18. Mai 2009 - Enterprise Search

Wie sich interne Suchmaschinen datenschutzkonform einsetzen lassen

Rund 70 Prozent aller Daten in Unternehmen liegen unstrukturiert vor und entziehen sich so einer Datenbankabfrage. Enterprise Search setzt deshalb auf interne Suchmaschinen, die eine format- und quellenunabhängige Volltextsuche im Netzwerk ermöglichen. Damit diese Suchspezialisten aber nicht mehr finden als sie dürfen, sollten Datenschutzbeauftragte ein Berechtigungssystem für interne Suchmaschinen einfordern.

wie-sich-interne-suchmaschinen-datenschutzkonform-einsetzen-lassen.jpeg
Mit dem richtigen Berechtigungskonzept und weiteren Schutzmaßnahmen sind auch interne Suchmaschinen datenschutzkonform einsetzbar(Foto:Gerd Altmann/Pixelio)

Wenn Unternehmen wichtige Daten als Entscheidungsgrundlage suchen, Kundenbefragungen auswerten wollen oder den Status verschiedener Projekte erheben möchten, reicht meist die Abfrage der internen Datenbanken nicht aus.

Wertvolle Informationen lagern in E-Mails, Textdokumenten, PDF-Dateien oder Präsentationen und werden nicht in Datenbanken übernommen.

Der Anteil unstrukturierter Daten steigt

Inzwischen sind etwa 70 Prozent der Daten eines Unternehmens nur in unstrukturierter Form vorhanden und können nicht ohne weiteres automatisiert gesammelt und ausgewertet werden.

Interne Suchmaschinen: Suchen wie im Internet

Auch im Internet liegen die meisten Daten in Form von Dokumenten vor und nicht als Datenbank. Dort helfen Internetsuchmaschinen dabei, eine gezielte Suche über die riesigen Datenbestände auf den zahllosen Webservern weltweit durchzuführen.

Einen ähnlichen Ansatz bräuchten viele Unternehmen auch für das eigene Intranet, das interne Netzwerk.

Technisch gesehen ist dies kein Problem, denn es gibt eine Vielzahl an kostenlosen, kostenpflichtigen und quelloffenen Suchmaschinen (Search Engines).

Die Einführung einer solchen internen Suchmaschine benötigt nicht viel Zeit, und selbst die kostenlosen Varianten können zum Beispiel 500.000 Dokumente durchsuchen, in ihren Suchindex aufnehmen und damit entsprechende interne Suchanfragen beantworten.

Mehr zum Thema „Suchmaschinen

Auch private E-Mails, Chats und eigene Dateien könnten gefunden werden

Das wesentliche Ziel von internen Suchmaschinen ist es, strukturierte und unstrukturierte Daten in unterschiedlichen Formaten und an verschiedenen Speicherorten mit einer zentralen Suchfunktion abfragen zu können.

Neben Datenbanken werden deshalb meist auch E-Mails, Chatprotokolle, Word-, Excel-, PowerPoint-, PDF-, MP3-, Grafik-, Audio- und Videodateien sowie interne Webseiten durchsucht.

Dabei könnten ohne entsprechende Vorkehrungen auch private Daten und personenbezogene Informationen in die Abfrageresultate einbezogen werden. Ebenso könnten Speicherbereiche abgefragt werden, die für den allgemeinen Nutzerzugriff nicht vorgesehen sind.

Indexierung und Snapshots prüfen

Damit Enterprise Search als unternehmensinterne Suche auch die Vorgaben des Datenschutzes und die notwendige Vertraulichkeit bestimmter Daten berücksichtigt, sollte der Datenschutzbeauftragte über verschiedene Besonderheiten interner Suchmaschinen unterweisen und Prüfungen der Datenschutzkonformität vornehmen:

  • Auch interne Suchmaschinen generieren in der Regel einen Suchindex, um Anfragen zeitnah beantworten zu können. Dieser Suchindex sollte vor unbefugten Zugriffen geschützt und am besten nur verschlüsselt gespeichert sein, wenn nicht sichergestellt ist, dass sich im Suchindex keine personenbezogenen, vertraulichen Daten befinden.
  • Interne Suchmaschinen legen Schnappschüsse (Snapshots) der durchsuchten Dokumente an, um diese für die schnelle Ergebnispräsentation nutzen zu können. Die Snapshots liegen dann in einem Suchmaschinen-Cache, der auch nach Löschung der Ursprungsdatei noch durchsuchbar bleibt. Eine Datenlöschung muss bei Enterprise Search also auch den Cache berücksichtigen.

Keine interne Suche ohne Berechtigungskonzept

Generell sollten interne Suchfunktionen ihrem Anwender keine Dokumente und Daten liefern können, die sie oder er aufgrund der eigenen Zugriffsrechte nicht auch auf anderem Weg hätte bekommen können. Das Berechtigungskonzept für Netzwerk und Computer sollte also gleichermaßen für Enterprise Search gelten.

Je nach System kann die interne Suchmaschine ein bestehendes Berechtigungskonzept übernehmen oder der Administrator kann gleichlautende Rechte über eine eigene Administrationsoberfläche einpflegen.

Weitere Artikel zum Thema „Berechtigungskonzept

Ohne Anmeldung keine Suchfunktion

Ebenso sollte die interne Suchmaschine ohne lokale Anmeldung oder Anmeldung am Netzwerk keine Suchergebnisse liefern können. Die interne Suchmaschine braucht also die Rechte ihres Anwenders, um suchen zu können. Suchergebnisse sollten ebenfalls nicht ohne Anmeldung zugänglich sein.

Ob die Suchmaschine das definierte Berechtigungskonzept einhält, sollte auch im Vier-Augen-Prinzip getestet werden, indem ein Nutzer mit geringen Zugriffsrechten simuliert wird, der gezielt Daten über die interne Suchmaschine anfragt, für die er oder sie keine Zugriffserlaubnis hat.

Anzeige

Datenschutz online

Tipp der Redaktion: Datenschutz online – der umfassende Ratgeber für den öffentlichen und nichtöffentlichen Bereich

Neben tiefergehenden Beiträgen zum Thema Suchmaschinen und Datenschutz bietet Datenschutz Online lückenlose Informationen im Bereich Datenschutz zum Nachlesen, als Arbeitshilfen, in Form von kommentierten Urteilen uvm.

Mehr zu Datenschutz online


Eine datenschutzkonforme interne Suchmaschine sollte sich auf dienstliche Daten beschränken lassen und bestimmte Bereiche wie private E-Mails und vertrauliche eigene Dateien ausnehmen.

Wichtig ist es, auch den Anbieter der internen Suchmaschine zu hinterfragen. So sollte sichergestellt sein, dass die Suchergebnisse nicht an den Betreiber übertragen werden.

Auf dieser Grundlage kann Enterprise Search eine echte Hilfe bei der stetigen Zunahme unstrukturierter Daten sein, ohne den Datenschutz zu gefährden.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Analyst und IT-Fachjournalist.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln