Compliance Die Gesetzeslage in der EU

Autor / Redakteur: Adrian Davis, CISSP* / Stephan Augsten

Unsere digitale Gesellschaft wird erwachsen. Dies zeigt sich allein schon daran, dass die vormals nicht immer eindeutige Gesetzeslage hinsichtlich Datenschutz und IT-Sicherheit vereinheitlicht wird. Um die vor uns liegenden Chancen nutzen zu können, müssen wir bei den Bemühungen, die Vorschriften einzuhalten, unser aller Erfahrungen bündeln.

Firma zum Thema

IT-Abteilungen haben angesichts der gesetzlichen Vorgaben künftig eine Menge nachzuarbeiten.
IT-Abteilungen haben angesichts der gesetzlichen Vorgaben künftig eine Menge nachzuarbeiten.
(Bild: bakhtiarzein - Fotolia.com)

Wenigstens ist die Zeit der Unsicherheit vorbei. Das neue Jahr begann für die europäischen IT-Sicherheitsfachkräfte mit der Einigung über die lang diskutierte EU-Datenschutz-Grundverordnung (GDPR). Das Europäische Parlament hat diese Verordnung inzwischen verabschiedet und in der Folge wird es zu Umbrüchen in Wirtschaft und Handel kommen.

Momentan kann noch niemand genau sagen, wie viele Kosten und Veränderungen die Unternehmen auf sich nehmen müssen, um die Anforderungen zu erfüllen. Ob wir mit den neuen Bestimmungen aber nun einverstanden sind oder nicht – auf jeden Fall sind jetzt klare Rechte und Verantwortlichkeiten für alle 28 Mitgliedsstaaten festgelegt.

All die Bestimmungen werden erheblichen Einfluss darauf haben, wie in dieser Region künftig digitale Geschäfte getätigt werden können. Nun ist es an der Zeit, nach vorne zu schauen und die neuen Vorschriften als eine große Chance zu verstehen, um zu Maßnahmen und Investitionen in Bereichen zu motivieren, die nach Meinung vieler von vornherein hätten berücksichtigt werden müssen.

Zum ersten Mal wird jetzt ein Recht von Kunden und Service-Nutzern definiert, Informationen nicht nur über ihre Daten zu erhalten, sondern auch darüber, wie diese Daten verarbeitet werden. Zudem müssen die Sicherheitsstandards auch über Partner- oder Lieferantenbeziehungen hinweg gewahrt bleiben.

Es werden Aufgaben und Rechenschaftspflichten des für die Verarbeitung Verantwortlichen und des Auftragverarbeiters festgelegt, ebenso wie Anforderungen für eine gemeinsame Bestimmung von Risiken und Pflichten. Davon erhofft man sich mehr Transparenz, Einheitlichkeit und garantierte Sicherheitsmaßnahmen auf dem Weg, den die Daten einer Person zurücklegen.

Druck von allen Seiten

Die GDPR ist im Übrigen nicht die einzige Compliance-Frage, die die Sicherheitsfachkräfte und die Unternehmen in dieser Region unter Druck setzt. Ende 2015 hatte der Europäische Gerichtshof das Safe-Harbour-Abkommen mit den Vereinigten Staaten gekippt.

Ob die Verhandlungen über ein neues Abkommen Erfolg haben werden, ist noch keineswegs sicher. Ohne einen solchen Pakt verstößt jedoch die weit verbreitete Praxis, Daten von EU-Bürgern in Länder außerhalb der EU zu übertragen oder dort zu speichern, sowohl gegen die derzeitigen Datenschutzvorschriften als auch gegen die neuen in der GDPR.

Desweiteren gibt es eine fortgesetzte Debatte über die Legalität von Verschlüsselung. Manche Regierungen fordern, dass Kommunikationsanbieter den Geheimdiensten die Möglichkeit zum Zugriff auf Daten einräumen müssen, wie dies beispielsweise in der Investigatory Powers Bill in Großbritannien festgeschrieben wurde. Andere Regierungen, wie etwa die niederländische, halten dies für den falschen Ansatz und wollen den Fokus stattdessen mehr auf die Verantwortung der Unternehmen für ihre Daten und die Verstärkung ihrer Sicherheitsmaßnahmen richten.

Bessere Zusammenarbeit unter dem Privacy Shield

Seit dem 1. März kursiert nun die Vorlage für den EU-US Privacy Shield der europäischen Kommission. Allerdings ist der Entwurf noch sehr unkonkret und schon regt sich Widerstand von einzelnen Verbrauchern. Bis zur finalen Fassung wird es sicherlich noch viele Diskussionen geben.

Darüber hinaus haben mehrere Mitgliedsstaaten begonnen, nationale Vorschriften auszuarbeiten, deren Schwerpunkt stärker auf der Cyber-Sicherheit als auf dem Datenschutz liegt. Auslöser waren dabei in den meisten Fällen die Vorbereitungen für eine Richtlinie zur Netz- und Informationssicherheit (NIS) der Europäischen Union, die sich ebenfalls in den letzten Verhandlungsstadien befindet.

Im Rahmen dieser neuen Richtlinie sollen die 28 Länder einen „Kooperationsmechanismus“ über vertrauenswürdige Kanäle einrichten. Dieser soll dazu dienen, Frühwarnungen zu Risiken und Zwischenfällen auszugeben und einen wachsenden Bestand an Sicherheits-Know-how aufzubauen, der allen Beteiligten nutzen und die jetzigen fragmentierten Verfahrensweisen ersetzen soll.

Auch soll mit Interessenvertretern in den Vereinigten Staaten zusammengearbeitet werden, um hier Abstimmung zu erzielen. Dem aktuellen Entwurf zufolge müssen alle öffentlichen Verwaltungen, Betreiber kritischer Infrastrukturen (wie etwa Gesundheitsdienstleister und Energieversorger) und „wichtigen Anbieter von Diensten der Informationsgesellschaft“ – von sozialen Netzen bis hin zu Suchmaschinen – ein „sicheres und vertrauenswürdiges digitales Umfeld“ in der gesamten EU gewährleisten.

Diese Formulierungen lassen viel Interpretationsspielraum. Doch da die Betreiber kritischer nationaler Infrastrukturen und die „Dienste der Informationsgesellschaft“ heute im Hinblick auf die Netzwerksicherheit stark voneinander abhängig sind, werden die Unternehmen auf jeden Fall mehr als bisher zusammenarbeiten müssen, um Sicherheit zu gewährleisten.

Startschuss in ein geschütztes Zeitalter?

Eine solch aktive Gesetzeslandschaft lässt meiner Meinung nach darauf schließen, dass unsere Gesellschaft auf dem Weg in eine neue Ära allmählich erwachsen wird. Das digitale Zeitalter bringt ähnlich große Herausforderungen mit sich wie seinerzeit das Industriezeitalter. Es ist höchste Zeit, dass sich dies auch in den regulatorischen Rahmenbedingungen für die Geschäftstätigkeit spiegelt.

Bislang haben sich Unternehmen und Organisationen in einem regulatorischen Vakuum entwickelt und in einem neuen Territorium in Wildwestmanier ihren eigenen Interessen verfolgt. Jetzt erkennen die Regierungen, dass es ihre Aufgabe ist, in diesem neuen Territorium für Recht und Ordnung zu sorgen, und arbeiten daran, die Regeln und Gepflogenheiten für unser Verhalten klarzulegen. Mit großer Wahrscheinlichkeit werden sie in der ersten Etappe nicht jede Einzelheit richtig hinbekommen, aber wenigstens fangen sie einmal an.

Grauzonen und Interpretationsspielraum

Wir rechnen damit, dass einige der neuen Bestimmungen reichlich überholt wirken könnten: So wird etwa die Entfernung von Daten von Servern, um ein Recht auf Löschung sicherzustellen oder die Übertragung in Nicht-EU-Länder zu verhindern, keine leichte Aufgabe für Unternehmen werden, die ihre Infrastruktur nicht auf eine solche Anforderung ausgelegt haben.

Und faktisch sorgt der Übergang zu Cloud-Technologien ja dafür, dass Daten über viele Geräte und Plattformen hinweg weltweit verbreitet und frei bewegt werden können. Hier liegt auch der Grund dafür, dass viele unserer Mitglieder vermuten, dass das „Recht auf Löschung“ vielleicht einfach nicht umsetzbar sein wird.

Auch stellen wir fest, dass ziemlich viel Raum für Interpretationen geblieben ist, zum Beispiel bei der Definition der kritischen Infrastrukturen und der Anbieter von Diensten der Informationsgesellschaft. Viele argumentieren, dass diese sich zu schnell verändern würden, um definiert werden zu können, und/oder dass solche Begriffe heute auf die meisten Unternehmen anwendbar seien.

Außerdem führt die GDPR das „Recht auf Datenportabilität“ ein, das heißt das Recht, seine Daten von einem Unternehmen zu einem Mitbewerber übertragen zu lassen (zum Beispiel von Whatsapp zu Facebook), und zur Implementierung dieses Rechts muss ein entsprechender Mechanismus entwickelt werden.

Was (ISC)²-Experten meinen

Wie Fachkräfte für Informationssicherheit und Cyber-Sicherheit sich mit der Implementierung der neuen Gesetze auseinandersetzen, zeigen die hier eingebundenen Statements aus den verschiedenen Bereichen unserer Community in Deutschland und Österreich exemplarisch auf.

Ergänzendes zum Thema
Rainer Rehm, CISSP, Präsident des (ISC)² Chapter Deutschland e.V.

Das Schwierige bei der Umsetzung der neuen Anforderungen des IT-Sicherheitsgesetzes ist die momentane Rechtsunsicherheit, ob - und wenn ab wann - man zu den betroffenen Unternehmen gehört. Wenn nicht, kann die allgemeine Spannung genutzt werden, aus den Best Practises der Betroffenen zu lernen und sich die Prozesse und Tools herauszupicken, die die eigene Landschaft am besten widerspiegelt. Aber auch dann gilt es, die Business Owner im Rahmen der notwendigen Analyse zu beraten und mit dem Risiko vertraut zu machen, das deren Prozess oder Use Case für die Unternehmung bedeutet.

Der Ansatz, durch Security Awareness entsprechendes Verständnis bei den Business Ownern zu bekommen, ist letztlich die einzig sinnvolle Vorgehensweise. Denn Compliance ist nicht Security! Das ist auch der falsche Antrieb. Sobald die Erkenntnis durchgesickert ist, wird auch schnell der Mehrwert von Daten und Schutz derselben erkannt. Werden dazu die potentiellen Strafen (vier Prozent des weltweiten Umsatzes) korreliert, bekommt man die nötige Unterstützung des Leitungsteams und die Umsetzung der Schutzmaßnahmen wird zügig durchgeführt.

Bei der angesprochenen Risikoanalyse bietet es sich an, standardisierte Fragenbögen und Listen zu verwenden, da dadurch eine weitgehende Harmonisierung erreicht und eine bessere Vergleichbarkeit gewährleistet werden kann. Sind die Use Cases entsprechend dem Risiko bewertet, ist das weitere Vorgehen recht simples Nachverfolgen der Aktivitäten und Prüfen der Effizienz der einzelnen Maßnahmenpakete.

Ergänzendes zum Thema
Günter Aigle, CISSP und Security Auditor bei der Würth IT GmbH.

Das IT-Sicherheitsgesetz verlangt von den betroffenen Unternehmen explizit die Sicherstellung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer gesamten IT-Infrastruktur. Hierbei wird generell in technische und organisatorische Maßnahmen unterschieden. Ein Gesetz wirkt nun immer so gut oder sicher, wie für die Einhaltung desselben gesorgt werden kann. Hierfür fordert das Gesetz einen „geeigneten“ Nachweis welcher spätestens alle zwei Jahre zu erbringen ist.

Damit ein Audit oder Nachweis schnell und reibungslos erfolgen kann, ist die Dokumentation der bestehenden IT-Landschaft unabdingbar. Eine zentrale Rolle kommt hierbei dem Asset-Management und der Netzwerkplanung zu - bevor ich etwas schützen kann, muss ich erst einmal wissen, was ich zu schützen habe. Bei vielen Unternehmen herrscht hier echter Nachholbedarf. Ein Asset-Management ist in den seltensten Fällen vollständig, aktuell und korrekt geführt. Oft ist solch ein Asset-Management noch nicht einmal vorhanden.

Eine gut geführte Dokumentation ist also eine Grundvoraussetzung für ein erfolgreiches Audit. Für jedes Netzwerk sollte mindestens ein Layer-3-Netzwerkplan vorhanden sein. Dieser bildet eine weitere, entscheidende Grundlage für ein Audit. Die „Best Pratice“ für die erfolgreiche Umsetzung der Forderungen aus dem IT-Sicherheitsgesetz bildet also eine gute, umfangreiche und detaillierte Dokumentation der bestehenden IT-Landschaft. Hierfür kann auch die Einführung eines ISMS Pate stehen, dies wäre z.B. für eine Zertifizierung nach ISO 27001 ohnehin notwendig.

Sind die formalen Vorrausetzungen geschaffen, kann anhand dieser die vorhandene Technik nachgeführt werden. Hierzu gehört z.B. die dokumentationskonforme Einrichtung des Firewall-Regelwerks ebenso wie das „härten“ von Server Betriebssystemen. Nach wie vor weitestgehend unterschätzt wird aber die organisatorische Seite und hierbei insbesondere die „Schwachstelle Mensch“. So genügt es nicht nur, eine Policy für E-Mail und Internet oder Passwortrichtlinien etabliert zu haben, es muss auch sichergestellt werden, dass diese von den betreffenden Personen eingehalten werden.

Insbesondere bei Kritis wird es notwendig sein, mit entsprechenden Bildungsmaßnahmen das notwendige Sicherheitsbewusstsein zu schaffen. Dies beginnt damit, den Menschen klar zu machen, dass Passwörter – insbesondere bei Kritis – nicht aufgeschrieben werden sollten. Oder dass man, wenn nicht anders möglich, wenigstens technische Möglichkeiten aufzeigt, wie man mit einer Vielzahl komplexer Passwörter umgehen kann.

Dem Bereich „Security Awareness“ wird also eine völlig neue Bedeutung zukommen. Ferner wird man sich gerade im Zugangsberechtigungsbereich von dem leider immer noch weit verbreiteten „ein Faktor“-Lösungen verabschieden müssen: hier sind mindestens zwei Faktoren z.B. etwas das man hat oder besitzt (Magnetkarte, Token, etc.), etwas das man weiß (Passwort, PIN, etc.) unabdingbar. Bei besonders kritischen Systemen sollte man unbedingt über drei Faktoren (z.B. zusätzlich Biometrie) nachdenken. Nur wenn es gelingt, technische, organisatorische und menschliche Faktoren in eine Balance zu bringen, wird ein effektiver Schutz von Kritis nach dem IT-Sicherheitsgesetz gelingen.

Ergänzendes zum Thema
Dr. Lukas Feiler, (ISC)²-zertifizierter SSCP und Rechtsanwalt, Head of IP/IT.

Die EU-Richtlinie über Netz- und Informationssicherheit wird in Österreich durch ein IT-Sicherheitsgesetz umgesetzt werden. Gewisse Unternehmen werden unter Strafandrohung dazu verpflichtet werden, risikoangemessene Maßnahmen zur Gewährleistung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der verarbeiteten Daten sowie der angebotenen Dienste zu implementieren. Außerdem werden diese Unternehmen dazu verpflichtet, Sicherheitsvorfälle zu melden. Diese Pflichten werden allerdings nur für bestimmte Unternehmen gelten.

Erstens werden die österreichischen Behörden konkrete Unternehmen benennen, die für die Gesellschaft wesentliche Dienste in den Bereichen Energie, Verkehrswesen, Bank- und Finanzwesen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur (Internet-Knoten, DNS-Anbieter, Domain-Name-Registries) erbringen. Zweitens werden die Pflichten für alle Betreiber eines Online-Marktplatzes, einer Online-Suchmaschine oder eines Cloud-Computing-Dienstes gelten. Ob die neuen Regeln tatsächlich effektiv sein werden, hängt nicht zuletzt davon ab, welchen Behörden die Zuständigkeit für ihre Durchsetzung zugewiesen wird.

Ergänzendes zum Thema
Dirk Schadt, CISSP, Management-Berater Informationssicherheit bei SPOT Consulting.

Nachdem im letzten Jahr das IT-Sicherheitsgesetz verabschiedet wurde, ist vielen Unternehmen nicht klar, ob sie betroffen sind und was das jetzt praktisch für sie bedeutet. Das hat auch der Gesetzgeber erkannt und deshalb per Rechtsverordnung diese Zuordnung ermöglicht und Konkretisierungen durch die Branchenverbände empfohlen.

Vergleichbar mit dem Datenschutz ist damit praktisch jedes Unternehmen mit mehr als zehn IT-Mitarbeitern und einer kommerziellen Webpräsenz betroffen und in den nächsten knapp zwei Jahren zur zeitnahen und angemessenen Umsetzung von Sicherheitsmaßnahmen sowie zur Meldung aller Vorfälle gezwungen. Hilfestellung geben derzeit viele Wirtschaftsprüfer und Beratungshäuser, das aber mehr aus dem Interesse heraus eigene Leistung zu verkaufen, als wirklich bei der Frage der Angemessenheit zu helfen.

Eine ISO-27001-Zertifizierung ist sicher in vielen Fällen mit Kanonen auf Spatzen geschossen. Juristen wittern dagegen die nächste Abmahnquelle, weil die Umsetzung vermeintlich ungeeignet ist. Es bleibt zu hoffen, dass aus dem Gesetz mehr Rechts- und Umsetzungssicherheit gestaltet wird, da sonst die Gefahr groß ist, das viele Unternehmen eben eher nichts machen oder Kosmetik betreiben, frei nach dem Motto: „Dann machen wir doch lieber das mit den Fähnchen.“

Über das IT-Sicherheitsgesetz hinaus macht insbesondere die GDPR es für Unternehmen erforderlich, all seine Prozesse zu überprüfen, da alle mit der Verarbeitung digitaler Daten einhergehen. Ebenso müssen sie die Prozesse ihrer Zulieferfirmen überprüfen. Wir müssen darauf gefasst sein, dass viele bestehende Verträge mit Zulieferern nicht tragfähig sein könnten, besonders mit solchen außerhalb der EU.

Ganze Branchen oder Geschäftsbereiche könnten in Gefahr geraten, weil bestimmte Vorschriften wahrscheinlich neue Hindernisse für bestehende Geschäftsmodelle schaffen und sie verteuern werden. Das gilt zum Beispiel für die Bestimmung der GDPR, wonach sich Unternehmen von den Konsumenten explizit bestätigen lassen müssen, dass sie damit einverstanden sind, wie ihre Daten genutzt werden.

Es herrscht kaum Zweifel, dass wir derzeit seismische Veränderungen in dem regulatorischen Umfeld erleben, in dem wir als Fachkräfte für Cyber-Sicherheit in Europa operieren müssen. Das ultimative Ziel für die Europäische Union besteht darin, die Geschäftstätigkeit in dieser Region einfacher und sicherer zu gestalten und so Barrieren zu beseitigen und Chancen zu eröffnen.

Ich als Sicherheitsfachmann unterstütze dieses Ziel. Und wir als Community können auf dem Weg dahin eine wichtige Aufgabe übernehmen und eine einzigartige Perspektive beitragen: indem wir die Gesetzeslandschaft und die sich neu entwickelnden Standards einem Realitätscheck unterziehen und den Blick auf Lücken und Missbräuche lenken, die abgestellt werden müssen, während die digitale Ära mehr und mehr die Zukunft prägt.

Wir als Berufsstand haben die Möglichkeit, unseren gemeinsamen Erfahrungsschatz aufzubieten und diesen Prozess mit unserem Know-how zu begleiten. Denjenigen von uns, die draußen an der Front die Implementierung übernehmen müssen, steht ein erheblicher Lernprozess bevor. (ISC)2 als internationaler Verband für Fachkräfte der Cyber-Sicherheit will mithilfe seines regionalen (ISC)2 EMEA Advisory Councils die gewonnenen Erfahrungen zusammentragen.

* Adrian Davis, CISSP, ist Managing Director EMEA bei (ISC)².

(ID:43966721)