Thorsten Henning

ist Senior Systems Engineering Manager bei Palo Alto Networks.

Die Umsetzung der DSGVO naht – was nun?

Bis Mai 2018 soll die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in den Mitgliedsstaaten in nationales Recht umgesetzt werden. Unternehmen haben damit weniger als ein Jahr, um sich auf die ab dann geltenden Regeln vorzubereiten. Thorsten Henning nennt vier wichtige Punkte, die es bei der Vorbereitung zu beachten gilt.

Es ist für Unternehmen in ganz Europa von entscheidender Bedeutung, dass sich der Konsequenzen bewusst sind, die Gesetzgebung im Zuge der Umsetzung der EU-DSGVO (Datenschutz-Grundverordnung) unternehmensweit, nicht nur für das IT-Sicherheitspersonal, mit sich bringt. So geht es nun darum, rechtzeitig die Compliance zu erlangen, um hohe Verwaltungsstrafen zu vermeiden, die bei Nichteinhaltung drohen.

Datenschutz (Bild: Shutterstock/alphaspirit)

Angesichts der verbleibenden Zeit nimmt der Druck zu, um bestehende Sicherheitssysteme zu überprüfen, zu ändern und zu testen. Dadurch lässt sich gewährleisten, dass die erforderliche Sichtbarkeit sowie eine Reihe von robusten Kontrollen und Prozessen vorhanden sind. Es gibt mehrere Möglichkeiten, wie sich die Unternehmen vor Mai 2018 vorbereiten können. Die folgenden vier Punkte sind von entscheidender Bedeutung.

Die Gesetzgebung verstehen

Die DSGVO unterscheidet sich deutlich von der bisherigen Datenschutzrichtlinie von 1995. Für den Schutz der personenbezogenen Daten von EU-Bürger sollen nun weitaus strengere Regeln gelten. Der Umfang wurde erweitert, um auch Unternehmen einzubeziehen, die außerhalb der EU ansässig sind, wenn sie EU-Bürgern Waren oder Dienstleistungen anbieten. Dies betrifft auch Unternehmen, die das Verhalten der EU-Bürgerinnen und -Bürger überwachen, wenn dies in der EU stattfindet. Unternehmen müssen also genau wissen, ob sie betroffen sind.

Compliance (Bild: Shutterstock)

Datensicherheit ist der Eckpfeiler der DSGVO. Die sichere Verarbeitung von personenbezogenen Daten und handeln zu können, sobald eine Datenschutzverletzung aufgetreten ist, bedeutet auch, dass ältere Sicherheitssysteme unzureichend sind. Solche Systeme, die im Laufe der Jahre aus mehreren punktuellen Produkten “zusammengeschustert” wurden, haben sich als ineffektiv erwiesen. Sie weren der aktuellen Bedrohungslage nicht Herr. Dies betrifft vor allem das steigende Volumen, die Automatisierung und die Raffinesse der heutigen Cyberangriffe. Unternehmen müssen auf moderne Technologien und Praktiken zurückgreifen, wenn es darum geht, Risiken zu minimieren, die mit der Aufrechterhaltung des Datenschutzes verbunden sind.

Die Notwendigkeit eines umfassenderen Ansatzes für die Cybersicherheit ist niemals größer gewesen, da die neue Regulierungsmaßnahme die Messlatte für die Unternehmensverantwortung höher legt. Moderne Sicherheitstechnologie kann helfen, die Sicherheits- und Datenschutzmaßnahmen zu optimieren. Dies betrifft die Einhaltung gesetzlicher Vorschriften zum Schutz personenbezogener Daten auf Anwendungs-, Netzwerk- und Endpunktebene sowie in der Cloud. Dies kann auch helfen, zu verstehen, welche Daten kompromittiert wurden, wenn ein Sicherheitsvorfall auftritt. Vor allem geht es aber darum zu verhindern, dass es überhaupt zu Datenschutzverletzungen kommt.

Wie werden persönliche Daten im Unternehmen genutzt?

Verwaltung, Erfassung und Verarbeitung von persönlichen Daten muss künftig mit den Anforderungen der DSGVO übereinstimmen. Zunächst ist es jedoch entscheidend zu verstehen, wie diese Daten derzeit im Unternehmen verwendet werden. Unvermeidlich sammelt sich eine riesige Menge an personenbezogenen Daten allein durch das reguläre Tagesgeschäft an. So, wie in den Daten auch Wert enthalten ist, der zur positiven Geschäftsentwicklung beitragen kann, sorgen die Daten auch für Risiken. Wenn personenbezogenen Daten mit Bezug auf EU-Einwohner verloren gehen, gestohlen oder kompromittiert werden, wird dies in den meisten Fällen meldepflichtig sein.

Datenflut (Bild: Shutterstock/Nomad_Soul)

Datensicherheit ist daher zentral für die DSGVO. Doch die Daten lassen sich nicht schützen, wenn nicht für einen sorgfältigen Umgang mit ihnen gesorgt ist. Dies setzt voraus zu wissen, wie persönliche Informationen im Unternehmen verarbeitet werden und wie hierzu Anwendungen von Mitarbeitern genutzt werden. Erst dann ergibt sich ein klares Bild, welche Kontrollen notwendig sind, um diese Daten zu sichern und zu schützen.

Die DSGVO fordert von den Unternehmen, dass ihre Cybersicherheitsfähigkeiten “dem Stand der Technik” entsprechen müssen [Artikel 32]. Sicherheitsverantwortliche sollten sich daher jetzt die Zeit nehmen um festzustellen, ob dies in ihrem Unternehmen der Fall ist. Wenn es nicht der Fall ist, müssen sie wissen, wie sie den geforderten Zustand erreichen können. Angesichts der Komplexität der modernen Netzwerke betrifft dies die Anwendungs-, Cloud,- Netzwerk- und Endpunktebene.

Ein guter Ausgangspunkt ist es, mit den älteren Systemen zu starten. Die sollten sorgfältig überprüft werden um festzustellen, ob sie dem “Stand der Technik” gerecht werden können. Die DSGVO bietet dabei die Gelegenheit, einen “Frühjahrsputz” durchzuführen – nur dürfte dafür im Frühjahr 2018 zu knapp sein. Hier ist ein rasches Engagement gefragt, insofern diesbezüglich noch nichts angestoßen wurde.

Dies bedeutet gegebenenfalls, rechtzeitig die richtige Technologie zu implementieren, die in der Lage ist, mit einer modernen, sehr dynamischen Bedrohungslandschaft umzugehen. Die DSGVO sollte mehr als Chance gesehen werden, gründlich “aufzuräumen”, damit nicht nur aktuelle Anforderungen erfüllt werden, sondern auch die Kapazität und Fähigkeiten gegeben sind, um sich zukünftigen Bedrohungen begegnen zu können.

Sind die richtigen Leute involviert?

Des Weiteren gilt es sicherzustellen, dass das gesamte IT-Team befähigt wird, die gesetzlichen Anforderungen zu verstehen und einzuhalten. Die Bedrohungslandschaft wird sich weiterentwickeln – und das Tempo der Veränderung wird sich nicht verlangsamen. Dies erfordert ein Team, das die Fähigkeiten hat, eine adaptive Cybersicherheit aufrechtzuerhalten und anzuwenden sowie mit der gleichen Geschwindigkeit zu arbeiten wie die Angreifer – im Optimalfall sogar schneller.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Die Herausforderung derzeit ist, dass in vielen Unternehmen ein Mangel an qualifizierten Fachkräften besteht – und es wird immer schwieriger, die richtigen Leute zu finden. Wenn Wissens- oder Kapazitätslücken sichtbar werden kommt es darauf an, dass die Sicherheitstechnologie das nötige Maß an Automatisierung und Analysefähigkeiten bietet, um das verfügbare Personal bestmöglich zu unterstützen.

Die DSGVO wird sich auf das ganze Unternehmen auswirken, daher müssen alle beteiligt sein: von der Rechtsabteilung bis zur Geschäftsführung, ebenso wie das Marketingteam und die Ingenieure. Der Datenschutz muss im gesamten Unternehmen umgesetzt werden. Hierzu gehören auch Tests und Prüfungen, um sicherzustellen, dass alle Mitarbeiter sich ihrer Rolle bei der Einhaltung der Vorgaben bewusst sind.

Prävention an erster Stelle

Einer Studie des Ponemon Institute vom Juni 2016 zufolge liegen die durchschnittlichen Gesamtkosten einer Datenschutzverletzung bei vier Millionen Dollar. Derartige Vorfälle können das Geschäftsergebnis erheblich beeinträchtigen und dem Ruf des Unternehmens schaden, was zusätzlich noch zum Verlust von Kunden führen kann.

Palo Alto Networks hat im Rahmen einer anderen Studie ermittelt, dass eine IT-Sicherheitsfachkraft in Europa im Schnitt mit drei Sicherheitsvorfällen pro Monat zu tun hat und durchschnittlich einer von drei Vorfällen eine Auswirkung auf das Geschäft hat. Zu verhindern, dass dies geschieht, ist die einzige Strategie, die sinnvoll erscheint. Die DSGVO hinterlässt daher keinen Spielraum für reaktive Methoden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Eine Datenschutzverletzung könnte auf einen proaktiven Angriff oder ein internes Datenleck zurückzuführen sein. In beiden Fällen beginnt gute Cybersicherheit mit einer starken präventiven Ausrichtung. Die Cybersicherheit auf dem Stand der Technik zu halten bedeutet, dass Unternehmen nicht nur die Bedrohungen verstehen müssen, sondern auch die Sicherheitsmaßnahmen, die den Bedrohungen entgegenwirken und diese abwehren.

Unternehmen können zudem aufgefordert werden, die Einhaltung der Sicherheitsanforderungen nachzuweisen. Daher sollten sie vorher schon folgende Fragen beantworten können, falls es tatsächlich dazu kommt.

  • Ist intern und extern belegbar, dass aktuelle Best Practices genutzt werden, um den Risiken entgegenzutreten?
  • Wurde dabei der Stand der Technik berücksichtigt?
  • Welche Prozesse, Metriken und Technologien sind im Unternehmen vorhanden, um dies belegen zu können?

Es gibt ein riesiges Angebot an Bedrohungsforschung, das genutzt werden kann, um Maßnahmen gegen bekannte Bedrohungen zu ergreifen. Um die potenzielle Angriffsfläche zu reduzieren muss sichergestellt werden, dass die rechtmäßigen Benutzer nur Zugriff auf die Anwendungen haben, die sie tatsächlich benötigen.

DSGVO: Streng, aber nicht unmöglich

Die DSGVO ist zweifellos streng, aber Compliance zu erreichen, ist keine unmögliche Aufgabe. Es ist wichtig, dass zum Schutz persönlicher Daten die Bedeutung der Prävention – als einer der wichtigsten Grundsätze der DSGVO – im Unternehmen verstanden wird. Dies ist nur mit der vollen Unterstützung aller Teams im Unternehmen möglich. Persönliche Daten müssen auf Anwendungs-, Cloud-, Netzwerk- und Endpunktebene geschützt werden. Nur so kann unbefugter Zugriff auf die Daten unterbunden werden.

Die DSGVO gilt für jedes Unternehmen, das personenbezogenen Daten von EU-Bürgern überwacht oder verarbeitet. Die Strenge der Gesetzgebung macht die Einhaltung der DSGVO zu einem Thema für die Vorstandsetage. Falls die korrekte Umsetzung vernachlässigt wird, drohen empfindliche Geldstrafen.

Mit den hier beschriebenen vier Punkten sollten sich Unternehmen spätestens jetzt beschäftigen. Denn nur dann schaffens ie es, vor der Frist im Mai nächsten Jahres auf wichtige Aspekte der neuen Gesetzgebung vorbereitet zu sein.