VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Data ProtectionSie naht mit großen Schritten: In weniger als einem Jahr tritt die neue EU-Datenschutzgrundverordnung, in Kraft. Stichtag ist der 25. Mai 2018. Das bedeutet, dass Unternehmen nicht mehr viel Zeit bleibt, Richtlinien, Prozesse und Systeme adäquat an die neuen Vorschriften anzupassen. Christoph Stoica, Regional General Manager bei Micro Focus, gibt vier konkrete Tipps:

1. Überblick verschaffen

Die DSGVO ist komplex – es wird nicht mehr nur eine Richtlinie wie beim deutschen Bundesdatenschutzgesetz vorgegeben, sondern es werden feste Gesetze mit weitreichenden Konsequenzen eingeführt. So ist ein Vergehen gegen die DSGVO ab Mai 2018 strafrechtlich per Bußgeld ahndbar. Dies gilt auch für Unternehmen, die keinen Standort in der EU haben, aber dort tätig sind: Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe anfallen. Es besteht also dringender Handlungsbedarf in den Unternehmen.Ein erster Schritt in die richtige Richtung wäre, sich als Unternehmen durch die internationale Norm ISO/IEC 27001 zertifizieren zu lassen. Dafür lohnt sich die Einführung eines Informationssicherheits-Management-Systems (ISMS). Für kleine und mittlere Unternehmen ist das meist jedoch unnötig kostspielig. Und Vorsicht: Selbst eine Zertifizierung nach ISO bedeutet nicht automatisch eine Compliance mit der DSGVO! Es sollte also für jedes Unternehmen an erster Stelle stehen, im Hinblick auf die Datensicherheit zu prüfen, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.

2. Daten strukturieren

Die DSGVO gibt jeder Person das Recht auf Löschung ihrer Daten, welchem ein Unternehmen auf Wunsch natürlich auch nachkommen muss. Dabei ist die Definition von personenbezogenen Daten sehr weitreichend: auch IP-Adressen, User IDs oder Cookies sind davon betroffen. Dazu muss aber erstmal ein Überblick her, an welcher Stelle im Unternehmen personenbezogene Daten verarbeitet und gespeichert werden. Dass diese Aufgabe nicht trivial ist, wird einem schnell klar, wenn man bedenkt, in welchem Umfang Daten in Unternehmen über E-Mail verteilt und auf lokalen Datenträgern abgespeichert werden. Wer Analyse, Klassifizierung und Management seiner Daten beherrscht, verfügt über ein solides Fundament für DSGVO.

3. Benutzer- und Zugriffsrechte kontrollieren

Im Kontext der DSGVO sind insbesondere Berechtigungen die Zugang zu personenbezogenen Daten ermöglichen einer regelmäßigen Überprüfung zu unterziehen. Gerade durch die Beschäftigung temporärer Mitarbeiter wie etwa Praktikanten, Azubis oder Trainees, aber auch durch Abteilungswechsel kann es zu im Sinne der DSGVO unzulässigen Berechtigungen kommen. Grundsätzlich und unabhängig von der DSGVO sollten Unternehmen sämtliche Berechtigungen einer regelmäßigen Überprüfung unterziehen. Um dabei den Aufwand für das Unternehmen in Grenzen zu halten, sollte sich die Häufigkeit der Überprüfung nach der Kritikalität der Berechtigung richten – kritische Berechtigungen sollten dabei spätestens im Abstand von drei Monaten regelmäßig überprüft werden, bei weniger kritischen Berechtigungen reicht unter Umständen auch eine jährliche Überprüfung. Ergänzend sollten im Einzelfalls Ereignis-basiert Überprüfungen der Berechtigungen erfolgen – zum Beispiel im Fall eines Abteilungswechsels oder beim Ausscheiden eines Mitarbeiters.

4. Einblick bekommen

Gerade das stete Monitoring von Zugriffen auf bestimmte Daten hilft dabei, frühzeitig etwaige Datenschutzverletzungen zu erkennen. Laut DSGVO muss ein Angriff innerhalb von nur 72 Stunden an die Aufsichtsbehörde gemeldet werden. Um das zu schaffen, braucht es allerdings einen umfangreichen Überblick der Prozess- und Systemlandschaft. Sind Prozesse allerdings an Fremdfirmen oder in eine Cloud ausgelagert, kann es dauern, bis ein Angriff publik wird. Technische Unterstützung, etwa in Form von SIEM-Lösungen, analysieren das System fast in Echtzeit. Ein SIEM-Programm zentralisiert die Auswertung und Speicherung von Ereignisprotokollen, um sie sehr zeitnah durchleuchten zu können. Eine Alternative ist eine etwas einfacher gestrickte Change-Monitoring-Lösung. Sie ermöglicht zwar keine Analysen komplexer Vorgänge, verkürzt aber bereits deutlich die Reaktionszeiten bei Sicherheitsvorfällen.

Fazit: Transparenz schaffen

Neben dem Datenschutz steht bei der DSGVO eines über allem: Transparenz. Unternehmen müssen klar und transparent formulieren, wie sie personenbezogene Daten nutzen. Dies muss nachvollziehbar gestaltet sein – wer hat die Informationen gesehen und wer hat sie wofür genutzt? Wie wird mit grenzübergreifenden Datentransfers umgegangen? Gibt es bereits einen Datenschutzbeauftragten im Unternehmen, der sich gebündelt um die neuen Anforderungen kümmert? Auch wenn personenbezogene Daten im Auftrag anderer Organisationen gespeichert werden, müssen die neuen Regelungen eingehalten werden – es gibt Vieles zu berücksichtigen.

www.microfocus.de

 

GRID LIST
Tb W190 H80 Crop Int Ac00bc491e29650606797a7a168b27ab

Datenaustausch und -archivierung in Zeiten der DSGVO

Nun ist es doch tatsächlich so weit: Die allseits gefürchtete…
Gérard Bauer

Bietet die DSGVO Cyberkriminellen eine Möglichkeit, sich besser zu verstecken?

Mit dem Ziel den Schutz und die Sicherheit von Daten deutlich zu verbessern, ist die…
Karl-Heinz Land

Die DSGVO bedeutet eine kalte Enteignung des Mittelstands

Was als Schutzschild gegen „Datenkraken“ wie Facebook, Twitter oder Google gedacht war,…
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security