Datenschutz und Sicherheit

Fingerzeig DSGVO

| Autor / Redakteur: Mirco Rohr / Peter Schmitz

Die DSGVO ist ein erhobener Zeigefinger des Gesetzgebers, der leider wenig konkrete Hilfestellung liefert, wie Unternehmen ihre Daten zu schützen haben.
Die DSGVO ist ein erhobener Zeigefinger des Gesetzgebers, der leider wenig konkrete Hilfestellung liefert, wie Unternehmen ihre Daten zu schützen haben. (Bild: Pixabay / CC0)

Die Datenschutz-Grundverordnung (DSGVO) ist gut gemeint aber nebulös. DSGVO-konform zu werden, ist somit ein komplexes Unterfangen. Klar ist aber, dass dies unter anderem eine moderne Sicherheitslösung erfordert. Was muss sie leisten?

Die DSGVO ist Realität und bis zum 25. Mai müssen alle Unternehmen die Maßnahmen ergreifen, um den steigenden Anforderungen an den Datenschutz gerecht zu werden. Die Herausforderung, selbst für Juristen, ist, dass die DSGVO eigentlich nur einen erhobenen Zeigefinger des Gesetzgebers mit einer drastischen Strafandrohung – bis zu 4 Prozent des Jahresumsatzes und Geschäftsführerhaftung – darstellt. Die Details bei der Umsetzung – was zum Beispiel „State of the Art“ bedeutet – werden wohl erst mit den ersten Gerichtsurteilen deutlicher hervortreten. Klar ist andererseits, dass ein guter Datenschutz im allgemeinen Interesse ist und mit einer auch aus geschäftlichen Interessen gebotenen hohen Datensicherheit einhergeht.

Aktuelle Umfragen zeigen, dass viele Organisationen offenbar immer noch sehr wenig Verständnis für die Verordnung, die Breite ihres Geltungsbereiches und ihre Auswirkungen haben. Das überrascht so kurz vor Inkrafttreten der Verordnung. Denn Unternehmen müssen sich auf zahlreiche Herausforderungen einstellen. Dazu gehören zum Beispiel die Verschlüsselung und Pseudonymisierung von Daten, die Meldung von Datenverstößen innerhalb von 72 Stunden, und die Recherche zum „Stand der Technik“ in Technologien und bewährten Standards für interne Prozesse. Bei so vielen Aufgaben fällt es offenbar schwer, überhaupt einen Einstieg zu finden.

Der Weg, DSGVO-konform zu werden, erfordert mehrere Schritte. Unternehmen müssen sowohl ihre Abläufe anpassen als auch die richtigen Technologien für die Verwaltung von strukturierten und unstrukturierten Daten mit einem Fokus auf Datenschutz und Privatsphäre einsetzen. Viele Unternehmen sollten dabei ihre vorhandenen Technologien hinterfragen. Denn die wenigsten Unternehmen sind bereits in der Lage, die strengen DSGVO-Anforderungen zu erfüllen. Insbesondere müssen viele in ihre IT-Sicherheit investieren.

Aller Anfang ist schwer - IDC empfiehlt fünf Schritte

Der erste Schritt, um DSGVO-konform zu werden, ist organisatorisch gesehen wahrscheinlich der schwierigste. Unternehmen benötigen einen umfassenden Ansatz, um ihre individuellen Anforderungen zu verstehen, den Status quo zu analysieren, die Risiken zu bewerten und Maßnahmen zu ergreifen. Das Analystenhaus IDC empfiehlt fünf Schritte auf dem Weg zur DSGVO-Compliance:

  • 1. Verstehen Sie den Zweck von Daten und minimieren Sie die Speicherung persönlicher Daten.
  • 2. Definieren Sie für sich „State of the Art“.
  • 3. Entwickeln und erproben Sie den Prozess eines Datenvorfalls.
  • 4. Richten sie eine voll unterstützte Data Governance ein.
  • 5. Führen Sie Datenmapping und Data Discovery durch.

Organisatorisch müssen größere Unternehmen für diese Schritte zwingend ein funktionsübergreifendes Data-Governance-Team aufbauen, also ein Team, das voll auf den richtigen Umgang mit Daten konzentriert. Auf der technologischen Seite benötigen Unternehmen zwei Systeme, um den Herausforderungen gerecht werden: eine integrierte Datenmanagement-Plattform und eine umfassende Sicherheitstechnologie, um sich vor verschiedensten Bedrohungen nach allen Regeln der Kunst zu schützen. Dies ist eine unmittelbare DSGVO-Anforderung.

Eine Sicherheitsplattform ist notwendig, da Unternehmen heutzutage ständig Angriffen von außen ausgesetzt sind. Nur Technologie kann Unternehmen vor gezielten Angriffen, Datenverlust und -diebstahl absichern und somit personenbezogene Daten schützen. Es gibt unzählige Berichte über erfolgreiche Angriffe, die zur Offenlegung von Daten führten. Diesen Angriffen folgt meist eine Phishing-Kampagne auf den Fuß, um bei denen, deren Daten geklaut wurden, Malware zu installieren. Ein Unternehmen, das solche Angriffe begünstigt, muss nach Inkrafttreten der DSGVO mit schwerwiegenden Sanktionen rechnen.

Die Verhinderung von Datenverstößen ist jedoch nur eine Seite der Medaille: Zu den DSGVO -Anforderungen gehört auch die Meldung von Datenverstößen innerhalb von 72 Stunden. Das ist sportlich. Denn eine im Jahr 2017 vom Ponemon Institute durchgeführte Studie über die Kosten von Datenverstößen zeigte, dass die durchschnittliche Zeit zur Identifizierung eines Datenverstoßes 191 Tage beträgt. 191 Tage – das ist Lichtjahre entfernt von den 72 Stunden, die die DSGVO Unternehmen erlaubt, um Verstöße zu melden. Daher benötigen Unternehmen eine Sicherheitslösung, die nicht nur schützt, sondern ihnen auch eine wesentlich höhere Transparenz bei der Erkennung von Datenverstößen bietet.

Eine Schutzplattform, die den DSGVO-Anforderungen gerecht werden kann, ist somit stets von Grund auf zum Schutz vor fortschrittlichen, gezielten, mehrstufigen und verdeckten Angriffen aufgebaut. Sie enthält neben Präventions- und Erkennungstechnologien auch dedizierte Tools zur Erhöhung der Transparenz und Durchführung von Sicherheitsanalysen. Sie verbindet zudem mehrere Sicherheitsschichten miteinander, wie zum Beispiel Anwendungskontrolle, Schutz vor Exploits, Malware-Erkennung durch künstliche Intelligenz und durch Sandboxing.

Stand der Technik in Sachen Security: Eine integrierte, mehrschichtige Sicherheitslösung

Wenn Unternehmen im Rahmen ihrer Vorbereitung auf die DSGVO Security-Lösungen evaluieren, sollten sie also darauf achten, dass sie eine Plattformen wählen, die konstant Bestnoten für die Erkennung erhält, die alle Betriebssysteme und Hypervisoren des Unternehmens von einer Oberfläche aus verwaltet und die regelmäßig die aktuellsten Sicherheitstechnologien integriert. Dazu gehören derzeit zum Beispiel die Prozessüberwachung zum Schutz gegen dateilose Angriffe, Machine Learning gegen getarnte Angriffe, Sandboxing gegen völlig neue Angriffe. Ebenso gehört dazu heute Remediation zur schnellen Wiederherstellung des Zustands vor dem Angriff. Der aktuelle Stand der Technik ist eine mehrschichtige Sicherheitslösung.

Spannend: Im Effekt befördert das durch die Datenschutz-Grundverordnung ausgelöste Augenmerk auf Datensicherheit derzeit sogar die Modernisierung der Rechenzentren. So hat Bitdefender in einer Befragung herausgefunden, dass nicht etwa Flexibilität oder Skalierbarkeit der wichtigste Trigger für das Software-Defined Datacenter ist, sondern verbesserte Datensicherheit. Der erhobene Zeigefinger mag also wenig konkrete Hilfestellung liefern, wie Unternehmen ihre Daten zu schützen haben. Aber er gibt doch eine klare Richtung vor, wohin sich das Schutzniveau von Unternehmen bewegen muss.

Über den Autor: Mirco Rohr ist Global Evangelist bei Bitdefender.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45156678 / Compliance und Datenschutz )