Thought Leadership
Die Europäische Datenschutzgrundverordnung tritt im Mai 2018 in Kraft. Grund genug sich schon heute dafür zu wappnen. Warum erklärt Roland Renner, Senior Director DACH, CEE, South Europe & Benelux bei Ipswitch im Gespräch mit it security-Herausgeber Ulrich Parthier.
Vielen ist die neue Richtlinie noch weitgehend unbekannt, doch Sie wird massive Veränderungen für die Unternehmen mit sich bringen. Was war das Ziel?
Roland Renner: Datendiebstahl ist das Hauptziel der steigenden Cyberkriminalität. Die alte Datenschutzgrundverordnung ist mittlerweile 20 Jahre alt. Ziel ist es, einen höheren Standard für den Schutz persönlicher Daten von EU-Bürgern zu gewährleisten.
Was bedeutet das für Unternehmen, die ja die Daten ihrer Kunden speichern müssen?
Roland Renner: Die externe Übertragung von persönlichen Daten ist heute über viele verschiedene Branchen hinweg ein zentraler Betriebsgeschäftsprozess von IT-Organisationen. Was die Sicherheit betrifft, sind Daten während der Übertragung gefährdet, da sie eine einmalige Gelegenheit zum Abfangen während der Übertragung oder bei der Speicherung und Verarbeitung am Ziel darstellen. Als Vorbereitung auf die Datenschutzgrundverordnung sollten IT-Organisationen Sicherheitskontrolleneinführen.
Trifft das auf alle Unternehmen zu?
Roland Renner: Wenn Ihre Organisation persönliche Daten von EU-Bürgern erfasst beziehungsweise verarbeitet, unterliegen Sie der Datenschutzgrundverordnung. Dabei ist es unerheblich, ob Sie in der EU physisch präsent sind oder nicht. Im Rahmen der Datenschutzgrundverordnung kann der Verlust von Daten mangels entsprechender Richtlinien und Schutzmaßnahmen zu Bußgeldern in Höhe von bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens führen.
Das wird erhebliche Auswirkungen auf das Risikomanagement in Unternehmen haben?
Roland Renner: Die Datenschutzgrundverordnung definiert „Controller“ und „Prozessoren“ als zwei unterschiedliche Arten von Organisationen, für die die Verordnung gilt. Der Controller definiert, wie und warum persönliche Daten verarbeitet werden, und der Prozessor agiert im Auftrag des Controllers. Wenn Sie zum Beispiel eine Bank sind, die Scheckbearbeitungsverfahren für Ihr Online-Kundenportal auslagert, dann ist der Outsourcer ein Prozessor.
Controller, Prozessor, verwirren diese Begrifflichkeiten nicht?
Roland Renner: Sicherlich sind die Begriffe neu und müssen sich erst einprägen. Durch die Datenschutzgrundverordnung werden Prozessoren bestimmte rechtliche Verpflichtungen auferlegt. Dazu gehört beispielsweise, dass sie einen Prüfpfad für Verarbeitungsaktivitäten aufrechterhalten müssen. Im Rahmen der Datenschutzgrundverordnung haften Prozessoren wesentlich stärker für eine Sicherheitslücke als im Rahmen der Datenschutzrichtlinie.
Anders sieht es bei dem Begriff Controller aus. Sollten Sie ein Controller sein, dann werden Ihnen durch die Datenschutzgrundverordnung mehr Verpflichtungen auferlegt, um eine Compliance der Prozessoren sicherstellen zu können. Sie werden nicht von Ihren Datenschutzverpflichtungen entbunden, wenn es in einem Prozessorennetzwerk zu einer Sicherheitslücke kommt.
Also sind die Begrifflichkeiten notwendig?
Roland Renner: Ja, denn dies ist ein wichtiger Aspekt, wenn es um die Anwendung von Sicherheitsrichtlinien bei der Übertragung persönlicher Daten zwischen Controllern und Prozessoren geht. Nicht nur die Übertragungen müssen sicher sein, sondern auch die Daten müssen während der Verarbeitung geschützt werden. In gewissen Fällen kann die Datenschutzgrundverordnung auch so interpretiert werden, dass der Prozessor nach Abschluss der Verarbeitung alle persönlichen Daten, die nicht mehr gebraucht werden, löschen muss.
Wie geht man am besten vor?
Roland Renner: Bei der Beurteilung Ihrer Bereitschaft zur Einhaltung der GDPR sollte der erste Schritt sein, das Risiko des Datenverlusts durch kontrollierten und Ad-hoc-Datenaustausch mit externen Parteien zu bewerten. Folgende drei Bereiche müssen untersucht werden: Erstens die Sicherheit der zentralen geschäftlichen Dateiübertragungsprozesse, zweitens das Risiko von Ad-Hoc-Übertragungen persönlicher Daten durch Mitarbeiter über E-Mail-Anhänge und drittens die Häufigkeit/Sicherheit cloudbasierter Dateiübertragungen.
Also kommt den Dateiübertragungsprozessen eine besondere Bedeutung zu?
Roland Renner: Mit hoher Wahrscheinlichkeit sind die zentralen Dateiübertragungsprozesse, vor allem die Prozesse mit persönlichen Daten, bereits auf einigen wenigen besonders gesicherten FTP-Servern zentralisiert. Hoffentlich kommt dabei die SFTPoder FTPS-Verschlüsselung zum Einsatz, bei denen mittels SSH oder SSL eine verschlüsselte Übertragung und Authentifizierung sichergestellt wird. Sollte dies nicht der Fall sein, sind die Probleme in Ihrer Umgebung möglicherweise extrem groß. Wenn dies der Fall ist, sollten Sie wissen, dass selbst sichere Dateiübertragungsprozesse (SFTP/FTPS) Beschränkungen aufweisen, die Sie einem höheren Risiko im Hinblick auf Sicherheitslücken und die Missachtung von Vorschriften aussetzen. Zu den zentralen Komponenten, die häufig in den Best-Practice-Kriterien fehlen, gehören Automatisierung, Transparenz, sichere, vor Manipulation geschützte Protokollierung und Nicht-Zurückweisung.
Welche Bedeutung kommt den Sicherheitskontrollen bei der Dateiübertragung zu?
Roland Renner: Der Datenschutz wird zu einem Thema, das auf Steuerung, Richtliniendurchsetzung und die Implementierung spezifischer Sicherheitsanforderungen abzielt. Die ISO/IEC 27001-Norm wird weithin von Aufsichtsbehörden auf der ganzen Welt als Best-Practice-Referenz für Sicherheitsanforderungen anerkannt. Sie wird zweifellos maßgeblich bei der Bestimmung der Compliance-Zertifizierungen der Datenschutzgrundverordnung sein. Es gibt sieben Best-Practice-Kontrollen in ISO/IEC 27001, die für externe Dateiübertragungen am wichtigsten sind. Man kann sie als Sicherheitsanforderungen bezeichnen. externen Parteien zu bewerten.
Um welche handelt es sich?
Roland Renner: Das sind Compliance, Kommunikationssicherheit, Informationssicherheitsrichtlinien, Zugriffskontrolle, Kyptografie, physische und ökologische Sicherheit und die Business-Continuity-Sicherheit.
Und welche Entsprechung finden Sie auf der Seite der Dateiübertragungskontrolle?
Roland Renner: Dort sind das die sieben Kriterien der Automatisierung, Kontrolle und Transparenz, Informationssicherheit, Authentifizierung, Kryptografie, der sicheren Architektur und des Failover.
Alles schön und gut, manuell ist das alles nicht zu bewerkstelligen!
Roland Renner: Richtig, ohne Tool geht das nicht. Dazu haben wir bei Ipswitch MOVEit entwickelt. Es handelt sich um ein System für die verwaltete Dateiübertragung, mit dem Sie den Austausch vertraulicher Daten mit externen Parteien verwalten, anzeigen, sichern und kontrollieren können, um Compliance mit Datenschutzverordnungen sicherzustellen. MOVEit steht den Unternehmen als Enterprise oder Cloud Lösung zur Verfügung.
Diskussionen gibt es ja immer wieder beim Thema Cloud. Zum einen wegen der Sicherheit, zum anderen wegen eines möglichen Zugriffs amerikanischer Behörden auf Daten europäischer Unternehmen.
Roland Renner: Genau aus diesem Grund haben wir eine strategische Partnerschaft mit Microsoft und Azure aufgebaut, um über Azure MOVEit in der Cloud über ein deutsches Datencenter zu hosten. Damit unterliegen alle Beteiligten in diesem Prozess der neuen EUVerordnung und nicht amerikanischem Recht.
Wie geschieht die technische Realisierung?
Roland Renner: Unsere MOVEitLösung, gehosted von Azure in einem Datencenter in Deutschland, wird als Software as a Service (SaaS) in drei verschiedenen Paketen für unterschiedliche Anforderungen angeboten. Das Einsteiger Paket bietet ein „Adhoc“ Datentransfer, welches es den Endanwendern ermöglicht, über ein Web-Interface oder einem Outlook-Plugin, Dateien in jeglicher Grösse bequem und sicher zu versenden. Man kann sich die Funktionalität so vorstellen, als ob man in einer Mail ein Attachment hinzufügt. Unternehmen haben dadurch die Möglichkeit, konsistente Richtlinien und Prozesse für den Datenaustausch zwischen einzelnen Personen umzusetzen.
Die zwei weiteren Pakete beinhalten zusätzliche File Transfer Funktionalitäten, darunter fallen unter anderem die Auslagerung von Anhängen, sicheres Messaging,und eDiscovery. Hierbei geht es vor allem darum, das Unternehmen überprüfen und vor allem auch protokolieren können, welche Daten von wem, wann versendet werden und wer sie empfangen hat. Wir bieten somit eine Audit-sichere DatentransferLösung
gesetzeskonform zur neuen EU-Verordnung und das alles jetzt auch in der Cloud und in einem deutschen Datencenter gehosted.
Kann man sich testweise davon überzeugen lassen?
Roland Renner: Gerne bieten wir an, in einer kurzen Demonstration die Lösung zu zeigen und direkt Fragen zu beantworten. Der Interessent kann mir gern eine E-Mail an: [email protected] schicken, um einen Termin zu vereinbaren. Außerdem können Sie sich zum Thema Datenschutzgrundverordnung zahlreiche Whitepaper zur Unterstützung und Umsetzung unter GDPR herunterladen und im Ressourcenbereich finden Sie viele Kundenbeispiele namhafter Unternehmen.
Herr Renner, wir danken für das Gespräch!
