Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Data ProtectionSie naht mit großen Schritten: In weniger als einem Jahr tritt die neue EU-Datenschutzgrundverordnung, in Kraft. Stichtag ist der 25. Mai 2018. Das bedeutet, dass Unternehmen nicht mehr viel Zeit bleibt, Richtlinien, Prozesse und Systeme adäquat an die neuen Vorschriften anzupassen. Christoph Stoica, Regional General Manager bei Micro Focus, gibt vier konkrete Tipps:

1. Überblick verschaffen

Die DSGVO ist komplex – es wird nicht mehr nur eine Richtlinie wie beim deutschen Bundesdatenschutzgesetz vorgegeben, sondern es werden feste Gesetze mit weitreichenden Konsequenzen eingeführt. So ist ein Vergehen gegen die DSGVO ab Mai 2018 strafrechtlich per Bußgeld ahndbar. Dies gilt auch für Unternehmen, die keinen Standort in der EU haben, aber dort tätig sind: Bis zu vier Prozent des weltweiten Jahresumsatzes können als Strafe anfallen. Es besteht also dringender Handlungsbedarf in den Unternehmen.Ein erster Schritt in die richtige Richtung wäre, sich als Unternehmen durch die internationale Norm ISO/IEC 27001 zertifizieren zu lassen. Dafür lohnt sich die Einführung eines Informationssicherheits-Management-Systems (ISMS). Für kleine und mittlere Unternehmen ist das meist jedoch unnötig kostspielig. Und Vorsicht: Selbst eine Zertifizierung nach ISO bedeutet nicht automatisch eine Compliance mit der DSGVO! Es sollte also für jedes Unternehmen an erster Stelle stehen, im Hinblick auf die Datensicherheit zu prüfen, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.

2. Daten strukturieren

Die DSGVO gibt jeder Person das Recht auf Löschung ihrer Daten, welchem ein Unternehmen auf Wunsch natürlich auch nachkommen muss. Dabei ist die Definition von personenbezogenen Daten sehr weitreichend: auch IP-Adressen, User IDs oder Cookies sind davon betroffen. Dazu muss aber erstmal ein Überblick her, an welcher Stelle im Unternehmen personenbezogene Daten verarbeitet und gespeichert werden. Dass diese Aufgabe nicht trivial ist, wird einem schnell klar, wenn man bedenkt, in welchem Umfang Daten in Unternehmen über E-Mail verteilt und auf lokalen Datenträgern abgespeichert werden. Wer Analyse, Klassifizierung und Management seiner Daten beherrscht, verfügt über ein solides Fundament für DSGVO.

3. Benutzer- und Zugriffsrechte kontrollieren

Im Kontext der DSGVO sind insbesondere Berechtigungen die Zugang zu personenbezogenen Daten ermöglichen einer regelmäßigen Überprüfung zu unterziehen. Gerade durch die Beschäftigung temporärer Mitarbeiter wie etwa Praktikanten, Azubis oder Trainees, aber auch durch Abteilungswechsel kann es zu im Sinne der DSGVO unzulässigen Berechtigungen kommen. Grundsätzlich und unabhängig von der DSGVO sollten Unternehmen sämtliche Berechtigungen einer regelmäßigen Überprüfung unterziehen. Um dabei den Aufwand für das Unternehmen in Grenzen zu halten, sollte sich die Häufigkeit der Überprüfung nach der Kritikalität der Berechtigung richten – kritische Berechtigungen sollten dabei spätestens im Abstand von drei Monaten regelmäßig überprüft werden, bei weniger kritischen Berechtigungen reicht unter Umständen auch eine jährliche Überprüfung. Ergänzend sollten im Einzelfalls Ereignis-basiert Überprüfungen der Berechtigungen erfolgen – zum Beispiel im Fall eines Abteilungswechsels oder beim Ausscheiden eines Mitarbeiters.

4. Einblick bekommen

Gerade das stete Monitoring von Zugriffen auf bestimmte Daten hilft dabei, frühzeitig etwaige Datenschutzverletzungen zu erkennen. Laut DSGVO muss ein Angriff innerhalb von nur 72 Stunden an die Aufsichtsbehörde gemeldet werden. Um das zu schaffen, braucht es allerdings einen umfangreichen Überblick der Prozess- und Systemlandschaft. Sind Prozesse allerdings an Fremdfirmen oder in eine Cloud ausgelagert, kann es dauern, bis ein Angriff publik wird. Technische Unterstützung, etwa in Form von SIEM-Lösungen, analysieren das System fast in Echtzeit. Ein SIEM-Programm zentralisiert die Auswertung und Speicherung von Ereignisprotokollen, um sie sehr zeitnah durchleuchten zu können. Eine Alternative ist eine etwas einfacher gestrickte Change-Monitoring-Lösung. Sie ermöglicht zwar keine Analysen komplexer Vorgänge, verkürzt aber bereits deutlich die Reaktionszeiten bei Sicherheitsvorfällen.

Fazit: Transparenz schaffen

Neben dem Datenschutz steht bei der DSGVO eines über allem: Transparenz. Unternehmen müssen klar und transparent formulieren, wie sie personenbezogene Daten nutzen. Dies muss nachvollziehbar gestaltet sein – wer hat die Informationen gesehen und wer hat sie wofür genutzt? Wie wird mit grenzübergreifenden Datentransfers umgegangen? Gibt es bereits einen Datenschutzbeauftragten im Unternehmen, der sich gebündelt um die neuen Anforderungen kümmert? Auch wenn personenbezogene Daten im Auftrag anderer Organisationen gespeichert werden, müssen die neuen Regelungen eingehalten werden – es gibt Vieles zu berücksichtigen.

www.microfocus.de

 

GRID LIST
Tb W190 H80 Crop Int Eb8f467b942bb835031ce935c78484cc

Was kommt nach der Datenschutzverletzung?

Systeme, Technologien und Bedrohungen verändern sich. Und genau das sollte Ihr…
Haus mit Wappen

Massivhausanbieter Kern-Haus AG meistert DSGVO-Kür

Die EU-DSGVO ist längst gültig. Anders als manch‘ anderes Unternehmen war die Kern-Haus…
Christian Heutger

Bei der E-Mail-Verschlüsselung bewegt sich etwas

Die IETF hat mit MTA-STS einen neuen Standard zur Absicherung von Verbindungen zwischen…
DSGVO

Gemischte Bilanz nach sechs Monaten DSGVO

Ein halbes Jahr nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in allen…
DSGVO

Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue…
SSL

6 Tipps zur Vermeidung von SSL-Blind-Spots

Die SSL-Nutzung nimmt mit jedem Jahr kontinuierlich zu, und auch Hacker nutzen diese…
Smarte News aus der IT-Welt