Im Data-Governance-Puzzle ist die Datenklassifizierung ein enorm wichtiges Teil. Für erfolgreiche Data-Governance müssen Sie zu jedem Zeitpunkt wissen, wo sensible Daten gehäuft auftreten, unverschlüsselt gespeichert oder möglicherweise für zu viele Nutzer zugänglich sind.
Eine häufig genutzte Methode zum Aufspüren sensibler Daten sind reguläre Ausdrücke (RegEx) für bestimmte Muster. Wenn Sie ausschließlich reguläre Ausdrücke verwenden, erhalten Sie möglicherweise zu viele Treffer – bei einigen der gefundenen Nummern handelt es sich vielleicht gar nicht um Kreditkartendaten, obwohl sie dem gesuchten Muster entsprechen. Diese Ergebnisse, die „falsch positiv“ genannt werden, lassen sich durch die Anwendung von Algorithmen wie Luhn oder IBAN reduzieren. Falls Ihnen reguläre Ausdrücke noch unbekannt sind oder Ihre Syntax etwas eingerostet ist, stehen im Internet ausgezeichnete Anleitungen zur Verfügung (beginnen Sie hier oder hier). Wenn Sie Unterstützung bei der Validierung Ihrer Ergebnisse mit dem Luhn-Algorithmus benötigen, finden Sie hier einen nützlichen Artikel. (Im Varonis IDU Classification Framework ist die Validierung per Algorithmus übrigens bereits integriert).
Welche Daten gelten als sensibel?
Nun, das hängt ganz davon ab, wen sie fragen. Viele Organisationen verfügen über spezifische Daten wie Kunden- oder Patienten-Identifizierungsnummern, Gehaltslisten-Nummern usw., die sie unter Verschluss halten möchten. Manche Daten werden jedoch generell als sensibel angesehen – und Kreditkartennummern gehören dazu.
Deshalb sind diese Daten wohl das perfekte Beispiel für unsere RegEx-Anleitung. Viel Spaß!
\b(?<![:$._'-])3[47](?:\d{13}|\d{2}[ -]\d{6}[ -]\d{5})\b
\b(?<![:$._'-])3[47](?:\d{13}|\d{2}[ -]\d{6}[ -]\d{5})\b
\b(?<![:$._'-])6(?:011|5\d{2})(?:\d{12}|[ -]\d{4}[ -]\d{4}[ -]\d{4})\b
\b(?<![:$._'-])(4\d{3}[ -]\d{4}[ -]\d{4}[ -]\d{4}\b|4\d{12}(?:\d{3})?)\b
Wir bedanken uns beim Varonis Systems Engineering Team für die Unterstützung! In künftigen Posts erhalten Sie Tipps zum Aufspüren weiterer sensibler Daten mithilfe von regulären Ausdrücken, Algorithmen sowie anderen Metadaten wie Berechtigungen und Zugriffsaktivitäten.
Foto: Shawn Rossi – http://www.flickr.com/photos/shawnzlea/527857787/
The post Tipps zur Datenklassifizierung: So spüren Sie Kreditkartennummern auf appeared first on Varonis Deutsch.