Vorbereitung auf die Datenschutz-Grundverordnung

Durch die fortschreitende Digitalisierung und Globalisierung unserer Wirtschaft werden die Kontrolle und Verarbeitung personenbezogener Daten immer wichtiger. Den enormen Chancen für Unternehmen steht dabei die wachsende öffentliche Sensibilisierung gegenüber sowie die wichtige Frage, wie gut personenbezogene Daten geschützt sind. 

Auslöser der Debatte ist die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Mit dieser Verordnung erkennt die EU den Wert personenbezogener Daten an und nimmt Unternehmen bei deren Sammlung, Speicherung und Nutzung stärker in die Pflicht. Zugleich werden Firmen gezwungen, dem Einzelnen wieder die Kontrolle und das Eigentum an personenbezogenen Daten zu übertragen. Angesichts strenger Kriterien, Pflichten und erheblicher Bußgelder bei Nichterfüllung dürfte die DSGVO zweifellos den Aufwand erhöhen, den Unternehmen für die Compliance und zur Vermeidung von Regelverstößen betreiben müssen. Damit gehen auch Änderungen einher, die die Abläufe bei der Datenverarbeitung, die Unternehmensstruktur, Geschäftsprozesse sowie Informations- und Sicherheitstechnologien betreffen.

Anzeige

Die Rechte des Einzelnen

Im Kern definiert die DSGVO die Datenschutzrechte natürlicher Personen. Die erste Herausforderung für die DSGVO-Compliance besteht daher in der Überprüfung und ggf. Änderung der Art und Weise, wie ein Unternehmen im Einklang mit diesen Rechten personenbezogene Daten sammelt, speichert und verarbeitet. Dafür ist es wichtig, dass Unternehmen genau wissen, wo sich alle Instanzen der personenbezogenen Daten eines Einzelnen innerhalb der gesamten Infrastruktur befinden. Einige Unternehmen werden das zum Anlass für operative Rationalisierungen nehmen, indem auf eine unnötige Datensammlung verzichtet und die Datenverarbeitung nur auf die Zwecke beschränkt wird, die für die wichtigsten Geschäftsziele notwendig sind. In beiden Fällen dürfte die Erfüllung der neuen Compliance-Anforderungen jedoch ein größeres Vorhaben darstellen.

Rechenschaftspflicht und Governance

Das Unternehmen muss dann in der Lage sein, die Compliance durch angemessene Governance-Maßnahmen – einschließlich einer detaillierten Dokumentation, Protokollierung und kontinuierlichen Risikobewertung – nachzuweisen. Hinzu kommt die Erwartung, dass der „Datenschutz von Grund auf standardmäßig“ implementiert wird. Dies bedeutet, dass die Sicherheit möglichst von Anfang ein fester Bestandteil aller Systeme ist und nicht erst im Nachhinein hinzugefügt wird. Die Betonung liegt hier auf der wichtigen Rolle, die der Netzwerk-Security als erster Verteidigungsebene zukommt. Kann jedoch die gewaltige Anzahl an Altsystemen nicht so umgerüstet werden, dass der Datenschutz ihnen per se innewohnt, dürfte dies auch der einzige Schutzwall gegen Datenschutzverletzungen bleiben. Werden neue Schwachstellen entdeckt, müssen Sicherheitstechnologien oder Datenschutzpraktiken, die heute noch regelkonform sein mögen, aktualisiert oder geändert werden, um die Compliance auch in Zukunft zu gewährleisten. Unternehmen brauchen daher Mechanismen, die sicherstellen, dass Sicherheitsmaßnahmen sowohl den neuesten technologischen Änderungen als auch der Bedrohungslage gewachsen sind.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Meldepflicht bei Sicherheitsverletzungen

Die DSGVO verpflichtet Unternehmen zudem zur Meldung von Datenschutzverletzungen auf personenbezogener Ebene, wenn dadurch die „Rechte und Freiheiten von Einzelpersonen“ gefährdet sein könnten – und zwar möglichst innerhalb von 72 Stunden, nachdem der Verstoß bemerkt wurde. Auch wenn keine konkreten Datenschutz- und Netzwerk-Security-Technologien genannt werden, muss die Compliance-Vorbereitung dennoch mit der Sicherstellung beginnen, dass das zugrunde liegende Netzwerk ausreichend gegen alle möglichen Angriffsvektoren geschützt ist.

Herausforderungen bei der Netzwerk-Security

Schon ohne die DSGVO-Forderung nach sich „auf dem neuesten Stand der Technik“ befindenden Verteidigungsmechanismen ist es eine Herausforderung, mit einer sich ständig verändernden Bedrohungslandschaft Schritt zu halten. Cyber-Kriminalität ist heutzutage ein lukratives Geschäft – ganz zu schweigen vom Potenzial für staatlich geförderten Terrorismus. Ihre Bekämpfung verlangt nach Ressourcen und Innovationen in einem Umfang, den ein einzelnes Unternehmen – oder selbst eine nationale Regierung – nur schwerlich erfüllen kann. Das Problem geht dabei teilweise auf die Natur der heutigen Cyber-Sicherheit zurück, die auf jeden neuen Angriffsvektor mit einer neuen Sicherheitslösung reagiert. Auch wenn solche Ergänzungen den Zweck erfüllen mögen, sind es doch oft isolierte Ansätze, die nur wenig oder gar nicht mit der restlichen Security-Infrastruktur interagieren. So etwas ist nicht nur schwer zu verwalten, sondern kann schnell zu Sicherheitslücken und Unstimmigkeiten bei der Reaktion auf neue Bedrohungen führen – insbesondere in einer Multivendor-Umgebung.

Verschärft wird die Herausforderung durch neue Trends wie Mobility, Cloud Computing und dem Internet of Things (IoT), die allesamt die effektive Angriffsoberfläche erweitern, neue Schwachstellen zu Tage fördern und das herkömmliche Konzept einer Netzwerk-Grenze aushöhlen.

Eine Reaktion auf neue Bedrohungen besteht in einer umfassenderen Verarbeitung und mehr Kontrollen. Aber wie wir alle von Sicherheits-Checks am Flughafen oder an Grenzstellen wissen, führen zu viele Kontrollen schnell zu einem inakzeptablen Chaos und Verzögerungen. Zusätzliche Verarbeitungsanforderungen erhöhen auch die Komplexität. Denn damit steigt die Anzahl der Datenpunkte, die aggregiert und interpretiert werden müssen, um die optimale Reaktion auf eine erkannte Bedrohung abzuschätzen. Jede Lösung, die die Bezeichnung „neuester Stand der Technik“ verdient, muss nicht nur die oben beschriebenen Herausforderungen meistern, sondern sich auch ständig an wechselnde Technologienutzungen und Bedrohungslagen anpassen können.

Meldung von Sicherheitsverletzungen innerhalb von 72 Stunden

Die erste Herausforderung bei der DSGVO-Meldepflicht besteht darin festzustellen, ob eine anzuzeigende Sicherheitsverletzung stattgefunden hat und welche Datenbestände gefährdet sein könnten. 2016 dauerte es im Durchschnitt fast fünf Monate, bis ein Unternehmen sich einer typischen Sicherheitsverletzung bewusst wurde. Obwohl die 72 Stunden bei der DSGVO-Meldepflicht ab dem Zeitpunkt der Entdeckung zählen – und nicht ab dem Eindringen – ist eine schnellere Erkennung dennoch ein Muss, da die finanziellen Folgen einer Sicherheitsverletzung stark mit der Dauer korrelieren, die ein Hacker unbemerkt aufs Netzwerk zugreifen kann.

Da offensichtlich nichts erkannt werden kann, was nicht nachweisbar ist, sollten Security-Administratoren unvermeidbare, gelegentliche „Einbrüche“ akzeptieren und sich auf diese vorbereiten.. Gleichzeitig gilt es, solche Ereignisse auf ein Minimum zu reduzieren und deren Erkennung auf jede erdenkliche Weise zu beschleunigen. Selbst wenn ein bestimmtes Angriffsprofil noch nie vorgekommen ist, heißt das noch lange nicht, dass man es nicht erkennen kann. Mit der richtigen Kombination aus einer Distributionsanalyse des Datenverkehrs und Threat Intelligence, gemeinsam mit Technologien wie Sandboxing, lassen sich auch völlig neuartige Angriffe erfolgreich blockieren. Die Herausforderung bei solchen erweiterten Erkennungstechniken besteht darin, die relevanten Signale vom „Hintergrundrauschen“ abzugrenzen.

Eine bislang typische Netzwerk-Security mit mehreren isolierten Lösungen, bei denen ein einziger Administrator über die Relevanz entscheidet, dürfte schon bald untragbar sein. Angesichts zunehmender Netzwerk-Komplexität und Sicherheitsvorfälle ist ein gewisser Grad an Zusammenarbeit und intelligenter Automatisierung übergreifend über die gesamte Sicherheitsinfrastruktur unverzichtbar.

Fazit

Auch wenn sich die DSGVO-Compliance nicht allein durch Technologie erreichen lässt, ist die Bereitstellung einer zeitgemäßen Netzwerk-Security dennoch ein wichtiger erster Schritt. Um die Anfälligkeit für Störungen durch schwerwiegende Datenschutzverletzungen zu verringern, muss sowohl die Häufigkeit von Netzwerk-„Einbrüchen“ (Network Intrusion) als auch die Erkennungszeit auf ein Minimum reduziert werden.

Für die DSGVO-Compliance ist daher ein neues Sicherheitskonzept erforderlich, bei dem alle Hauptkomponenten der Security-Infrastruktur über eine nahtlose Fabric ineinandergreifen.

Christian Vogt

 

 

Autor: Christian Vogt, Senior Regional Director Germany, Fortinet

 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.