Datenschutz und IT-Sicherheit

Cyber-Resilience und die DSGVO

| Autor / Redakteur: Michael Heuer / Peter Schmitz

Das Management von persönlichen Informationen nach DSGVO erfordert mehr als nur die Berücksichtigung des Datenschutzes.
Das Management von persönlichen Informationen nach DSGVO erfordert mehr als nur die Berücksichtigung des Datenschutzes. (Bild: Pixabay / CC0)

Der Countdown zur Datenschutz-Grundverordnung (DSGVO) ist abgelaufen und seit dem 25. Mai 2018 gilt die neue EU-Verordnung. Dabei ist das neue Gesetz eine der stärksten Ausweitungen von rechtlichen Vorgaben beim Thema Datenschutz in der Geschichte der EU. Allerdings geht es gerade für größere Unternehmen um wesentlich mehr als nur den Ausbau ihrer Sicherheitsmechanismen.

Beispielsweise müssen erhobene Daten richtig archiviert und löschbar sein, falls eine Person dies verlangt oder die Informationen nicht mehr gebraucht werden. Viele Datenbanken haben entsprechende Suchmechanismen und IT-Entscheider haben hier die Thematik auf dem Schirm, allerdings steht in anderen Bereichen die Verwaltung von persönlichen Informationen immer noch hinten an. Ein wichtiges und unterschätztes Thema in Bezug auf die DSGVO ist das Thema E-Mail-Kommunikation. Das Business Continuity Institute suchte nach den wichtigsten Mitteln zum Daten -und Informationsaustausch in Unternehmen. Nahezu alle Organisationen (97 Prozent) geben dabei E-Mail-Adressen der Mitarbeiter als Hauptkommunikationsmittel an. Befragt wurden 369 IT-Entscheider aus 63 Ländern nach ihren Prioritäten zu den Themen Datenaustausch und Kommunikation.

Hier sollte man sich vor Augen führen, dass persönliche Informationen in E-Mails meistens archiviert und gespeichert werden. Diese Archive fallen ebenfalls unter die DSGVO und müssen daher eine nachweisliche Löschung zulassen. Wenn man bedenkt, dass laut einer Studie des Analysten Vanson Bourne 88 Prozent aller Unternehmen mit ihrer E-Mail-Archivierungslösung schon jetzt unzufrieden sind, wird dies zu einer kritischen Herausforderung. Der Hauptgrund für die Unzufriedenheit ist Komplexität und der hohe Aufwand der eingesetzten Lösungen. Wenn Bürgerinnen und Bürger bald zum Beispiel von ihrem Recht Gebrauch machen und Auskunft über ihre gespeicherten Informationen bei einem Unternehmen anfragen, wäre das ein großer Aufwand, denn IT-Abteilungen und Mitarbeiter müssten dann dies manuell zusammentragen. Neue Vorgaben, eine veränderte Gefahrenlage und unzureichende Archivierungstools sind im Bezug auf die DSGVO eine brisante Mischung.

Der Stichtag für die DSGVO ist unwiderruflich da!

Anwendung Datenschutz-Grundverordnung

Der Stichtag für die DSGVO ist unwiderruflich da!

25.05.18 - Mit dem 25. Mai 2018 endet die Übergangsfrist, die Datenschutz-Grundverordnung (DSGVO / GDPR) gilt unmittelbar und ersetzt in Deutschland zusammen mit dem neuen Bundesdatenschutzgesetz das bisherige BDSG. So klar diese rechtliche Tatsache ist, so offen sind noch viele Punkte bei der Umsetzung. Das Projekt DSGVO ist also nicht abgeschlossen, sondern muss fortgeführt werden. lesen

Commitment zu Security ist hoch

Grundsätzlich ist die Bereitschaft in den Chefetagen für mehr Datenschutz hoch. Das BCI stellt fest, dass 55 Prozent aller Unternehmen ein starkes Commitment in der Führungsebene verspüren – mehr als in vorangegangen Untersuchungen. Grund dafür ist die wachsende Sensibilisierung der Unternehmenswelt und der Öffentlichkeit für das Thema.

Grundsätzlich sollten IT-Entscheider verschiedene Prozesse bündeln. Bei der Auswahl hilft ein Blick in den Gesetzestext der DSGVO. Dabei sind folgende Paragrafen besonders relevant:

  • Ein erster wichtiger Punkt ist der Nachweis von organisatorischen und technologischen Maßnahmen bei der Erhebung, Verwaltung und Verarbeitung von persönlichen Informationen (Artikel 24 und 28)
  • Aufbau eines Prüfungsverfahrens bei der die „Rechtmäßigkeit der Verarbeitung“ nach den Kriterien des Artikels 6 überprüft wird. Wichtig dabei ist die Fähigkeit zur Unterbrechung oder dem Abbruch der Verarbeitung, falls die Einverständniserklärung zurückgezogen wurde oder ungültig ist
  • Aufbau von Reporting-Mechanismen, um alle Datenverarbeitungsprozesse zu dokumentieren. Laut Artikel 30 gehört dazu auch die Nennung des Grundes für die Weiterverarbeitung und eine Auskunft über die Zugriffsrechte zu den Informationen
  • Umsetzung der Meldepflicht im Falle eines Datenschutzvorfalls innerhalb von 72 Stunden an die jeweilige Aufsichtsbehörde – meistens die Datenschutzbeauftragten der Länder oder des Bundes. Im Artikel 33 werden zudem einige Aufnahmen zu dieser Vorgabe genannt. Außerdem gibt es Vorschriften, wann Individuen direkt informiert werden müssen in Artikel l 34. Dies trifft vor allem beim Verlust von (unverschlüsselten) Daten zu.
  • Ernennung eines Datenschutzbeauftragten. Dies ist besonders in Deutschland häufig bereits Alltag, allerdings bald Vorschrift. Die Details werden in den Artikeln 37 bis 39 beschrieben.
Die DSGVO ist eine Daueraufgabe

Neues eBook „DSGVO und jetzt?“

Die DSGVO ist eine Daueraufgabe

28.05.18 - Mit dem Ende der zweijährigen Übergangszeit muss die Datenschutz-Grundverordnung nun angewendet werden. Die Zeit der Vorbereitung ist vorbei, es beginnt die Phase der dauerhaften Einhaltung der europäischen Datenschutz-Vorgaben. Das eBook „DSGVO und jetzt?“ fasst die wichtigsten Änderungen durch die DSGVO zusammen und gibt Unterstützung zur konkreten Anwendung. lesen

Cyber-Resillience als nächste Stufe der technologischen Evolution

Wenn man sich dieser Gefahren bewusst wird, sollten Führungskräfte überlegen, ob ihre Sicherheitsmechanismen dem geforderten „Stand der Technik“ entsprechen. Viele Unternehmen haben bereits Schutzmechanismen für E-Mail-Konten eingeführt, allerdings sind diese Mechanismen häufig eher einseitig. Nicht nur durch die DSGVO, sondern auch durch die geänderte Gefahrenlage sollte hier die erste Priorität zur Verbesserung des Datenschutzes gesehen werden.

Zur Vorbereitung auf Angriffe und Incidents gehört neben den Reportingtools auch das Thema Cyber-Resilience. Nicht allein zur Abwehr, sondern auch um eine Wiederherstellung im Falle einer Attacke zu ermöglichen. Während einer Attacke darf die Operationsfähigkeit nicht eingeschränkt werden, sodass beispielsweise trotz Ausfall von E-Mailservern die volle Kommunikationsfähigkeit gewährleistet wird. Genauso sollten Unternehmen in der Lage sein, den Ursprung einer Attacke zu beseitigen. Außerdem müssen sich alle Mechanismen konsistent über alle Informationen erstrecken – egal, ob diese auf den Endpunkten der Nutzer oder in Archiven gespeichert sind.

Durch Cyber-Resilience-Ansätze können die neue Anforderung an IT-Sicherheit, Business Continuity, Mobile Computing und Archivierung effizient umgesetzt werden. Der Vorteil liegt in der Orientierung an den Daten, die das Zusammenführen von mehreren Mechanismen erlaubt. Exchange oder andere E-Mailsysteme sind stattdessen nur eine von mehreren Quellen und sind daher nicht mehr zeitgemäß. Außerdem können über APIs ERM und ERP-Systeme ebenfalls integriert werden. Diese neuen Möglichkeiten sind wichtige Meilensteine, besonders wenn es um den Stand der Technik geht.

Datenschutz ist ein Prozess, kein Projekt

Neues eBook „DSGVO-Compliance“

Datenschutz ist ein Prozess, kein Projekt

30.04.18 - Die Umstellungsarbeiten im Datenschutz laufen bei vielen Unternehmen auf Hochtouren, den Termin 25. Mai 2018 fest im Blick. Wer die Anpassung auf die Datenschutz-Grundverordnung (DSGVO / GDPR) abgeschlossen hat, sollte seine Datenschutzmaßnahmen gleich fortsetzen. Das neue eBook zeigt, was ab dem 25. Mai 2018 ansteht. lesen

Fazit

Natürlich gibt es viele Kritikpunkte an der DSGVO, außerdem gibt es sicherlich Akteure, die früher mit deren Umsetzung und Kommunikation hätten beginnen können. Allerdings hat die EU-Verordnung es geschafft, die Aufmerksamkeit von Geschäftsführungen stärker als jemals zuvor auf das Thema Datenschutz zu lenken.

Entscheider sollten auch nach Ablauf der Deadline nicht in Panik geraten und sich nicht auf das Thema Datenschutz versteifen. Die DSGVO zieht deutlich größere Kreise. Die Abwehr von Attacken ist nicht mehr hinreichend. Das Schlüsselwort für zeitgemäße Sicherheitsstrategien heißt Cyber-Resilience, die es erlaubt, auch im Fall der Fälle vorbereitet zu sein – ohne dass es zu spürbaren Ausfällen kommt oder Mitarbeiter zu viel Zeit mit der Verwaltung von Daten verschwenden.

Bei der DSGVO sollte man nicht abwarten!

IT-Security Management & Technology Conference 2018

Bei der DSGVO sollte man nicht abwarten!

29.05.18 - Die Datenschutz-Grundverordnung (DSGVO) gilt jetzt unmittelbar für alle Unternehmen die personenbezogene Daten von EU-Bürgern verarbeiten. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei der Noerr LLP, Honorarprofessor an der Universität Passau und Keynote-Speaker bei der IT-Security Management & Technology Conference 2018. lesen

Über den Autor: Michael Heuer ist VP Central Europe bei Mimecast.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45321566 / Compliance und Datenschutz )