:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Besser spät als nie DSGVO Schritt für Schritt angehen und umsetzen
Der 25. Mai 2018 liegt schon eine Weile hinter uns und der große Knall blieb bislang aus. Doch viele Unternehmen sind auch nach dem Stichtag noch nicht „DSGVO-ready“– was an der Vielzahl der neuen Anforderungen und deren Komplexität liegt. Wichtig für alle, die noch nicht „auf Kurs“ sind, ist jetzt einen risikobasierten Ansatz zu verfolgen und sich auf die wichtigsten Bereiche zu konzentrieren.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Eine Hauptanforderung der DSGVO ist die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT). Dabei handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten im Unternehmen verarbeitet werden. Zwar gab es in der Vergangenheit bereits das Verfahrensverzeichnis (nach §§ 4g Abs. 2, 4e Bundesdatenschutzgesetz), das neue Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO (Art. 30) muss allerdings deutlich umfangreicher ausfallen. So haben Organisationen die Pflicht, jeden einzelnen Prozess aufzulisten, in dem personenbezogene Daten verarbeitet werden. Sie müssen unter anderem den Zweck der Erhebung sowie den Speicherort der Daten definieren und angeben, ob Daten in Drittländer übertragen werden. Für viele Unternehmen liegt hier einer der großen Knackpunkte bei der Umsetzung der DSGVO.
:quality(80)/images.vogel.de/vogelonline/bdb/1489000/1489044/original.jpg "Unternehmen sollten bei der DSGVO mit bewussten Falschinformationen rechnen, denn die Datenschutz-Grundverordnung ist leider auch ein gutes Geschäft für unseriöse Anbieter. (Pixabay)")
Aktuelles zur DSGVO im November
Konzentration auf echte Datenschutz-Probleme!
Verzeichnis von Verarbeitungstätigkeiten ist ein Muss
Weil sämtliche Geschäftsprozesse zu überprüfen sind – und das in der Regel manuell – ist die Erstellung dieses Verzeichnisses sehr aufwändig. Und genau hierin liegt die größte Hürde, denn erfahrungsgemäß sind viele Unternehmen nicht in der Lage, sich einen ganzheitlichen Überblick über alle personenbezogenen Daten zu verschaffen. Seit dem 25. Mai 2018 sind Organisationen aber verpflichtet, das Verzeichnis von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorzuhalten, ansonsten kann ein Bußgeld (Art. 83 Abs. 4a DSGVO) drohen.
Risikobasiert vorgehen
Was also tun, wenn der Stichtag bereits verstrichen ist? Diese Fragestellung galt es in den vergangenen Monaten häufig zu beantworten, denn die meisten Unternehmen haben sich nicht rechtzeitig mit dieser Aufgabe beschäftigt. Die Antwort ist ein pragmatischer, risikobasierter Ansatz – es gilt also, sich auf Teilbereiche der DSGVO zu konzentrieren, in vielen Fällen ist das im ersten Schritt die Kategorie der Kundendaten. Unternehmen sind verpflichtet, die personenbezogenen Daten in Kategorien anzugeben, beispielsweise Kundendaten, Mitarbeiterdaten und Lieferantendaten. Viele Unternehmen sehen bei den Kundendaten das größte Risiko und konzentrieren sich folgerichtig im ersten Schritt auf diesen Bereich.
Ob und wie viele Prüfungen die Aufsichtsbehörden künftig durchführen werden, weiß derzeit zwar noch niemand, eines ist jedoch sicher: Bei einer Prüfung wird die Aufsichtsbehörde sicherlich nachfragen, was das Unternehmen unternimmt, um DSGVO-konform zu werden. Daher sollten Firmen, die noch nicht „DSGVO-ready“ sind, eine Roadmap erstellen, in der das entsprechende Vorgehen in einem begrenzten Anwendungsbereich mit der jeweiligen Risikobetrachtung verankert ist. Nicht ohne Grund also ist die Erstellung solcher VVT-Roadmaps derzeit ein größeres Thema bei Unternehmen, die noch nicht DSGVO-ready sind.
:quality(80)/images.vogel.de/vogelonline/bdb/1410000/1410056/original.jpg "Oliver Schonschek von Insider Research im Gespräch mit Dr. Oliver Grün, Präsident des Bundesverband IT-Mittelstand (BITMi), auf der neuen CEBIT in Hannover. (Schonschek)")
Interview-Podcast zur DSGVO
Was denkt der IT-Mittelstand über die DSGVO?
Automatisierung der Datenerhebung
Fragen wie „Warum haben Sie diese Daten gespeichert?“ oder „Wie haben Sie diese Daten gespeichert?“ lassen sich nicht mit einem Tool beantworten, sondern nur über Assessments und Interviews. Unsere Security Assessment Services haben sich dabei als hilfreiche Unterstützung bewährt. Auf diese Weise können Unternehmen die Erhebung der Informationen, die im Verzeichnis von Verarbeitungstätigkeiten aufzuführen sind, in großem Umfang einfach und schnell erfassen. Großunternehmen greifen bereits seit einigen Jahren auf diese Services zurück, um eine transparente Umsetzung von Compliance-Vorgaben oder -Risiken zu gewährleisten.
Bei den Security Assessment Services entwickelt ein erfahrener Consultant gemeinsam mit dem Unternehmen eine spezifische Methode zur Datenerhebung. Im Fokus steht hier die Frage: „Welche Daten müssen erfasst werden, um das Verzeichnis von Verarbeitungstätigkeiten zu füllen?“ Das Ergebnis ist ein klares Vorgehensmodell mit einer Checkliste als Kern der Erhebung. Die zu erarbeitende Methode ist nicht für jedes Unternehmen gleich, häufig werden aber ähnliche Anforderungen zur Darstellung der Informationen gestellt. Auf Basis dessen können Blue Prints aus anderen Projekten, in denen Computacenter bereits Erfahrungen gesammelt hat, wertvolle Beiträge liefern.
:quality(80):fill(efefef,0)/images.vogel.de/vogelonline/bdb/1400500/1400549/original.jpg "Whitepaper Cover: © SG-Design-AdobeStock-199663652")
Wahrung der Betroffenenrechte
Neben der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten stellt auch die Wahrung der Betroffenenrechte Organisationen vor große Herausforderungen. So müssen sie künftig in der Lage sein, beispielsweise nach Aufforderung eines Kunden alle über ihn vorhandenen Informationen zu löschen. Dazu ist es notwendig, sämtliche bestehenden Daten ausfindig zu machen und zu entfernen.
Manuell ist dies ein sehr aufwändiges Unterfangen. Aber es gibt mittlerweile Tools, die sowohl strukturierte Daten in Datenbanken als auch unstrukturierte Daten auf File-Server, Exchange-Server oder in SharePoint nach personenbezogenen Informationen durchsuchen. Die Ergebnisse werden an ein Ticketsystem weitergeleitet und ein „virtueller Löschknopf“ erstellt. Auch dieses Teilprojekt auf dem Weg zur DSGVO-Compliance ist bei vielen Unternehmen momentan im Fokus.
Fazit
Auch wenn Unternehmen die neuen Anforderungen der DSGVO heute noch nicht erfüllen, können und müssen sie sich wichtige Meilensteine setzen und auf diese hinarbeiten. Mit einer klaren Roadmap sowie den richtigen Services und Tools zur Automatisierung der wichtigsten Prozesse bei der Auflistung von personenbezogenen Daten im VVT sowie zur Wahrung der Betroffenenrechte kommen Unternehmen der Erfüllung der DSGVO einen großen Schritt näher. Wichtig ist aber, diesen Schritt zeitnah zu gehen – denn das Risiko bleibt enorm.
Über den Autor: Ralf Nemeyer ist Principal Consultant Secure Information bei Computacenter. Bereits seit 1996 ist er im Themenfeld der Informationssicherheit tätig und fokussiert sich auf Information Management Services-Prozessberatung, Risikoanalysen, Automation, und Compliance Management.
(ID:45639630)
:quality(80)/p7i.vogel.de/wcms/3a/74/3a744b6113e3ba55a2c656ea61877ff2/0108887677.jpeg "Unternehmen müssen organisatorische Maßnahmen treffen, damit Personen eine Datenschutzauskunft zeitnah und in verständlicher Form erhalten. Da ist es sinnvoll, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/dd/a2dd8dcc032fab563c4905c1e7a285a9/0108861112.jpeg "Kubernetes als zentrale Grundlage für Sicherheitslösungen zu nutzen, bietet viele Vorteile. Damit solch ein Cluster produktiv betrieben werden kann, muss aber Know-How im Bereich Kubernetes zusätzlich zu IT-Security vorhanden sein. (Bild: Skórzewiak - stock.adobe.com)")