In unserer Blogreihe zur Data Governance haben wir bereits die Bedeutung von Data Domains, Data Catalogs und einer soliden Datenstrategie beleuchtet. Heute nehmen wir ein weiteres, zentrales Element in den Fokus: Identity and Access Management (IAM) im Kontext der Data Governance. Wie stellen wir sicher, dass die richtigen Personen zur richtigen Zeit auf die richtigen Daten zugreifen können, und wie können wir dies mit Open-Source-Lösungen umsetzen?

Warum ist IAM für Data Governance so wichtig?​

In der heutigen, datengetriebenen Welt ist der sichere Umgang mit Daten von entscheidender Bedeutung. Data Governance zielt darauf ab, die Datenqualität sicherzustellen, die Compliance zu gewährleisten und den Wert der Daten zu maximieren. IAM ist dabei ein unverzichtbarer Pfeiler. Es regelt, wer auf welche Daten zugreifen darf und welche Aktionen ausgeführt werden können. Ohne ein durchdachtes IAM-System laufen Unternehmen Gefahr, dass sensible Daten in die falschen Hände geraten oder für unvorhergesehene Zwecke missbraucht werden.

Denken wir an unsere fiktive Blockbuster Bytes AG, die Videofilme verleiht. Stellen Sie sich vor, ein:e Mitarbeiter:in im Kundenservice hätte unbeschränkten Zugriff auf alle Kundendaten, einschließlich sensibler Informationen wie Adressen, E-Mail-Adressen und Zahlungsinformationen. Ein solcher unkontrollierter Zugriff kann nicht nur zu Datenschutzverletzungen führen, sondern auch das Vertrauen der Kunden nachhaltig schädigen. 

Kernfunktionen von IAM im Kontext von Data Governance

Ein effektives IAM-System im Rahmen der Data Governance sollte folgende Kernfunktionen erfüllen:

• Zugriffskontrolle und Autorisierung: Nur autorisierte Benutzer:innen sollen auf bestimmte Daten zugreifen können. Dies bedeutet, dass Zugriffsrechte basierend auf Rollen und Verantwortlichkeiten vergeben werden müssen. In der Blockbuster Bytes AG könnten wir beispielsweise folgende Rollen definieren:
  • Data Domain Owner: Verantwortlich für die strategische Ausrichtung einer Data Domain.
  • Data Stewards: Verantwortlich für die tägliche Pflege und Qualität der Daten.
  • Marketingteam: Benötigt Zugriff auf aggregierte Kundendaten für Marketingkampagnen.
  • Kundenservice: Benötigt Zugriff auf Kundendaten, jedoch nur auf die jeweils relevanten Informationen.
  • IT-Team: Benötigt umfassenden Zugriff für die technische Verwaltung der Systeme.
• Prinzip der geringsten Privilegien: Benutzer:innen sollten nur die minimal notwendigen Rechte erhalten, um ihre Aufgaben zu erfüllen. So wird das Risiko von Datenmissbrauch minimiert.
• Zugriffsanfrageprozesse: Ein klar definierter Prozess für die Beantragung und Genehmigung von Zugriffsrechten sollte vorhanden sein. Dies ermöglicht eine transparente und nachvollziehbare Verwaltung von Zugriffen.
• Überwachung und Protokollierung: Alle Zugriffsversuche, insbesondere die auf sensible Daten, sollten protokolliert werden, um Sicherheitsvorfälle erkennen und untersuchen zu können.

Über die Kernfunktionen des IAM hinaus: Wichtige Maßnahmen für eine sichere Data Governance

Um die Sicherheit innerhalb der Data Governance ganzheitlich zu gewährleisten, sollten ergänzend zum Identity and Access Management (IAM) folgende Maßnahmen ergriffen werden:

• Datensegmentierung und -klassifikation: Daten sollten nach ihrer Sensibilität klassifiziert werden. So erfordern beispielsweise Kundendaten strengere Zugriffsrichtlinien als Filmdaten, da sie schutzbedürftiger sind.
• Metadatenmanagement: Eine enge Integration des Data Catalogs mit dem IAM-System ist essenziell, um Zugriffsrechte konsistent zu verwalten. OpenMetadata kann als zentraler Data Catalog hierbei eine Schlüsselrolle übernehmen.
• Data Literacy und Awareness: Mitarbeiter:innen sollten gezielt geschult werden, um ein tiefes Verständnis für Datensicherheit zu entwickeln und die implementierten Richtlinien verantwortungsvoll umzusetzen.
• Integration mit Data Quality Tools: Das IAM-System muss nahtlos mit Data-Quality-Tools zusammenarbeiten. So wird sichergestellt, dass nur autorisierte Personen Änderungen an den Daten vornehmen können, wodurch die Datenqualität nachhaltig geschützt bleibt.

Open-Source-Lösungen für IAM in der Data Governance

Die gute Nachricht ist, dass es eine Vielzahl an Open-Source-Tools (neben kommerziellen Produkten) gibt, die uns bei der Umsetzung einer umfassenden IAM-Strategie unterstützen können. Hier sind einige Vorschläge, wie wir diese bei der Blockbuster Bytes AG einsetzen könnten:

1. Keycloak: Ein sehr vielseitiges Tool, das sich gut als zentraler Identity Provider eignet. Keycloak bietet Funktionen für Authentifizierung und Autorisierung, unterstützt verschiedene Protokolle wie OAuth 2.0 und OpenID Connect, und ermöglicht eine zentrale Benutzerverwaltung.
2. OpenIDM ist eine leistungsstarke Open-Source-Lösung für das Identity Management, die sich ebenfalls in unsere Data-Governance-Strategien integrieren lässt. Im Zusammenspiel mit unserer Sakila-MySQL-Datenbank kann OpenIDM genutzt werden, um Zugriffsrechte basierend auf Rollen und Attributen zentral zu verwalten. Über Connectoren werden Identitäten automatisch provisioniert, Änderungen synchronisiert und Berechtigungen lebenszyklusgesteuert zugewiesen. In Kombination mit Keycloak für Authentifizierung (SSO, OpenID Connect) und FreeIPA als Verzeichnisdienst entsteht ein robustes Governance-Framework: OpenIDM übernimmt die Identitätsverwaltung, Keycloak regelt den sicheren Zugriff, und FreeIPA bildet das zentrale Backend für Richtlinien und Rollen. So wird sichergestellt, dass sensible Daten in MySQL nur von autorisierten Nutzer:innen eingesehen oder verändert werden können – ein wichtiger Baustein für Compliance und Datensicherheit.
3. OpenMetadata: Unser bereits etablierter Data Catalog kann auch für einige Aspekte des IAM eingesetzt werden. OpenMetadata kann zum Tagging und zur Klassifizierung von Daten verwendet werden, um die Zugriffssteuerung zu erleichtern. Die Dokumentation der Daten kann auch die Zugriffsrichtlinien enthalten. OpenMetadata bietet eine Schnittstelle (API) über die die definierten Strukturen ausgelesen werden können. Somit ist es gut möglich dieses in andere Systeme zu integrieren.
4. Apache NiFi: Für die Automatisierung von Datenflüssen und die Bereitstellung von Data Products kann Apache NiFi verwendet werden. In Kombination mit IAM-Lösungen können wir sicherstellen, dass nur autorisierte Benutzer:innen auf diese Produkte zugreifen können [siehe Data Lineage].
5. Workflow Engines (z.B. Activiti, jBPM): Diese Tools können verwendet werden, um Zugriffsanfrageprozesse zu automatisieren und zu verwalten. So können wir sicherstellen, dass Zugriffsanfragen korrekt genehmigt werden, bevor der Zugriff gewährt wird.
6. Elasticsearch, Splunk, Graylog: Für die Überwachung und Protokollierung von Zugriffsversuchen können diese Tools eingesetzt werden. Sie ermöglichen es, Sicherheitsereignisse zu analysieren und potenzielle Bedrohungen frühzeitig zu erkennen.

In der nächsten Zeit werden wir uns damit beschäftigten, wie wir einige der obenstehenden Tools konkret in unserer Blockbuster Bytes AG einsetzen können und prüfen, wie gut sich die Tools tatsächlich in einer Gesamtkonzept integrieren lassen. Bleiben Sie gespannt. Wir berichten dann an dieser Stelle über den entsprechenden Fortschritt. 

Fazit

IAM ist ein unverzichtbarer Bestandteil einer jeden Data-Governance-Strategie. Es ist der Schlüssel, um sicherzustellen, dass Daten nicht nur qualitativ hochwertig sind, sondern auch sicher und verantwortungsvoll genutzt werden. Mit den richtigen Open-Source-Tools und einer durchdachten Implementierung kann die Blockbuster Bytes AG eine robuste IAM-Infrastruktur aufbauen, die den Schutz sensibler Daten gewährleistet und die Grundlage für datengetriebene Entscheidungen schafft.

Die Reise zu einer starken Data Governance und einem sicheren Umgang mit Daten beginnt heute – mit klaren Maßnahmen, einem guten IAM-System und der richtigen Open-Source-Software.

P.S. Who am I (2014); https://www.imdb.com/de/title/tt3042408/?ref_=ext_shr_lnk 

Seminarempfehlungen