:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Synergien Datenschutz und IT-Sicherheit So hilft die Security bei der Auskunftspflicht nach DSGVO
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Kritik an den Aufwänden für den Datenschutz reißt nicht ab. Umso wichtiger ist es, Synergien zwischen Datenschutz und IT-Sicherheit zu nutzen. Gerade bei der Umsetzung des Auskunftsrechts kann die IT-Sicherheit unterstützen und Zusatzaufwände vermeiden. Das betrifft die Zusammenstellung der angefragten Daten, aber auch die notwendigen Identitätsprüfungen.
Wenn Unternehmen ein Auskunftsersuchen nach DSGVO (Datenschutz-Grundverordnung) erhalten, eine Person also wissen will, welche Daten über sie verarbeitet und gespeichert werden, kann es zu vielen Fehlern und Problemen kommen.
So antworten Unternehmen auf ein solches Auskunftsersuchen mitunter zu spät, also nicht innerhalb der Monatsfrist, die Auskunft ist womöglich unvollständig, vielleicht sind in der Auskunft aber auch Daten, die nicht enthalten sein sollten, oder aber die Auskunft geht an eine Person, die gar nicht berechtigt ist, nach diesen Daten zu fragen.
Diese Fehler sind nicht theoretischer Natur, sondern sie passieren in der Praxis. Dabei können durchaus ein Bußgeld und andere Sanktionen der zuständigen Datenschutzaufsichtsbehörde die Folge sein.
Umsetzung der Auskunftspflicht bereitet Schwierigkeiten
Nun ist es nicht etwa so, dass die Unternehmen das Auskunftsersuchen bewusst missachten oder dass sie gar nicht wüssten, was es mit dem Auskunftsrecht der betroffenen Person (Artikel 15 DSGVO) auf sich hat.
Ein wesentliches Problem ist stattdessen, dass es keine umfassende und zuverlässige Transparenz zu den Daten gibt. Die Suche nach den gewünschten Daten dauert dann zu lange und ist nicht von Erfolg gekrönt, jedenfalls mit Blick auf eine fristgerechte und vollständige Erteilung der Auskunft.
Zusätzlich fehlt häufig ein internes Verfahren, wie korrekt mit einem solchen Auskunftsersuchen nach DSGVO umzugehen ist. Es ist nicht immer klar, wer zuständig ist und wie die Anfrage zu prüfen ist.
Identitätsprüfung bei Auskunftsersuchen
Die Aufsichtsbehörden für den Datenschutz haben ausdrücklich darauf hingewiesen, dass sichergestellt werden muss, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur
Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.
Hat die verantwortliche Stelle im Unternehmen begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so können zusätzliche Informationen zur Bestätigung der Identität nachgefordert werden, so die Aufsicht.
Wie aber kann die Identitätsprüfung konkret aussehen? Anstatt alles neu zu überlegen und zu organisieren, lohnt es sich, an die bereits vorhandenen Methoden zur Identitätsprüfung anzuknüpfen.
Hier bietet die IT-Sicherheit mit den zum Beispiel für Kunden etablierten IAM (Identity and Access Management) und damit genauer dem CIAM (Customer IAM) bereits vorhandene Verfahren und Funktionen an, die in vielen Fällen dabei helfen können, die Identität eines Kunden oder einer Kundin zu überprüfen, die oder der eine Datenauskunft nach DSGVO wünscht.
Doch die IT-Sicherheit kann noch mehr leisten, wenn es um die Umsetzung der Auskunftspflichten nach DSGVO geht.
Nicht nur das Verfahrensverzeichnis kann helfen
Schaut man sich an, was eine Datenauskunft enthalten soll, kann es sich zum einen um eine Negativauskunft handeln, für den Fall, dass das Unternehmen keine Daten dieser Person verarbeitet oder die Daten dieser Person zuverlässig anonymisiert wurden.
Bevor man aber diese Negativauskunft macht, muss man auch ganz sicher sein, dass es nicht doch Daten der Person gibt, die in der IT-Infrastruktur des Unternehmens gespeichert sind. Dazu gehören auch die Cloud-Dienste und die mobilen Endgeräte, die betrieblich genutzt werden. Leider werden aber Daten schnell übersehen und womöglich eine Negativauskunft erteilt, weil man nicht alle möglichen Orte der Verarbeitung in Betracht gezogen hat.
Nicht ohne Grund erinnert dies an typische Herausforderungen der IT-Sicherheit. Will man in der IT-Sicherheit die Daten schützen, muss man auch eine Übersicht haben, wo welche Daten zu finden sind, um sie dem Schutzbedarf entsprechend abzusichern.
Während das Verzeichnis der Verarbeitungstätigkeiten Informationen für die Auskunft liefern kann, wenn es zum Beispiel um Verarbeitungszwecke oder Aufbewahrungsfristen geht, können Lösungen aus dem Bereich Data Loss Prevention (DLP) ihre Funktionen zur Datensuche und zur Datenklassifizierung anbieten.
So gehört es zur Auskunft nach DSGVO, welche Kategorien personenbezogener Daten verarbeitet werden, mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten, dies aber kann eine IT-Sicherheitslösung zur Klassifizierung der Daten liefern.
Ebenso ist es für die IT-Sicherheit und auch für den Datenschutz wichtig, woher Daten kommen und wohin sie gegangen sind, um den Datenfluss und auch den möglichen, ungewollten Datenabfluss aufspüren zu können.
IAM und DLP zeigen, wie Synergien zwischen Datenschutz und IT-Sicherheit genutzt werden können
Anstatt also für den Datenschutz komplett neue Verfahren zu überlegen, wie die Identität bei einem Auskunftsersuchen geprüft werden kann, wie man Transparenz in die Datenhaltung bekommt und wie sich die Datenkategorien bestimmen lassen, sollten Unternehmen den reichen Fundus an Security-Funktionen einsetzen, wie die Beispiele IAM und DLP zeigen.
Davon profitieren Datenschutz und Security, denn Zusatzaufwände für den Datenschutz lassen sich verringern, und umgekehrt kann der Datenschutz weitere gute Argumente liefern, warum man zum Beispiel eine professionelle DLP-Lösung anschaffen sollte.
Ein Unternehmen muss (vorbereitend) geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann, so die Aufsichtsbehörden. Da macht es mehr als Sinn, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen.
IT-Sicherheit und Datenschutz gehören eng zusammen und sollten auch noch stärker zusammenarbeiten, um Synergien zu nutzen, wie das Beispiel Auskunftspflichten zeigt.
(ID:48938622)
:quality(80)/p7i.vogel.de/wcms/bf/7c/bf7cfe855452568979ffe8734d01b547/0106142858.jpeg "Die Betroffenenrechte nach DSGVO sind ein Herzstück des Datenschutzes und werden nicht leichtfertig zur Disposition gestellt. Aber es gibt durchaus Grenzen für Auskunftsersuchen, wie Gerichtsurteile zeigen. (Bild: duncanandison - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/f9/a5f94d69b0962182e74869466528f153/0107661578.jpeg "Unternehmen sollten nicht nur den Aufwand bei der Datenschutz-Dokumentation sehen, sondern auch die Vorteile: Sie kann nicht nur als Nachweis bei Prüfungen der Aufsicht oder im Fall einer Datenpanne dienen, sondern kann auch dabei helfen, Lücken in Abläufen und Prozessen aufzudecken. (Bild: khanchit - stock.adobe.com)")