Anzeige

DSGVO

Vor gut drei Jahren ist die Verordnung (EU) 2016/679 - besser bekannt als EU-Datenschutzverordnung oder DSGVO - in Kraft getreten. Obwohl die DSGVO auf langjährigen europäischen und internationalen Datenschutzprinzipien basiert, schuf sie einen neuen Goldstandard, der nicht nur Datenschutzexperten tangiert, sondern auch Geschäftsführer und Vorstände beschäftigt.

Grund dafür ist, dass viele Unternehmen durch sie Datenschutz-Management-Prozesse reorganisieren oder zusätzliche Maßnahmen ergreifen mussten, um die Vielzahl von Anforderungen zu erfüllen. Auch wenn infolge des EuGH-Urteils in der Rechtssache Schrems II (C-311/18) der Fokus des Datenschutz-Managements zuletzt verstärkt auf dem grenzüberschreitenden Datentransfer und der Sicherstellung eines adäquaten Schutzniveau im Sinne des 5. Kapitels der DSGVO lag, darf nicht unberücksichtigt bleiben, dass mit Einführung der DSGVO auch Anforderungen bzgl. Cybersicherheit erhöht wurden. Organisationen sind dazu verpflichtet, technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen. Diese Maßnahmen müssen dem bestehenden Risiko angemessen sein und dem Stand der Technik entsprechen. Welches Risiko nach drei Jahren DSGVO dabei anzulegen ist, soll im Folgenden näher betrachtet werden.

 

Risikofaktor Cyberangriffe

Bedrohungen für personenbezogene Daten gibt es in vielen Formen. Sie resultieren aus einem breiten Spektrum an beabsichtigten und unbeabsichtigten Offenbarungen personenbezogener Daten und damit einhergehender Gefahren für die informationelle Selbstbestimmung sowie die Privatsphäre. Cybersicherheitsvorfälle spielen dabei mittlerweile eine besondere Rolle, nachdem sowohl Qualität als auch Quantität von Angreifern und Angriffen signifikant zugenommen haben. Dementsprechend mussten viele Organisationen ihr Risiko neu definieren und technische und organisatorische Maßnahmen nachjustieren. Anderen Organisation steht es noch bevor. 

Die jüngsten Entwicklungen haben durch ihr Ausmaß und ihre Wucht deutlich gemacht, dass punktuelles Eindringen in IT-Systeme u. U. schnell ganze IT-Landschaft infizieren und zum Flächenbrand mutieren kann. Dementsprechend wichtig ist u. a. ein angemessener Authentifizierungsschutz geworden, der bei Einführung der DSGVO eher untergeordnete Bedeutung hatte.  

Dabei wurde Ransomware von Cyberkriminellen bereits vor Inkrafttreten der DSGVO eingesetzt. Man denke nur an zerstörerische Ransomware-Kampagnen wie WannaCry oder NotPetya. Anders als früher wird Ransomware heute allerdings auch gegen kritische Infrastrukturen eingesetzt, wie der jüngste Angriff auf die Colonial Pipeline zeigt. Ferner entwickelte sich in der jüngsten Vergangenheit Ransomware-as-a-Service zu einem zunehmende Geschäftsmodell. Dabei handelt es sich um ein Abo-Modell, mit dem man Zugang zu Dokumentation, einer Malware samt Support sowie Phishing-Kits bekommt. Es befähigt Personen ohne technisches Know-how oder Infrastruktur ausgefeilte Ransomware-Tools einzusetzen.

Für den Datenschutz ist der Einsatz von Ransomware zur Erpressung von Geldzahlungen besonders problematisch. Denn ein Angreifer entzieht Daten nicht nur die Verfügbarkeit, sondern legt auch gezielt Daten offen. Die mit einem damit einhergehenden Datenschutzverstoß u. U. zusammenhängenden Bußgelder werden dabei vom Angreifer als zusätzliches Druckmittel verwendet, um zum Erfolg zu kommen.

Diese sich weiterentwickelnde Bedrohung und Fortschritte in der Technik der Angreifer haben zur Konsequenz, dass vor dem Inkrafttreten der DSGVO gestaltete technische und organisatorische Maßnahmen wahrscheinlich heute nicht mehr angemessen sind und angepasst werden müssen.
 

 

Stand der Technik

Hierbei ist zu berücksichtigen, dass die DSGVO einen risikobasierten Ansatz bei der Auswahl und Anwendung individueller, angemessener technischen und organisatorischen Maßnahmen verfolgt. D.h. jedes Unternehmen kann für sich, orientiert an den von ihm verarbeiteten personenbezogenen Daten, ihrer Sensitivität und Schutzbedürftigkeit bestimmen, welche technische und organisatorische Maßnahmen angemessen sind. Hierbei sollten Unternehmen stets sorgfältig ihre individuellen Gegebenheiten, d.h. Umgebungen inkl. Cloud-Umgebungen betrachten. 

Daran ausgerichtet müssen Unternehmen unter Berücksichtigung des Stands der Technik, der zumutbaren Implementierungskosten sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos entsprechende technische Maßnahmen ergreifen und Mittel anwenden. Orientierung kann hier die Handreichung des TeleTrust e.V. zum Stand der Technik geben, die zwischenzeitlich auch auf Englisch verfügbar und gemeinsam mit der Agentur der Europäischen Union für Cybersicherheit (ENISA) herausgegeben wird. 

Darin finden Unternehmen u. a. Empfehlungen zum Einsatz von Lösungen zum Endgeräteschutz und der Erkennung von Anomalien zum Schutz vor Cyberangriffen (Extended Detection and Response - XDR). 

XDR versucht, Ordnung in eine chaotische Masse von Sicherheitstools zu bringen, indem es verwertbare Erkenntnisse und Informationen liefert. Sie stammen von dort, wo sie im Unternehmen vorhanden sind, z. B. aus Endpoint Detection and Response (EDR)-Daten, Authentifizierungsprotokollen und Netzwerktelemetrie. Diese Informationen dürfen auf Basis eines berechtigten Interesses unter Berücksichtigung der Erwägungsgründe 47 bis 49 der DSGVO zu Zweck der Cybersicherheit verarbeitet werden.

Im Übrigen ist zu berücksichtigen, dass viele Datenschutzverletzungen mittlerweile ohne den Einsatz von Malware stattfinden und Angriffe durch abgefangene Anmeldeinformationen, falsch konfigurierte Kontodienste, systemimmanente Dateiformate (z. B. Powershell) verübt werden. Aus diesem Grund ist es Best Practice Sicherheitsmaßnahmen anzuwenden, die den Schwerpunkt auf die Authentifizierung (z. B. Zero Trust) legen. 

Zero Trust gewährleistet, dass Nutzer sich für jedes Gerät oder jede Ressource, auf die sie zugreifen möchten, neu authentifizieren oder die Berechtigung neu liefern müssen. Dieser ganzheitliche Ansatz zum Identitätsschutz verhindert laterale Bewegungen von Angreifern in IT-Infrastrukturen und hilft Sicherheitsvorfälle zu reduzieren und zuvor beschriebene Flächenbrände zu verhindern.

 

DSGVO-Compliance als iterativer Prozess

Vor diesem Hintergrund markiert das dreijährige Jubiläum der DSVGO einen geeigneten Zeitpunkt, um sich daran zu erinnern und sich bewusst zu machen, dass DSGVO-Compliance ein fortlaufender, iterativer Prozess ist. Er hält Unternehmen und sonstige Stellen dazu an, die Mittel, mit denen sie personenbezogenen Daten schützen, kontinuierlich zu evaluieren und bedarfsweise anzupassen. 

In der EU haben Aufsichtsbehörden erhebliche Bußgelder für die Nichteinhaltung der DSGVO gegen Unternehmen verhängt, die personenbezogene Daten nicht angemessen und rechtskonform geschützt haben oder es versäumt haben, ihre Meldepflicht im Fall einer Datenschutzverletzung zu erfüllen. Trotzdem wissen viele deutsche Unternehmen nicht über Meldepflichten und potentielle Bußgelder hinreichend Bescheid, wie eine durch das britische Marktforschungsinstitut Opinion Matters im Auftrag von CrowdStrike anlässlich des DSGVO-Jahrestages durchgeführte Umfrage ergeben hat. Danach wissen beispielsweise 41 Prozent der deutschen Umfrageteilnehmer nicht, innerhalb welches Zeitrahmens sie Datenschutzverstöße an die zuständigen Behörden melden müssen. 47,5 Prozent schätzen den Zeitrahmen falsch ein. Auch gab jedes zweite befragte deutsche Unternehmen an, gar nicht über die Höhe von Bußgeldern Bescheid zu wissen.

Damit dieses mangelnde Bewusstsein nicht zum Verhängnis im Fall eines Cyberangriffs wird, empfiehlt sich, proaktiv angemessene Sicherheitsvorkehrungen nach dem Stand der Technik zu treffen.

 

Christoph BauseweinChristoph Bausewein, Director & Counsel, Data Protection & Policy, CrowdStrike

 

 

 

 

 

 

Drew BagleyDrew Bagley, VP & Counsel, Privacy & Cyber Policy, CrowdStrike

 


Weitere Artikel

Cybersicherheit

Nach der Bundestagswahl – „Die Verantwortung für Cyber-Sicherheit verbleibt auch nach der Wahl bei den Unternehmen”

CyberDirekt – eine digitale Vertriebsplattform für Cyber-Versicherungen – hat anlässlich der bevorstehenden Bundestagswahl am 26. September in einer aktuellen Untersuchung die Inhalte der Wahlprogramme der großen Parteien – CDU/CSU, SPD, Bündnis90/Die Grünen,…
Cyberwar

Neue Cybersicherheitsstrategie: Gemischte Gefühle in der IT-Sicherheit

Am Mittwoch hat das Bundeskabinett den Vorschlag des Innenministeriums für eine neue deutsche Cybersicherheitsstrategie verabschiedet. Dieser stieß – naturgemäß – im politischen Raum auf ein geteiltes Echo.
Cybersicherheit

VOICE fordert stärkere Haftung der Softwarehersteller und Cloudprovider

VOICE – Bundesverband der IT-Anwender begrüßt die Weiterentwicklung der Cybersicherheitsstrategie (CSS) der Bundesregierung. VOICE fordert aber die Konkretisierung der strategischen Ziele in Bezug auf die Verpflichtung der Software- und…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.