Meldepflicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

Seite: 2/3

Firmen zum Thema

Drei Erfolgsfaktoren

Vor allem beim Reporting von Verstößen gegen die EU-DSGVO, die innerhalb von 72 Stunden gemeldet werden müssen, sind im öffentlichen Bereich noch große Anstrengungen notwendig. Denn die schnelle Erkennung von Verletzungen der EU-DSGVO und die Erfüllung der Meldepflicht bedingt drei notwendige Erfolgsfaktoren moderner IT-Sicherheitsarchitekturen:

  • 1. Erkennungsfähigkeit: Benötigt werden technische, aber auch organisatorische Möglichkeiten, Verstöße (gleich welcher Art) schnell und effektiv zu erkennen. Das setzt nicht nur eine genaue Kenntnis der Datenverarbeitungsprozesse voraus, sondern auch die Implementierung adäquater technischer Überwachungsmaßnahmen entlang der Prozesskette.
  • 2. Reaktionsfähigkeit: Technische und organisatorische Maßnahmen, um entsprechende Reaktionen auf einen Vorfall einzuleiten, müssen eingeführt werden. Da die Zeit zwischen Erkennung und Meldung nur 72 Stunden beträgt, müssen die zum Einsatz kommenden Technologien mit automatisierten Prozessen unterstützt werden. Die bloße Erkennung eines Vorfalls bedeutet noch nicht, dass eine Meldepflicht vorliegt. Allerdings kann überhaupt nur auf Vorfälle reagiert werden, die auch erkannt worden sind.
  • 3. Personal: Gut ausgebildetes Personal, das ganzjährig 24 Stunden die Woche zur Verfügung steht, um bei entsprechenden Alarmen und Vorfällen in die Triage der Vorfallsbehandlung eingreifen kann, ist notwendig. Da das benötigte Fachpersonal derzeit am Markt nur schwer zu finden ist, können Konzepte wie Managed Security Services oder Managed Incident Detection und Response für die Vorfallserkennung und -Behandlung außerhalb der Dienst-und Geschäftszeiten ergänzende Lösungsmöglichkeiten darstellen.

Notwendige Schritte

Artikel 5 der EU-DSGVO fordert dazu auf, dass Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, […] durch geeignete technische und organisatorische Maßnahmen“.

Dies bedeutet jedoch nicht, dass jede x-beliebige Sicherheitstechnologie nun blindlings zum Schutz der Daten angeschafft werden muss. Artikel 32 Abs. 1 führt dazu an, dass für die Sicherheit und zur Gewährleistung der Verarbeitung von personenbezogenen Daten ein angemessenes Schutzniveau durch geeignete technische und organisatorische Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ zu treffen ist.

IT-Sicherheitsverantwortlichen sind die dazu in Artikel 32 genannten Maßnahmen nicht neu, kommen sie doch bereits seit langem im Aufbau von Sicherheitsarchitekturen vor. So werden als Maßnahmen Möglichkeiten zur Pseudonymisierung und Verschlüsselung, aber auch die „Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ genannt. Vor allem die genannte Vertraulichkeit, Integrität und Verfügbarkeit sind die bekanntesten und wichtigsten Schutzziele von Informationssystemen.

Bitte lesen Sie auf der nächsten Seite weiter.

(ID:44946901)