Datenschutz und Compliance

Vorschriften-Vielfalt fordert Unternehmen

| Autor / Redakteur: Marcel Mock* / Stephan Augsten

Konstante Veränderung der Regularien

Eine weitere Schwierigkeit ergibt sich auch aus den sich ständig ändernden Regeln. Diese müssen mit der technologischen Entwicklung und der geänderten Bedrohungslage konstant Schritt halten. Ein gutes Beispiel dafür ist wiederum PCI DSS. Mitte April veröffentlichte das PCI Security Standards Council Version 3.1 des Standards, obwohl die Anforderungen der vorherigen PCI-DSS-Version 3.0 erst seit 1. Januar 2015 gültig waren.

Grund dafür war das Bekanntwerden einer Reihe kritischer Schwachstellen im Verschlüsselungsprotokoll SSL, auf die das Standards Council reagieren musste. Das illustriert, dass Unternehmen sich hinsichtlich Compliance – ebenso wie bei der IT-Sicherheit generell – nie zurücklehnen und mit dem Status Quo zufrieden geben können. Es handelt sich um einen kontinuierlichen Prozess, da sich einerseits die Regularien ändern und neue Gesetze hinzukommen können.

Andererseits unterliegen auch die Prozesse und IT-Ausstattung des Unternehmens stetigen Änderungen: Neue Systeme werden angeschafft, die Daten sammeln und verarbeiten. Falls diese zuvor noch nicht erfasst wurden, gilt es zu klären, ob sie Compliance-relevant sind.

Die Vielfalt der Compliance-Regeln führt auch dazu, dass die Bestimmungen ganz unterschiedlich detailliert ausgelegt sind. Gesetze wie das Bundesdatenschutzgesetz, die höchstens alle paar Jahre geändert werden, formulieren allgemein und vergleichsweise vage, dass Daten durch geeignete Maßnahmen zu schützen sind.

Das BDSG nennt zwar explizit die Verschlüsselung, das Beispiel von PCI DSS zeigt jedoch, dass es Bestimmungen gibt, die wesentlich ausführlicher sind und die ganz konkret das zu nutzende Verschlüsselungsprotokoll inklusive Version vorschreiben.

Nachvollziehbarkeit und Transparenz sind entscheidend

Es gilt: Im Hinblick auf die Vielzahl und Verschiedenheit der zu beachtenden Compliance-Vorschriften sollten sich Unternehmen für Lösungen entscheiden, die ebenfalls eine Vielzahl von Standards und Protokollen abdecken und dabei immer dem aktuellen Stand der Technik entsprechen, um mit Bedrohungen und Compliance-Regeln Schritt halten zu können.

Die meisten Unternehmen führen außerdem regelmäßig Sicherheits-Audits durch, um die Einhaltung von HIPAA, PCI DSS, EU-Regeln oder einem der vielen anderen Compliance-Standards zu überprüfen und nachzuweisen. Für diese Organisationen gehört die Auditfähigkeit (Auditability) zu den zentralen Anforderungen an eine IT-Lösung.

Das bedeutet, das System muss in der Lage sein, alle Aktionen und Ereignisse in Zusammenhang mit den verwalteten Daten unveränderbar aufzuzeichnen. Nur so lässt sich die Nachvollziehbarkeit und Transparenz erreichen, die für das Umsetzen der verbindlichen Compliance-Vorgaben erforderlich sind.

Darüber hinaus sollte Compliance jedoch kein Selbstzweck sein. Auch wenn es nicht zur Ahndung von Vergehen kommt, jede Datenschutzverletzung kann Imageschäden, Vertrauenseinbußen von Kunden oder aber den Verlust geistigen Eigentums nach sich ziehen.

Marcel Mock
Marcel Mock (Bild: totemo)

* Über den Autor

Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. Davor war er als Head of Software Development bei WebSemantix AG sowie als Consultant bei IBM Deutschland tätig.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43669040 / Compliance und Datenschutz )