Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

BIG DATA Marketing Day
22.02.18 - 22.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

EuroCIS 2018
27.02.18 - 01.03.18
In Düsseldorf, Messe Halle 9 und 10

Data ProtectionSie naht mit großen Schritten: In weniger als einem Jahr tritt die neue EU-Datenschutzgrundverordnung, in Kraft. Stichtag ist der 25. Mai 2018. Das bedeutet, dass Unternehmen nicht mehr viel Zeit bleibt, Richtlinien, Prozesse und Systeme adäquat an die neuen Vorschriften anzupassen. Christoph Stoica, Regional General Manager bei Micro Focus, gibt vier konkrete Tipps:

1. Überblick verschaffen

Die DSGVO ist komplex – es wird nicht mehr nur eine Richtlinie wie beim deutschen Bundesdatenschutzgesetz vorgegeben, sondern es werden feste Gesetze mit weitreichenden Konsequenzen eingeführt. So ist ein Vergehen gegen die DSGVO ab Mai 2018 strafrechtlich per Bußgeld ahndbar. Dies gilt auch für Unternehmen, die keinen Standort in der EU haben, aber dort tätig sind: Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe anfallen. Es besteht also dringender Handlungsbedarf in den Unternehmen.Ein erster Schritt in die richtige Richtung wäre, sich als Unternehmen durch die internationale Norm ISO/IEC 27001 zertifizieren zu lassen. Dafür lohnt sich die Einführung eines Informationssicherheits-Management-Systems (ISMS). Für kleine und mittlere Unternehmen ist das meist jedoch unnötig kostspielig. Und Vorsicht: Selbst eine Zertifizierung nach ISO bedeutet nicht automatisch eine Compliance mit der DSGVO! Es sollte also für jedes Unternehmen an erster Stelle stehen, im Hinblick auf die Datensicherheit zu prüfen, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.

2. Daten strukturieren

Die DSGVO gibt jeder Person das Recht auf Löschung ihrer Daten, welchem ein Unternehmen auf Wunsch natürlich auch nachkommen muss. Dabei ist die Definition von personenbezogenen Daten sehr weitreichend: auch IP-Adressen, User IDs oder Cookies sind davon betroffen. Dazu muss aber erstmal ein Überblick her, an welcher Stelle im Unternehmen personenbezogene Daten verarbeitet und gespeichert werden. Dass diese Aufgabe nicht trivial ist, wird einem schnell klar, wenn man bedenkt, in welchem Umfang Daten in Unternehmen über E-Mail verteilt und auf lokalen Datenträgern abgespeichert werden. Wer Analyse, Klassifizierung und Management seiner Daten beherrscht, verfügt über ein solides Fundament für DSGVO.

3. Benutzer- und Zugriffsrechte kontrollieren

Im Kontext der DSGVO sind insbesondere Berechtigungen die Zugang zu personenbezogenen Daten ermöglichen einer regelmäßigen Überprüfung zu unterziehen. Gerade durch die Beschäftigung temporärer Mitarbeiter wie etwa Praktikanten, Azubis oder Trainees, aber auch durch Abteilungswechsel kann es zu im Sinne der DSGVO unzulässigen Berechtigungen kommen. Grundsätzlich und unabhängig von der DSGVO sollten Unternehmen sämtliche Berechtigungen einer regelmäßigen Überprüfung unterziehen. Um dabei den Aufwand für das Unternehmen in Grenzen zu halten, sollte sich die Häufigkeit der Überprüfung nach der Kritikalität der Berechtigung richten – kritische Berechtigungen sollten dabei spätestens im Abstand von drei Monaten regelmäßig überprüft werden, bei weniger kritischen Berechtigungen reicht unter Umständen auch eine jährliche Überprüfung. Ergänzend sollten im Einzelfalls Ereignis-basiert Überprüfungen der Berechtigungen erfolgen – zum Beispiel im Fall eines Abteilungswechsels oder beim Ausscheiden eines Mitarbeiters.

4. Einblick bekommen

Gerade das stete Monitoring von Zugriffen auf bestimmte Daten hilft dabei, frühzeitig etwaige Datenschutzverletzungen zu erkennen. Laut DSGVO muss ein Angriff innerhalb von nur 72 Stunden an die Aufsichtsbehörde gemeldet werden. Um das zu schaffen, braucht es allerdings einen umfangreichen Überblick der Prozess- und Systemlandschaft. Sind Prozesse allerdings an Fremdfirmen oder in eine Cloud ausgelagert, kann es dauern, bis ein Angriff publik wird. Technische Unterstützung, etwa in Form von SIEM-Lösungen, analysieren das System fast in Echtzeit. Ein SIEM-Programm zentralisiert die Auswertung und Speicherung von Ereignisprotokollen, um sie sehr zeitnah durchleuchten zu können. Eine Alternative ist eine etwas einfacher gestrickte Change-Monitoring-Lösung. Sie ermöglicht zwar keine Analysen komplexer Vorgänge, verkürzt aber bereits deutlich die Reaktionszeiten bei Sicherheitsvorfällen.

Fazit: Transparenz schaffen

Neben dem Datenschutz steht bei der DSGVO eines über allem: Transparenz. Unternehmen müssen klar und transparent formulieren, wie sie personenbezogene Daten nutzen. Dies muss nachvollziehbar gestaltet sein – wer hat die Informationen gesehen und wer hat sie wofür genutzt? Wie wird mit grenzübergreifenden Datentransfers umgegangen? Gibt es bereits einen Datenschutzbeauftragten im Unternehmen, der sich gebündelt um die neuen Anforderungen kümmert? Auch wenn personenbezogene Daten im Auftrag anderer Organisationen gespeichert werden, müssen die neuen Regelungen eingehalten werden – es gibt Vieles zu berücksichtigen.

www.microfocus.de

 

GRID LIST
Tb W190 H80 Crop Int 1431db6de97d039e8bbf4414f9561437

EU-DSGVO: E-Mail-Verschlüsselung ist Pflicht

Am 25. Mai ist es soweit: Dann endet die zweijährige Übergangsfrist für die Umsetzung der…
Tb W190 H80 Crop Int D496d4e654a82d3a5db63f080e72dbc4

Wie ECM-Lösungen bei der Umsetzung der DSGVO unterstützen

Am kommenden Sonntag ist europäischer Datenschutztag. Vor allem die Entscheider in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security