Security News

Datenschutz: EU-Datenschutz-Grundverordnung: So wappnen sich Unternehmen


Vorbeugen ist besser als heilen


Die EU-Datenschutz-Grundverordnung (GDPR) gilt ab 25. Mai 2018 und schafft in Europa einheitliche Datenschutz-Regelungen. Datenschutzverletzungen müssen ab diesem Zeitpunkt innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Ausserdem sind die von der Verletzung betroffenen Personen über den Vorfall zu informieren. Die neue Richtlinie ist einerseits für alle Unternehmen bindend, die einen Sitz in der EU haben, und erstreckt sich andererseits auch auf Firmen weltweit, sofern sie personenbezogene Daten über in der EU ansässige Bürger erheben, verarbeiten und nutzen. Wer sich nicht an die neuen Vorschriften hält, muss mit beträchtlichen Geldstrafen rechnen. Die maximale Geldbusse bei einem schweren Datenschutzvergehen beträgt bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Die strikte Einhaltung der GDPR ist daher für Unternehmen aller Branchen überlebenswichtig.

Doch welche Strategien sollten sie verfolgen, um den Anforderungen gerecht zu werden? Drei grundsätzliche Massnahmen sind bei der Umsetzung der Richtlinien von zentraler Bedeutung: Bestellung eines Datenschutzbeauftragten, die strikte Verwaltung der Zugriffsrechte sowie die wirksame Absicherung des Netzwerkverkehrs. Das sind die wichtigsten ersten Schritte, um die persönlichen Daten der Kunden wirksam zu schützen, Datenlecks zu verhindern und damit hohe Geldstrafen sowie Image-Verluste zu vermeiden.

Die Bestellung eines Datenschutzbeauftragten ist eine der Voraussetzungen in der GDPR und gilt europaweit. Grundsätzlich steht es dem Unternehmen frei, die Position des betrieblichen Datenschutzbeauftragten intern oder extern zu besetzen. Viele bedienen sich bereits der Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen, um ihre eigenen internen Ressourcen besser zu nutzen und von den Vorteilen des spezifischen Fachwissens eines externen Datenschutzbeauftragten zu profitieren.

Grund: Technologische Neuentwicklungen fordern den Datenschutzbeauftragten zusehends, so dass für ihn eine permanente Weiterbildung in der IT und im juristischen Bereich unerlässlich ist, um den immer komplexeren Fragestellungen gerecht zu werden. Externe Dienstleister wie Systemintegratoren, Systemhäuser oder Reseller haben den wachsenden Bedarf erkannt und bieten mittlerweile die Übernahme dieser Aufgabe als Dienstleistung an. Es ist nicht zu empfehlen, aus Sparsamkeit auf einen Datenschutzbeauftragten zu verzichten, da er der zuständigen Aufsichtsbehörde gemeldet werden muss. Eine Unterlassung bleibt daher mit hoher Wahrscheinlichkeit nicht lange unentdeckt.

Unternehmen müssen laut GDPR sicherstellen, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten – andernfalls ist mit Strafen zu rechnen. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen. Die Möglichkeit, Anwendungen zu steuern, die Zugriff auf persönliche Daten von EU-Bürgern haben, ist ein wichtiger Punkt bei der Datensicherheit. Access-Governance erfordert deshalb eine regelmässige Überprüfung der Zugriffsrechte von Abteilungsleitern, Mitarbeitern und Vertragspartnern.

Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Identitäts- und Zugriffsmanagementlösungen, die dieses Mass an Steuerung zulassen, enthalten beispielsweise Multi-Faktor-Authentifizierung (MFA), sicheren Remote-Zugriff, risikobasierte, adaptive Zugangssicherheit, granulares Passwort-Management und die volle Kontrolle über privilegierte Benutzer-Credentials und deren Aktivität.

Die Vorgaben der GDPR lassen sich jedoch nicht nur auf den Datenschutzbeauftragen und Zugriffskontrollen reduzieren, sondern gehen weit darüber hinaus. Unternehmen sind aufgefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, die ein angemessenes Schutzniveau für die Daten in allen Bereichen des Unternehmens sicherstellen. Dazu gehören beispielsweise Produkte und Lösungen wie Virenscanner, Appliances für E-Mail-Sicherheit, Data Loss Prevention (DLP), Unified Thread Management (UTM), Firewalls, Zutrittskontrollen sowie ein Information Security Management System (ISMS), aber auch organisatorische Massnahmen wie die Einrichtung eines Chief Information Security Officers (CISO).

Externe Cyber-Attacken sind meist die Ursache für Datenlecks und somit Datenschutzverletzungen. Einen möglichen Baustein zur Abwehr solcher Bedrohungen stellen beispielsweise Next Generation Firewalls (NGFWs) dar, da sie – im Gegensatz zu normalen Firewalls – das Risiko solcher Datenlecks durch verschiedene integrierte Sicherheitstechnologien senken. So verfügen NGFWs üblicherweise über Deep Packet Inspection, Echtzeit-Entschlüsselung und Prüfung von SSL-Sitzungen sowie adaptives Multi-Engine-Sandboxing und gestatten die volle Kontrolle von Anwendungen. Ausserdem liefern sie umfassende forensische Einsichten in den Netzwerkverkehr. Unternehmen sind dadurch in der Lage nachzuweisen, dass sie die Compliance einhalten. Ausserdem helfen ihnen die Kenntnisse dabei, bei potentiellen Verletzungen wirksame Nachbesserungen durchzuführen.

Die Absicherung des Netzwerkes ist umso wichtiger, da Mitarbeiter zunehmend mobil auf Unternehmensressourcen zugreifen. Sie benötigen dafür einen stets sicheren Zugang von beliebigen Geräten aus. Auch hier bringen NGFWs einen entscheidenden Vorteil, da sie eine sichere, verschlüsselte Verbindung etwa via SSL-VPN erlauben. Die Datensicherheit lässt aber noch weiter verbessern, indem Identitäten mit Gerätevariablen und veränderlichen Faktoren wie Zeit oder Ort kombiniert werden. Dieser adaptive, risikobasierte Ansatz gewährleistet zu jeder Zeit den sicheren Zugriff auf das Unternehmensnetz und verbessert gleichzeitig den Datenschutz und die Compliance.

E-Mails sind für den Informationsaustausch immer noch die am weitesten verbreitete Methode. Gleichzeitig stellt die Kommunikation per E-Mail aber ein grosses Sicherheitsrisiko dar. Grund: Cyber-Kriminelle versuchen durch Phishing oder infizierte E-Mails in Unternehmen einzudringen und Daten zu stehlen. Um potenzielle Datenschutzverletzungen zu vermeiden, benötigen Unternehmen die volle Kontrolle und Transparenz über alle E-Mail-Aktivitäten. Nur so lässt sich verhindern, dass Phishing- und E-Mail-Attacken auf geschützte Daten erfolgreich sind. Auch unter diesem Gesichtspunkt unterstützen NGFWs Unternehmen mit integrierten Anti-Spam-Technologien, Verschlüsselung oder einem Reputationssystem. Die Sicherheitsfunktionen wehren gefährliche Mails ab, stellen aber gleichzeitig den sicheren und konformen Austausch von sensiblen und vertraulichen Daten sicher.


Datensicherheit.de; 13.02.2017; Sven Janssen
http://www.datensicherheit.de/aktuelles/eu-datenschutz-grundverordnung-so-wappnen-sich-unternehmen-26360 lang=de

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung