Suchen

Datenschutz und IT-Sicherheit Cyber-Resilience und die DSGVO

| Autor / Redakteur: Michael Heuer / Peter Schmitz

Der Countdown zur Datenschutz-Grundverordnung (DSGVO) ist abgelaufen und seit dem 25. Mai 2018 gilt die neue EU-Verordnung. Dabei ist das neue Gesetz eine der stärksten Ausweitungen von rechtlichen Vorgaben beim Thema Datenschutz in der Geschichte der EU. Allerdings geht es gerade für größere Unternehmen um wesentlich mehr als nur den Ausbau ihrer Sicherheitsmechanismen.

Firmen zum Thema

Das Management von persönlichen Informationen nach DSGVO erfordert mehr als nur die Berücksichtigung des Datenschutzes.
Das Management von persönlichen Informationen nach DSGVO erfordert mehr als nur die Berücksichtigung des Datenschutzes.
(Bild: Pixabay / CC0 )

Beispielsweise müssen erhobene Daten richtig archiviert und löschbar sein, falls eine Person dies verlangt oder die Informationen nicht mehr gebraucht werden. Viele Datenbanken haben entsprechende Suchmechanismen und IT-Entscheider haben hier die Thematik auf dem Schirm, allerdings steht in anderen Bereichen die Verwaltung von persönlichen Informationen immer noch hinten an. Ein wichtiges und unterschätztes Thema in Bezug auf die DSGVO ist das Thema E-Mail-Kommunikation. Das Business Continuity Institute suchte nach den wichtigsten Mitteln zum Daten -und Informationsaustausch in Unternehmen. Nahezu alle Organisationen (97 Prozent) geben dabei E-Mail-Adressen der Mitarbeiter als Hauptkommunikationsmittel an. Befragt wurden 369 IT-Entscheider aus 63 Ländern nach ihren Prioritäten zu den Themen Datenaustausch und Kommunikation.

Hier sollte man sich vor Augen führen, dass persönliche Informationen in E-Mails meistens archiviert und gespeichert werden. Diese Archive fallen ebenfalls unter die DSGVO und müssen daher eine nachweisliche Löschung zulassen. Wenn man bedenkt, dass laut einer Studie des Analysten Vanson Bourne 88 Prozent aller Unternehmen mit ihrer E-Mail-Archivierungslösung schon jetzt unzufrieden sind, wird dies zu einer kritischen Herausforderung. Der Hauptgrund für die Unzufriedenheit ist Komplexität und der hohe Aufwand der eingesetzten Lösungen. Wenn Bürgerinnen und Bürger bald zum Beispiel von ihrem Recht Gebrauch machen und Auskunft über ihre gespeicherten Informationen bei einem Unternehmen anfragen, wäre das ein großer Aufwand, denn IT-Abteilungen und Mitarbeiter müssten dann dies manuell zusammentragen. Neue Vorgaben, eine veränderte Gefahrenlage und unzureichende Archivierungstools sind im Bezug auf die DSGVO eine brisante Mischung.

Commitment zu Security ist hoch

Grundsätzlich ist die Bereitschaft in den Chefetagen für mehr Datenschutz hoch. Das BCI stellt fest, dass 55 Prozent aller Unternehmen ein starkes Commitment in der Führungsebene verspüren – mehr als in vorangegangen Untersuchungen. Grund dafür ist die wachsende Sensibilisierung der Unternehmenswelt und der Öffentlichkeit für das Thema.

Grundsätzlich sollten IT-Entscheider verschiedene Prozesse bündeln. Bei der Auswahl hilft ein Blick in den Gesetzestext der DSGVO. Dabei sind folgende Paragrafen besonders relevant:

  • Ein erster wichtiger Punkt ist der Nachweis von organisatorischen und technologischen Maßnahmen bei der Erhebung, Verwaltung und Verarbeitung von persönlichen Informationen (Artikel 24 und 28)
  • Aufbau eines Prüfungsverfahrens bei der die „Rechtmäßigkeit der Verarbeitung“ nach den Kriterien des Artikels 6 überprüft wird. Wichtig dabei ist die Fähigkeit zur Unterbrechung oder dem Abbruch der Verarbeitung, falls die Einverständniserklärung zurückgezogen wurde oder ungültig ist
  • Aufbau von Reporting-Mechanismen, um alle Datenverarbeitungsprozesse zu dokumentieren. Laut Artikel 30 gehört dazu auch die Nennung des Grundes für die Weiterverarbeitung und eine Auskunft über die Zugriffsrechte zu den Informationen
  • Umsetzung der Meldepflicht im Falle eines Datenschutzvorfalls innerhalb von 72 Stunden an die jeweilige Aufsichtsbehörde – meistens die Datenschutzbeauftragten der Länder oder des Bundes. Im Artikel 33 werden zudem einige Aufnahmen zu dieser Vorgabe genannt. Außerdem gibt es Vorschriften, wann Individuen direkt informiert werden müssen in Artikel l 34. Dies trifft vor allem beim Verlust von (unverschlüsselten) Daten zu.
  • Ernennung eines Datenschutzbeauftragten. Dies ist besonders in Deutschland häufig bereits Alltag, allerdings bald Vorschrift. Die Details werden in den Artikeln 37 bis 39 beschrieben.

Cyber-Resillience als nächste Stufe der technologischen Evolution

Wenn man sich dieser Gefahren bewusst wird, sollten Führungskräfte überlegen, ob ihre Sicherheitsmechanismen dem geforderten „Stand der Technik“ entsprechen. Viele Unternehmen haben bereits Schutzmechanismen für E-Mail-Konten eingeführt, allerdings sind diese Mechanismen häufig eher einseitig. Nicht nur durch die DSGVO, sondern auch durch die geänderte Gefahrenlage sollte hier die erste Priorität zur Verbesserung des Datenschutzes gesehen werden.

Zur Vorbereitung auf Angriffe und Incidents gehört neben den Reportingtools auch das Thema Cyber-Resilience. Nicht allein zur Abwehr, sondern auch um eine Wiederherstellung im Falle einer Attacke zu ermöglichen. Während einer Attacke darf die Operationsfähigkeit nicht eingeschränkt werden, sodass beispielsweise trotz Ausfall von E-Mailservern die volle Kommunikationsfähigkeit gewährleistet wird. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen. Außerdem müssen sich alle Mechanismen konsistent über alle Informationen erstrecken – egal, ob diese auf den Endpunkten der Nutzer oder in Archiven gespeichert sind.

Durch Cyber-Resilience-Ansätze können die neue Anforderung an IT-Sicherheit, Business Continuity, Mobile Computing und Archivierung effizient umgesetzt werden. Der Vorteil liegt in der Orientierung an den Daten, die das Zusammenführen von mehreren Mechanismen erlaubt. Exchange oder andere E-Mailsysteme sind stattdessen nur eine von mehreren Quellen und sind daher nicht mehr zeitgemäß. Außerdem können über APIs ERM und ERP-Systeme ebenfalls integriert werden. Diese neuen Möglichkeiten sind wichtige Meilensteine, besonders wenn es um den Stand der Technik geht.

Fazit

Natürlich gibt es viele Kritikpunkte an der DSGVO, außerdem gibt es sicherlich Akteure, die früher mit deren Umsetzung und Kommunikation hätten beginnen können. Allerdings hat die EU-Verordnung es geschafft, die Aufmerksamkeit von Geschäftsführungen stärker als jemals zuvor auf das Thema Datenschutz zu lenken.

Entscheider sollten auch nach Ablauf der Deadline nicht in Panik geraten und sich nicht auf das Thema Datenschutz versteifen. Die DSGVO zieht deutlich größere Kreise. Die Abwehr von Attacken ist nicht mehr hinreichend. Das Schlüsselwort für zeitgemäße Sicherheitsstrategien heißt Cyber-Resilience, die es erlaubt, auch im Fall der Fälle vorbereitet zu sein – ohne dass es zu spürbaren Ausfällen kommt oder Mitarbeiter zu viel Zeit mit der Verwaltung von Daten verschwenden.

Über den Autor: Michael Heuer ist VP Central Europe bei Mimecast.

(ID:45321566)