Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie soll mit neuen, vereinheitlichten Bestimmungen für den Umgang mit personenbezogenen Daten in der Europäischen Union für mehr Datenschutz sorgen und sieht zu diesem Zweck diverse Sicherheitsmaßnahmen vor. Zwar befasst sich die DSGVO vornehmlich mit den technischen Aspekten des Gesetzes und der neu eingeführten Verpflichtung zur Benachrichtigung binnen 72 Stunden im Falle einer Sicherheitsverletzung, im Gesamtzusammenhang ist jedoch auch wichtig zu betrachten, was dies für Datenschutz und Datensicherheit generell bedeutet.
So bietet die neue Verordnung die ideale Gelegenheit, die Sicherheit in der Industrie von der systemorientierten Methode auf eine mit Fokus auf die Daten an sich umzustellen.
Überwachung des Datenflusses für mehr Sicherheit
Die DSGVO soll uns helfen, unsere Daten besser zu verstehen, und fordert Organisationen auf, sich bei der Gestaltung von Datenschutz- und Sicherheitsmaßnahmen an ihrem Umgang mit den Daten zu orientieren. Sie fördert den Gedanken von „Datenschutz durch Technikgestaltung“: das Prinzip, dass Organisationen den Datenschutz bereits bei der Entwicklung ihrer Systeme und Produkte berücksichtigen sollten. IT-Teams ist damit die Chance geboten, bestehende Maßnahmen im Hinblick auf zunehmende Bedrohungen und die wachsenden Erwartungen der Nutzer neu zu beurteilen, für die Datensicherheit immer mehr zum Thema wird.
Natürlich haben Sicherheitsbeauftragte auch vor der neuen Verordnung stets sehr viel Wert auf die Überwachung von Unternehmens- und Nutzerdaten gelegt. Durch die DSGVO gewinnt die Analyse von Datenflüssen in diesem Bereich jedoch noch mehr an Bedeutung.
Bisher setzte man in einem systemorientierten Verfahren vorwiegend auf Tools wie Firewalls, Angriffserkennungssysteme und Antivirensoftware zum Schutz von Unternehmensservern. Diese Maßnahmen behalten angesichts der wachsenden Zahl immer neuer Bedrohungen durchaus ihre Gültigkeit. Die DSGVO gibt jedoch Anlass zum Umdenken. So muss der gesamte Lebenszyklus der Nutzungsdaten berücksichtigt werden: woher sie kommen, wann und wo personenbezogene Kundendaten gespeichert und verarbeitet werden, wie sie zwischen den einzelnen Stellen weitergeleitet werden und wie letztendlich ihre Vernichtung sichergestellt wird, wenn sie nicht mehr benötigt werden.
Datenorientierte Sicherheitslösungen versetzen Organisationen in die Lage, den Ansprüchen der DSGVO gerecht zu werden und Kunden die Gewissheit zu geben, dass ihre personenbezogenen Daten sicher und vertraulich behandelt werden. Artikel 32 der DSGVO legt die Maßnahmen fest, die Organisationen für ein angemessenes Schutzniveau ergreifen sollen, um die Sicherheit der Verarbeitung zu gewährleisten. Um jedoch Risiken richtig einschätzen und ihnen wirksam vorbeugen zu können, müssen Organisationen zunächst verstehen, an welchen Stellen ihre Datenflüsse gefährdet sein könnten.
Mehr Bewusstsein für die Sicherheit
Nach Inkrafttreten der DSGVO werden die verantwortlichen Sicherheitsbeauftragten, Informationsmanager und Datenschutzbeauftragten eng zusammenarbeiten, um Sicherheitsrisiken entgegenzuwirken. Ihre Aufgabenbereiche sorgen auch weiterhin für die Aktualität von Sicherheitsmaßnahmen in den jeweiligen Organisationen, die auch den Kundenansprüchen gerecht werden. Zusätzlich werden diese Schlüsselfunktionen jedoch durch eine stärkere Gewichtung der Sicherheit im gesamten Arbeitsumfeld unterstützt. Das gilt besonders für kleinere Unternehmen, deren Sicherheitsverfahren vielleicht weniger fest etabliert sind.
Sie werden die Einordnung und Verwaltung personenbezogener Daten sowie die bestehenden Schutzmaßnahmen genauestens prüfen und gegebenenfalls aktualisieren müssen. Hierfür stehen diverse Sicherheitstools zur Verfügung, und Dienstleister bieten tatkräftige Unterstützung beim Umstellungsprozess an. Das gesteigerte allgemeine Bewusstsein für Sicherheit erleichtert die Überprüfung und hilft, auftretende Sicherheitsrisiken im Keim zu ersticken – zumal sich ein großer Anteil aller Sicherheitsverletzungen auf menschliches Fehlverhalten zurückführen lässt. Verizon ermittelte im Rahmen einer aktuellen Studie bei 25 % aller Datenschutzverletzungen einen zumeist nachlässig handelnden internen Verursacher. 80 % der Verletzungen durch Hackangriffe wurden durch gestohlene oder unsichere Kennwörter begünstigt.
Die Entwicklung hin zu datenorientierter Sicherheit wird für jede Organisation anders aussehen, doch folgende Tipps sollten alle beherzigen:
- Nutzen Sie Telemetrie zur Überwachung von Datenflüssen: Mithilfe von Telemetrie lassen sich Datenflüsse in Übereinstimmung mit den Vorgaben der DSGVO (insbesondere Artikel 32 – 34) überwachen, aufzeichnen und überprüfen. Schließen Sie Dienstleister in die Überwachung mit ein, um den gesamten Verarbeitungszyklus der Daten zu sichern.
- Verwalten Sie Berechtigungen: Eine Organisation muss jederzeit nachweisen können, wer Zugang zu den Daten hat, die sie speichert und verarbeitet. Darum ist es nicht nur ratsam, sondern notwendig, Zugriffsberechtigungen auf diejenigen Personen zu beschränken, für die sie zur Durchführung der Dienstleistung unerlässlich sind.
- Suchen Sie das Gespräch, um Vertrauen aufzubauen: Die DSGVO beschreibt das Verhältnis zwischen betroffenen Personen und Verantwortlichen und verlangt im Vorfeld jeglicher Datenverarbeitung transparente Kommunikation. Sie setzt außerdem voraus, dass Organisationen ausschließlich mit Dienstleistern zusammenarbeiten, die angemessene Datenschutzmaßnahmen gewährleisten können. Der Dialog mit Verbrauchern und Partnern ist zudem als fortlaufendes Gespräch zu betrachten, um das Vertrauen aufrechtzuerhalten.
- Üben Sie regelmäßig das Vorgehen im Verletzungsfall: Organisationen sollten die Forderung der DSGVO nach mehr Aufmerksamkeit und schnellerer Benachrichtigung bei einer Datenschutzverletzung zum Anlass zu nehmen, den Ernstfall einer schwerwiegenden Gefährdung regelmäßig zu üben. Setzen Sie diese Übungen mindestens einmal pro Jahr an und ermitteln Sie jedes Mal 2 – 3 Bereiche, in denen Sie sich noch verbessern können.
- Behalten Sie alle Glieder der Kette im Blick: Eine Sicherheitsverletzung bei einem Partner oder Dienstleister kann für Sie schnell zum Albtraum werden. Informieren Sie sich darüber, wie Partner vernetzt sind und wie sie auf Datenspeicher zugreifen. Gehen Sie dabei immer vom schlimmsten Fall aus, dass bereits eine Verletzung vorliegt. Planen Sie unter dieser Voraussetzung Ihre Abwehrstrategie.
Die DSGVO gibt den Anstoß für erhöhte Sicherheit
Die DSGVO dient nur dem Schutz der personenbezogenen Daten von Menschen, die in der EU ansässig sind. Dennoch wird sie weltweit beeinflussen, wie international tätige Unternehmen in den verschiedensten Märkten Daten und deren Sicherheit handhaben.
Die Umsetzung der DSGVO erfordert Zeit, Ressourcen und vor allem ein Umdenken. Ihre Bestimmungen und das Prinzip vom Datenschutz durch Technikgestaltung bekräftigen außerdem die datenorientierte Vorgehensweise, zu der sich viele Sicherheitsteams bereits entwickeln.
Die Vorteile der DSGVO werden weit über Mai 2018 hinausreichen. Daten gewinnen in unserer modernen Welt immer mehr an Bedeutung und das neue Regelwerk bietet uns eine wertvolle Gelegenheit, mehr darüber zu lernen, wo sie gespeichert werden, wohin sie gelangen und vor allem, wie wir sie auf jedem Schritt des Weges schützen können. Wir können uns auf eine Zukunft freuen, in der Sicherheit sich nicht nur an Daten orientiert, sondern an der Verpflichtung gegenüber den Nutzern und ihrem Vertrauen.
Autor: Mark Crosbie