VERANSTALTUNGEN

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Internet World Congress
09.10.18 - 10.10.18
In München

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

4. Esslinger Forum: Das Internet der Dinge
17.10.18 - 17.10.18
In Esslingen

EU-FlaggeDie EU-Datenschutz-Grundverordnung (EU-DSGVO) rückt mit großen Schritten näher. Sie wird erhebliche Auswirkungen haben und auch sicherheitstechnische Herausforderungen mit sich bringen.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit längerem in aller Munde. Sie zielt darauf ab, den Datenschutz innerhalb der EU zu stärken und regelt auch den Transfer von Daten über die EU hinaus. Wenn sie am 18. Mai 2018 in Kraft tritt und von den Behörden durchgesetzt werden kann, hat sie Auswirkungen für jedes Unternehmen, das Daten in irgendeiner Weise in der EU verarbeitet. Tenable stellt im ersten Teil seiner Serie zur Datenschutz-Grundverordnung drei essentielle Schritte vor, um die sicherheitstechnischen Herausforderungen der EU-DSGVO zu bewältigen.

1. Informationssicherheits-Framework verwenden

Artikel 32 der Verordnung schreibt vor, dass Verantwortliche und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Informationssicherheits-Frameworks beinhalten eine Sammlung bewährter Verfahren, die im Laufe der Zeit von Fachleuten verschiedener Industrien zusammengetragen wurden. Sie stellen als solche die ideale Grundlage für die Entwicklung geeigneter Maßnahmen dar. Frameworks wie das NIST Cybersecurity Framework (2014)6 und ISO/IEC 270017/270028 bieten akzeptierte Industriestandards für den Datenschutz. Zwar schreibt die EU kein Framework vor, doch lässt sich mit den Standards einfacher nachweisen, dass die Anforderungen des Artikels 32 erfüllt wurden.

2. Personenbezogene Daten, einschließlich „besonderer“ Daten erkennen

Neben den personenbezogenen Daten müssen auch die sogenannten „besonderen“ Daten geschützt werden. Deren Definition umfasst in der Verordnung genetische, biometrische und klinische Daten. Biometrische Daten gelten beispielsweise als „besondere“ Daten, da sie auch für logische und physische Zugangskontrollen genutzt werden. Überraschender ist vielleicht die Tatsache, dass auch folgende Daten zu dieser Kategorie gehören:

  • Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

Um diese Anforderungen umzusetzen, empfehlen sich Discovery-Technologien. Am besten eignet sich zur Suche nach unverschlüsselten sensiblen Daten im Informationsökosystem eines Unternehmens eine Kombination aus aktiven System-Scans und passiver Netzwerküberwachung. Anschließend können die Mitarbeiter des Discovery-Teams bestimmen, ob diese Daten entfernt oder Kontrollen dafür eingerichtet werden sollen.

3. Unbekannte Bestände und Schatten-IT in die Suche einbeziehen

Zwei Phänomene – unbekannte Bestände und Schatten-IT – können die Aufsichtsbehörden unter Umständen zu einer besonders genauen Untersuchung veranlassen, falls personenbezogene Daten verletzt oder missbraucht werden. Mitarbeiter oder Auftragnehmer, die ohne Genehmigung personenbezogene Daten anderer Personen auf mobilen Geräten oder auf den Servern von Cloud-Diensten speichern, bieten eine enorme Angriffsfläche für Eindringlinge. Diese mobilen Geräte oder Dienste sind häufig nicht geschützt, können Sicherheitslücken aufweisen oder sind nicht geeignet, um solche Daten zu speichern. Darum ist ein kompletter Überblick zu allen Geräten im Netzwerk entscheidend. Nur dann können sie auf Sicherheitslücken überprüft und gesichert werden.

de.tenable.com
 

GRID LIST
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Smarte News aus der IT-Welt