schützen Sie sie ordnungsgemäß und stellen Sie Nachweise darüber bereit, dass Sie Datensicherheit und Datenschutz wie erforderlich durchsetzen, um gesetzliche Compliance-Anforderungen zu erfüllen. Um Kunden zu helfen, ihre sensiblen Daten in großem Umfang zu identifizieren und zu schützen, bietet AWS Amazon Macie an, einen vollständig verwalteten Service zur Datensicherheit und zum Datenschutz. Dieser verwendet Musterabgleich- und Machine-Learning-Modelle zur Erkennung von persönlich identifizierbaren Informationen (engl. „personally identifiable information“, kurz: PII), um sensible Daten, die in S3-Buckets gespeichert sind, zu ermitteln und zu schützen. Amazon Macie scannt diese Buckets und stellt eine Datenkategorisierung dieser mithilfe von verwalteten Datenbezeichnern zur Verfügung, die so konzipiert sind, dass sie mehrere Kategorien sensibler Daten erkennen. Macie kann PII wie vollständiger Name, E-Mail-Adresse, Geburtsdatum, nationale Identifikationsnummer, Steueridentifikations- oder Referenznummer und mehr erkennen. Der Kunde kann benutzerdefinierte Datenbezeichner definieren, die die jeweiligen Szenarien seiner Organisation widerspiegeln (z. B. Kunden-Kontonummern oder interne Datenklassifizierung).

Amazon Macie wertet das Objekt in den Buckets kontinuierlich aus und liefert automatisch eine Zusammenfassung der Ergebnisse (Abbildung 4) für alle entdeckten unverschlüsselten oder öffentlich zugänglichen Daten, die mit der definierten Datenkategorie übereinstimmen. Diese Daten können Warnungen für unverschlüsselte, öffentlich zugängliche Objekte oder Buckets enthalten, die mit AWS-Konten außerhalb der von Ihnen in AWS Organizations definierten Konten geteilt werden. Amazon Macie ist in anderen AWS-Services integriert, z. B. AWS Security Hub, um umsetzbare Sicherheitsergebnisse zu generieren und eine automatische und reaktive Aktion auf das Ergebnis zu ermöglichen (Abbildung 5).

Macie findings dashboard showing sensitive data objects detected in various resources with high severity.

Abbildung 4 – Beispiel für Datenprüfungen und Ergebnisse