Europäischer Datenschutztag 2021: Anforderungen deutlich erhöht

Vor 40 Jahren wurde die europäische Datenschutzkonvention unterzeichnet. Jährlich wird deshalb am 28. Januar der Europäische Datenschutztag begangen. Der Datenschutz stellt Unternehmen weiterhin vor große Herausforderungen. Nach der DSGVO hat Corona die Anforderungen an Unternehmen noch einmal deutlich erhöht. In diesem Beitrag sammeln wir Stimmen zum Europäischen Datenschutztag 2021 und heben die entscheidenden Datenschutz-Herausforderungen hervor.

Der Europäische Datenschutztag erinnert jährlich an die Unterzeichnung der europäische Datenschutzkonvention.Am 28. Januar 1981 wurde die Europäische Datenschutzkonvention unterzeichnet. Daran erinnert seither der Europäische Datenschutztag (Data Protection Day). Er soll Unternehmen sensibilisieren und das mitunter eher lästige Thema wieder ins Gedächtnis rufen. Die DSGVO legte 2018 die Messlatte generell höher, mit Corona kamen dann aber noch zahlreiche neue Herausforderungen hinzu. Die Umstellung auf Home-Office und Remote Work erforderte nicht nur Änderungen in der IT-Infrastruktur, sondern förderte auch neue Sicherheitsprobleme zutage.

»Viele werden das Arbeiten von zuhause aus dauerhaft beibehalten und die Büroarbeit auf ein geringes Maß herunterfahren«, erwartet Bitglass-CTO Anurag Kahol. »Parallel dazu wächst die Nutzung von Cloud-Technologien. Der Zugriff auf Verbraucherdaten kann damit über zahlreiche Anwendungen und auf verschiedenen Geräten erfolgen. Dadurch kann sich auch das Risiko für Sicherheits- und Datenschutzverstöße erhöhen.« Kahol empfiehlt unter anderem Aktivitätsprotokolle einzuführen, die sämtliche Datei-, Benutzer-, App- und Web-Aktivitäten mitverfolgen. So behalten Unternehmen in Echtzeit einen Überblick über alle von ihnen verarbeiteten Daten. Für sensible Datenkategorien, wie beispielsweise personenbezogene Daten, seien Verschlüsselungswerkzeuge nötig.

»Im Jahr 2020 gab es aus Sicht des Datenschutzes noch nie dagewesene Herausforderungen und die verhängten Strafen aufgrund von Verstößen gegen die DSGVO in der EU betrugen insgesamt 158,5 Millionen Euro«, ergänzt Thomas Heuer, Senior Account Director bei WhereScape. »Wenn es um die Datensicherheit und Einhaltung von Vorschriften wie der DSGVO geht, ist die einzig wirklich sichere Methode zum Schutz der Integrität von Datenbeständen und Kundeninformationen die Transparenz dieser Daten. Zu wissen, wo sich sensible Daten befinden, wie sie verwendet werden und wer Zugriff darauf hat, ist grundlegend, um echte Datentransparenz zu erlangen und deren Verteidigung zu stärken.«

Für viele Sicherheitsteams stellt dies eine Herausforderung dar, insbesondere in Unternehmen, in denen die manuelle Verarbeitung großer Datenmengen zeitaufwändig und fehleranfällig sein kann. Hier kann die Automatisierung bei der Einhaltung gesetzlicher Vorschriften einen erheblichen Mehrwert bieten, indem sie die Projektzeit um Monate oder sogar Jahre verkürzt und das Risiko von Verstößen reduziert. Automatisierungs-Software kann einer Organisation dabei helfen, die wichtigsten Anforderungen der DSGVO zu erfüllen und gleichzeitig die Mitarbeiter zu entlasten, damit diese ihre Arbeit besser erledigen und sich auf wertschöpfende Aufgaben konzentrieren können.«

Cloudera: Datensicherheit in der Enterprise-Data-Cloud

Wim Stoop, CDP Customer and Product Director bei Cloudera, zeigt in dem folgenden Beitrag, welche Rolle die Datensicherheit für Unternehmen einnimmt und wo sie ansetzen können, um diese zu gewährleisten:

»Unternehmen sehen sich nach wie vor mit der Aufgabe konfrontiert, sensible Daten zu identifizieren und zu klassifizieren, um sich im Rahmen des Datenschutzes abzusichern. Bei Verstößen gegen diese Regelungen drohen hohe Bußgelder. Im Jahr 2020 wurden laut DLA Piper 159 Millionen Euro an Bußgeld wegen Verstößen gegen die DSGVO verhängt – über 40 Prozent mehr als in den Monaten seit Inkrafttreten der Verordnung. Dazu kommt, dass im Corona-Jahr die Menge der Daten, die erzeugt werden, stark angestiegen ist. Dazu trägt der Zuwachs an Home-Office-Arbeitsplätzen ebenso bei wie die deutliche Zunahme an Video-Konferenzen. Auch durch den Click-and-Collect-Ansatz werden deutlich mehr Daten generiert als beispielsweise durch Kunden, die direkt im Geschäft vor Ort einkaufen. Hier werden kontinuierlich Daten generiert, die alle verwaltet werden müssen. Gleichzeitig steigen die Risiken in Bezug auf die Datensicherheit, denn die Informationen gelangen auf private Endgeräte in eine potenziell unsichere Umgebung, die außerhalb der Unternehmensnetzwerke liegt.

Was unterscheidet Datenschutz von der Datensicherheit?

Datenschutz geht weit über die Datensicherheit hinaus. Es geht darum, sensible Daten wirksam zu schützen. Dazu muss man wissen, welche Daten sensible Daten sind. Meist steht der Schutz personenbezogener Daten im Fokus, wie ihn auch die DSGVO fordert. Doch Angreifer können einzelne, grundlegende Angaben zu Identitätsprofilen zusammensetzen und etwa aus einer Hausnummer und einem Namen ein Personenprofil ermitteln. Hier müssen Unternehmen aktiv werden, denn erst wenn sie ihre Daten effizient klassifizieren und sensible Daten erkennen können, ist es möglich, funktionierende Regeln für die Datensicherheit aufzustellen.

Was können und müssen Unternehmen tun, um ihre Daten zu schützen?

Data-Governance ist in vielen Unternehmen bereits Teil der Datenstrategie. Die meisten handeln hier reaktiv und prüfen im Nachhinein, wie bestehende Vorschiften in Bezug auf die Datensicherheit eingehalten werden können. Wesentlich effizienter ist es, bereits von Anfang an auf eine gute Governance zu setzen. Wenn Unternehmen bereits von Beginn an ermitteln, ob Daten als sensible Daten zu behandeln und über ihren gesamten Lebensweg zu verwalten sind, wird die Einhaltung von Vorschriften ebenso wie der Datenschutz praktisch zu einem Nebeneffekt. Gleichzeitig sichern sie sich das Vertrauen der Kunden, die erwarten, dass ihre Daten korrekt behandelt werden. Proaktive Governance ist ein Schlüssel zu diesem Vertrauen.

Worin liegt die Herausforderung für Unternehmen, Daten zu identifizieren?

Unternehmen stoßen häufig bereits bei dem Vorhaben, vorhandene Daten zu identifizieren und zu klassifizieren, an ihre Grenzen. Mit weiteren, neuen Daten wird dieses Problem noch vergrößert. Die grundlegende Herausforderung liegt deshalb in der Menge der neu generierten Daten. Nutzen Unternehmen traditionelle Ansätze für ihre Datenverarbeitung, wächst mit zunehmendem Datenvolumen auch der Zeitaufwand für die Klassifizierung, die Anwendung von Datenzugriffsregeln und die Bereitstellung für den Endanwender. Der wichtigste Aspekt für Unternehmen besteht darin, ihre Daten schneller für mehr Anwender verfügbar zu machen, um sie dadurch in mehr Anwendungsfällen einzusetzen und schneller einen Mehrwert generieren zu können. Um diese Entwicklung erfolgreich umzusetzen, bietet sich die Nutzung einer Enterprise Data Cloud an, um konsistente Sicherheit über den gesamten Datenlebenszyklus auf allen eingesetzten Infrastrukturen (Hybrid und Multi-Cloud) anwenden zu können.

Ein ganzes Spektrum an Analyse-Tools für den gesamten Datenlebenszyklus ist notwendig, um strategische Ziele zu erreichen und etwa die Abwanderung von Kunden zu untersuchen und zu vermeiden. Hier gilt: Die Regeln für die Infrastruktur und die Analytik wie auch für den Datenzugriff sollten möglichst nur einmal festgelegt und konsistent angewandt werden.

Die meisten Unternehmen nutzen heute hybride Cloud-Strategien. Jede Cloud hat jedoch ein eigenes Framework, innerhalb dessen verschiedene Richtlinien gelten, wie Daten behandelt werden. Unternehmen müssen jedoch in der Lage sein, Daten zusammenzuführen. Sie müssen die Daten verstehen, um die richtigen Informationen bereitstellen zu können – etwa, wenn Kunden Auskunft über ihre Daten fordern. Letzten Endes geht es darum, ein automatisiertes System zu schaffen. Mit Plattformen wie Cloudera Data Platform sind Unternehmen in der Lage, eine eigene Enterprise-Data-Cloud aufzubauen, die die zentralen Herausforderungen einer Datenstrategie adressiert.

Cohesity: Firmen dürfen sich mangelhaften Umgang mit Daten nicht länger leisten

Wolfgang Huber, Cohesity Laut Wolfgang Huber, Regional Director Central Europe bei Cohesity, muss im nächsten Jahrzehnt bei Verbrauchern das Vertrauen neu gewonnen werden: »Dass die Daten, die sie austauschen – im Gegenzug für maßgeschneiderte Erlebnisse – auf konsistente und verlässliche Weise genutzt, verwaltet und aufbewahrt werden. Um dies zu erreichen, müssen Unternehmen sicherstellen, dass sie nicht nur die neuesten Compliance- und Richtlinienstandards erfüllen, sondern ihr Geschäft durch die proaktive Nutzung höherer Standards und Technologien zukunftssicher machen. Mit jeder Sicherheitsverletzung, jedem Ransomware-Angriff und jedem Fauxpas im Datenmanagement geraten beispielsweise Verbraucherdaten und in einigen Fällen auch personenbezogene Daten in die Hände von Kriminellen.

Organisationen jeder Größe müssen mehr Verantwortung übernehmen. Das fängt damit an, sich nicht mit veralteten IT-Systemen und Prozessen zufrieden zu geben, sondern auf moderne Lösungen umzusteigen, die Datenrisiken reduzieren, indem sie den Umgang mit personenbezogenen Daten genauer identifizieren, klassifizieren und korrigierend eingreifen. Die Beziehung zwischen Verbraucher und Anbieter funktioniert nur, wenn Vertrauen vorhanden ist, unabhängig von der Bedrohung oder dem Problem.

Aus einer Compliance-Perspektive war die DSGVO lediglich ein Anfang, am Ziel sind wir noch lange nicht. Bei Cohesity ermutigen wir alle Organisationen aktiv dazu, aktiv für maximale Transparenz in Bezug auf den Datenschutz zu sorgen. Anlässlich des Europäischen Datenschutztags wollen wir daher die Bedeutung des Themas hervorheben und fordern gleichzeitig entschlossene Maßnahmen von Unternehmensführern, um das Vertrauen in die digitale Wirtschaft zu fördern.«

Infoblox: Datenschutz in Zeiten von Cloud-first

Ed Hunter, CISO von Infoblox, zum diesjährigen Europäische Datenschutztag, der aus seiner Sicht im Zeichen des 40. Jahrestages der Datenschutzkonvention 108 des Europarats steht: »Wer hätte sich vor 40 Jahren auch nur annähernd vorstellen können, in welch digitalen Welt wir heute leben. Unternehmensnetzwerke finden mittlerweile größten Teils in der Cloud statt. Covid-19 hat den Weg in die Wolke noch zusätzlich beschleunigt. Wegweisende Datenschutzgesetze, wie die DSGVO und der California Consumer Privacy Act (CCPA), haben den Unternehmen in einer vernetzten Welt ihre Verantwortung aufgezeigt, einen angemessenen Schutz zu bieten.

Doch die Ausdehnung des Netzwerks in hybride Multi-Cloud-Umgebungen erfordert einen Wandel in Sachen Sicherheit: weg von physischen Grenzen durch On-Premises-Lösungen hin zu einem Daten-zentrierten Modell. So kann Security dezentral eingesetzt werden und geografisch verteilte Mitarbeiter schützen. Im Englischen sagen wir aktuell oft: `The Human is the new perimeter´. Damit rücken wir den Faktor Mensch noch stärker in den Fokus der Sicherheitsbemühungen. Unternehmen erreichen durch die Absicherung des erweiterten Netzwerks auch den Schutz der Privatsphäre, was wiederum Vertrauen bei Mitarbeitern und Kunden schafft. Doch haben wie kann das gelingen?

Checkliste für das kontrollierte Netzwerk

Datenschutz-Beauftragte sollten sich regelmäßig folgende Fragen stellen, um zu prüfen, ob sie ihr Netzwerk im Griff haben:

• Wo sind meine Schlüsseldaten? Sind sie angemessen geschützt und überwacht?
• Gibt es mehrere Verteidigungslinien, die meine Daten schützen (Defense in Depth)?
• Finden die Kontrollen nahe an den Daten statt?
• Wie gut schützen wir den Zugriff außerhalb der Zentrale?
• Verwende ich begrenzte Ressourcen für die richtigen Dinge (Risikomanagement)?

Die Schlüssel zur Beantwortung dieser Fragen sind skalierbare Transparenz sowie die Absicherung aller Endpunkte, Anwendungen und aller weiteren Eigenschaften eines modernen Unternehmens.

Die Sichtbarkeit des gesamten IT-Stacks gibt den Teams ein kontextbezogenes Bewusstsein dafür, was jedes mit dem System verbundenen Geräte tut. Mithilfe von DDI (DNS, DHCP und IPAM) können Unternehmen eine Technologie nutzen, die sie bereits sowieso schon implementiert haben. Diese Netzwerkbasisdienste sorgen nämlich dafür, dass Geräte überhaupt erst miteinander kommunizieren können. Gleichzeitig ermöglichen sie aber auch einen besseren Einblick in die Netzwerkaktivitäten, selbst wenn das Netzwerk die eigenen vier Wände überschreitet. Mehr als 90 Prozent der Malware kommt mit DNS in Berührung, um in Netzwerke ein- und auszubrechen. DDI hilft daher auch die blinden Flecken von Security-Tools wie Firewalls, Antivirus-Software und SIEMs zu beleuchten. Netzwerk-Teams erhalten so ein klares Bild, welche Situationen Aufmerksamkeit benötigen und werden wieder Herr der Lage.

Um hybride Cloud-Umgebungen zu verteidigen, ist neben der Visibilität auch eine grundlegende Security notwendig, die Zero-Trust auch über die Reichweite der On-Premises-Sicherheit hinaus ermöglicht. Zero-Trust ist der stärkste Ansatz, den ein Unternehmen wählen kann, um sowohl Daten in der Cloud als auch im traditionellen Netzwerk abzusichern, da stets von einem möglichen Eindringen durch Kriminelle ausgegangen wird. Systeme sollten entsprechend aufgesetzt werden: Zugriffe zu Daten, Apps und Geräten sollten an die Identität der Nutzer gekoppelt werden und ihnen wird nur das Minimum an erforderlichem Zugriff gewährt. Damit dieser Ansatz effektiv ist, ist eine genau Bestandsübersicht über die User und Geräte erforderlich. DDI-Lösungen können helfen, genaue und aktuelle Kontextdaten von diesen Geräten zu erhalten. Diese Einblicke können die Untersuchung und Behebung von Sicherheitsbedrohungen deutlich beschleunigen und die Leistung des gesamten Security-Ökosystems optimieren.

Der Europäische Datenschutztag lenkt die Aufmerksamkeit auf die Arbeit, die Datenschutzbeauftragte und Sicherheitsverantwortliche tagtäglich leisten, um ihr Unternehmen zu schützen. Die Alternative – die Tore offenlassen – kann Unternehmen Unsummen kosten: Die DSGVO sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Neben diesen heftigen Strafen mindert ein schlechter Schutz auch das Vertrauen der Kunden. Investitionen in Cyber-Sicherheit schützt Unternehmen vor potenziellen finanziellen und rufschädigenden Schäden. Sicherheitsteams arbeiten angesichts der sich vervielfachenden Bedrohungen, die mit dem wachsenden Netzwerk einhergehen, genau darauf hin.

TÜV Süd: Das Dilemma der KMU durch Schremms II

Mareike Vogt, TÜV SÜDFür Mareike Vogt, Fachexpertin für Datenschutz bei TÜV SÜD, gehört das Urteil des Europäischen Gerichtshof in Sachen Schrems II zu den größten Herausforderungen kleiner und mittlerer Unternehmen (KMUs):

»Die EU-DSGVO gibt vor, dass der Transfer personenbezogener Daten an einen Staat außerhalb der EU/EWR unter anderem nur erlaubt ist, wenn die Zielländer oder -organisationen einen gleichwertigen Datenschutz zur Europäischen Datenschutz-Grundverordnung (EU DSGVO) garantieren. Diese Anforderung erfüllen beispielsweise die Vereinigten Staaten von Amerika nicht, weswegen der EU Privacy Shield vom Europäischen Gerichtshof (EuGH) in der Klage Schrems II gekippt wurde. Laut vieler Experten war dies bereits abzusehen, seit das Abkommen eingeführt wurde. Die Nachlässigkeit der Politik stellt jetzt besonders kleine und mittlere Unternehmen (KMU) vor große Schwierigkeiten: Es gilt, die eigenen Prozesse und die dabei genutzte Soft- und Hardware (beispielsweise Rechenzentren) schleunigst anzupassen.

KMU greifen in ihrer täglichen Arbeit meist auf Software-Lösungen und as-a-Service-Dienste von größeren, etablierten Anbietern zurück oder sie richten sich nach den Prozessen und Anforderungen ihrer Kunden. Um sicher zu gehen, dass die verarbeiteten personenbezogenen Daten dem Urteil entsprechend geschützt werden, muss dies nun alles überprüft werden. Sollten KMU nämlich Standardvertragsklauseln als Garantiemit den Anbietern der Dienste abgeschlossen haben, so kann es sein, dass diese ebenfalls durch Schrems II beeinflusst werden. Oftmals genügen diese Klauseln nicht zum Schutz der personenbezogenen Daten innerhalb der USA und weitere technische Maßnahmen müssen ergriffen werden. Hinzu kommt, dass enorm viele Daten, auf den ersten Blick hinter Subdienstleistern versteckt, in die USA fließen oder dort auf Servern lagern, obwohl die Anbieter eigentlich ein europäisches Unternehmen sind oder hier Niederlassungen haben. Sind die Anbieter nicht in der Lage, sich dem Urteil anzupassen, so sind auch die KMU in der Pflicht, sich sofort nach neuen Lösungen umzusehen oder sogar die Dienste selbst zu stellen, beispielsweise On-Premises, also über eigene Server.

Viele KMU sind mit großen Herausforderungen durch Schrems II konfrontiert. Wer es versäumt, der EU-DSGVO nachzukommen, dem drohen empfindliche Bußgelder und die öffentliche Bloßstellung durch zivile Organisationen, wie zum Beispiel NOYB, die sich dem Datenschutz verschrieben haben. Diese schrecken nicht davor zurück, Unternehmen auch einmal an einen digitalen Pranger zu stellen. Vielen Firmen mangelt es außerdem an entsprechenden Fachkräften, um die Forderungen umzusetzen. Es gibt jedoch einen einfachen Ausweg für die KMU aus diesem Dilemma: Unabhängige Berater und extern benannte Datenschutzbeauftragte sind zugelassen und entlasten nicht nur das Unternehmen selbst, sondern garantieren zudem eine objektive Bewertung der Sachlage. Mit ihrer Hilfe können auch kleine und mittlere Betriebe ohne zu großen Aufwand ihre Systeme und Prozesse an die neue Situation anpassen.«

Utimaco: Auch in schwierigen Zeiten sicher Arbeiten

Malte Pollmann, UtimacoDie Umstellung ihrer IT-Infrastrukturen war für viele Unternehmen im letzten Jahr ein großer Einschnitt. Durch die neue Situation mit Home-Office und Remote-Work kommt es auch zu neuen Herausforderungen in Sachen Sicherheit. Malte Pollmann, Chief Strategy Officer bei Utimaco, fordert Unternehmen auf, diese neuen Bedrohungen ernst zu nehmen und den Schutz der eigenen Daten nicht zu vernachlässigen:

»Business-Continuity stand im letzten Jahr an erster Stelle. Verständlicherweise versuchten Unternehmen, auch in der Pandemie möglichst nahtlos weiterzuarbeiten und gleichzeitig ihre Mitarbeiter bestmöglich zu schützen. Oft mussten dabei aber Kompromisse eingegangen werden. Etwa, wenn es darum ging, eine Cloud-Lösung sehr schnell zu etablieren. Doch trotz der außergewöhnlichen Lage darf man Sicherheit und Datenschutz nicht vernachlässigen. Das zeigten besonders Angriffe in den letzten Monaten, die sich die neue Situation zunutze machten.

Cyber-Kriminelle gaben sich beispielsweise als Mitarbeiter des Gesundheitsamtes aus oder versuchten über gefälschte Mails zu den Corona-Hilfen an Mitarbeiter-Daten zu gelangen. Auch über das Phishing hinaus sind die verteilten Infrastrukturen anfälliger für Angriffe. Im privaten WLAN der Mitarbeiter könnten sich auch völlig ungeschützte Geräte befinden, die ein potentielles Einfallstor darstellen. Werden Daten von eigenen Servern unbedarft in die Cloud ausgelagert, besteht die Gefahr einer DSGVO-Verletzung – schreibt die Richtlinie doch vor, personenbezogene Daten innerhalb der EU zu speichern. Das Privacy-Shield-Abkommen, welches den transatlantischen Datenverkehr zwischen Europa und den USA rechtssicher regeln sollte, wurde vom EuGH gekippt. Die Richter sahen bei amerikanischen Cloud-Providern keinen ausreichenden Schutz der europäischen Daten gewährleistet.

Unternehmen sollten den aktuellen Aktionstag zum Anlass nehmen, die Maßnahmen des letzten Jahres und ihre aktuelle IT-Infrastruktur kritisch zu evaluieren und wo nötig nachzubessern. Es kristallisiert sich immer mehr heraus, dass Remote Work auch nach Corona immer noch ein elementarer Bestandteil einer neuen Arbeitskultur bleiben wird und daher sind Investitionen in eine resiliente, flexible Infrastruktur auch Investitionen in die Zukunft.

Zu einem umfassenden Sicherheitskonzept gehört heute auch der Einsatz von hochsicheren Verschlüsselungstechnologien. Diese bieten für Daten, Identitäten und Transaktionen aktiven Schutz vor der allgegenwärtigen Gefahr von Cyberangriffen. Um Sicherheit und Compliance jederzeit zu gewährleisten, ist nicht zwingend eine umfassende In-House-Expertise notwendig, denn es gibt bereits Krypto-Plattformen, die es beispielsweise Cloud-Service-Providern erlauben, für ihre Kunden auf Hardware-Sicherheitsmodulen (HSM) basierende hochsichere Verschlüsselung bereitzustellen. Unternehmen, die Kryptografie als Service von spezialisierten Experten beziehen, erhalten damit eine stets aktuelle Lösung, die sie flexibel an die aktuellen Bedürfnisse anpassen und skalieren können.

Unternehmen, die Kryptografie als Service von spezialisierten Experten beziehen, erhalten damit eine stets aktuelle Lösung, die sie flexibel an die aktuellen Bedürfnisse anpassen und skalieren können.«