Gesponsert

Compliance-Nachweise und Kontrollverfahren Wie Sie sich auf die Zertifizierung nach DSGVO vorbereiten sollten

Lange wurde auf sie gewartet, nun ist die Zertifizierung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung) in greifbarer Nähe. Unternehmen tun gut daran, sich auf eine mögliche Zertifizierung vorzubereiten. Wichtig sind geeignete Compliance-Nachweise und Verfahren, die die Einhaltung von Richtlinien sicherstellen. Das gilt insbesondere auch für die Passwortrichtlinie.

Gesponsert von

Unternehmen, die sich auf eine DSGVO-Zertifizierung vorbereiten wollen, haben viele Baustellen vor sich, darunter auch die Passwortsicherheit und das Passwortmanagement.
Unternehmen, die sich auf eine DSGVO-Zertifizierung vorbereiten wollen, haben viele Baustellen vor sich, darunter auch die Passwortsicherheit und das Passwortmanagement.
(Bild: iStock - Golden Sikorka)

Datenschutz muss nachgewiesen sein

Zertifizierungen nach der Datenschutz-Grundverordnung (DSGVO) werden künftig bei der Wahl von Dienstleistern und auch beim internationalen Datentransfer eine Rolle spielen, so erwarten es viele Datenschützer.

Offensichtlich hat dann ein Zertifikat, das ein angemessenes Datenschutzniveau nach DSGVO bescheinigt, einen Wettbewerbsvorteil für den Inhaber. Entsprechend hoffen und warten viele Unternehmen seit Anwendung der DSGVO auf die Möglichkeit, ihre Verarbeitung personenbezogener Daten zertifizieren lassen zu können.

DSGVO-Zertifikate können in naher Zukunft helfen

Nun zeichnet sich ab, dass es noch in diesem Jahr DSGVO-Zertifizierungen geben wird: Die Anforderungen an die Akkreditierung von Zertifizierungsstellen sind vorhanden. Sobald die ersten Zertifizierungsstellen anerkannt sind und die Zertifizierungsprogramme damit stehen, können auch Zertifikate nach DSGVO vergeben werden.

Eine Zertifizierungsstelle benötigt dazu eine Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS) zusammen mit der Befugniserteilung durch die zuständige Datenschutz-Aufsichtsbehörde. Mehrere Zertifizierungsprogramme befinden sich bereits im Akkreditierungsprozess, so die DAkkS.

Während die Vorbereitungen für Zertifizierungsstellen und Zertifizierungsprogramme nun weit fortgeschritten sind, steht es um den Datenschutz der Unternehmen, die sich womöglich zertifizieren lassen wollen, noch nicht so gut.

Mehr zu Specops Password Security erfahren

Unternehmen sollten sich auf eine Zertifizierung vorbereiten

Der Password Policy Compliance-Bericht in Specops Password Auditor bietet einen Überblick über die Richtlinien im Active Directory (oder dem Teil des AD, der zu Beginn des Scans definiert wurde) und die Einhaltung von Compliance-Vorgaben für Passwörter
Der Password Policy Compliance-Bericht in Specops Password Auditor bietet einen Überblick über die Richtlinien im Active Directory (oder dem Teil des AD, der zu Beginn des Scans definiert wurde) und die Einhaltung von Compliance-Vorgaben für Passwörter
(Bild: Specops Software)

In den vergangenen Jahren haben die Probleme bei der DSGVO-Umsetzung nicht wirklich abgenommen, das Gegenteil ist der Fall, so eine Umfrage des Digitalverbands Bitkom. Unverändert schwierig sind demnach die technische Umsetzung, sie behindert 34 Prozent, einen Mangel an qualifizierten Beschäftigten haben 33 Prozent.

Eine große Herausforderung stellt dabei die Sicherheit der Verarbeitung personenbezogener Daten dar. Wie die „Anforderungen an datenschutzrechtliche Zertifizierungsprogramme (Datenschutzrechtliche Prüfkriterien, Prüfsystematik und Prüfmethoden)“ der Datenschutzaufsichtsbehörden des Bundes und der Länder zeigen, müssen Unternehmen, die Zertifizierungsprogramme nach DSGVO bestehen wollen, hohe Maßstäbe an die Datensicherheit erfüllen und die Wirksamkeit der Maßnahmen nachweisen können.

Wie die geforderten Prüfkriterien und Prüfmethoden für eine DSGVO-Zertifizierung zeigen, müssen die Unternehmen unter anderem rechnen mit

  • einer Prüfung der Spezifikation und der Schutzkonzepte hinsichtlich des Stands der Technik und der Konsistenz der einzelnen Maßnahmen (wie Berechtigungskonzept, Identitätsmanagement, Authentifizierung und Autorisierung, Revisions- und Protokollierungskonzept) und
  • einer Kontrolle, ob es eine angemessene Verifikation der Maßnahmenumsetzung gibt, sprich: ob die Unternehmen auch überprüfen, ob ihre Schutzmaßnahmen wirksam sind.

Unternehmen mit einer lückenhaften Passwortsicherheit können die Anforderungen einer DSGVO-Zertifizierung wohl kaum erfüllen. Viele Unternehmen haben aber Probleme damit, eine gute Passwortrichtlinie zu definieren, sie durchzusetzen und die Umsetzung zu überwachen.

Das zeigt sich auch eindrucksvoll an diesen Zahlen: Specops Software, Anbieter von Passwort Management- und Authentifizierungslösungen, führt eine Datenbank mit bereits 2,4 Milliarden kompromittierten Passwörtern aus Sicherheitsverletzungen rund um den Globus, und die Zahl der kompromittierten Passwörter wächst und wächst.

Specops Password Auditor

So hilft Specops Password Policy bei der Datenschutz-Zertifizierung

Unternehmen, die sich auf eine bald mögliche DSGVO-Zertifizierung vorbereiten wollen, haben viele Baustellen vor sich, darunter auch die Passwortsicherheit und das Passwortmanagement. Nicht für alle Baustellen gibt es bereits hilfreiche Lösungen und Tools. Wenn es um die Passwortrichtlinie, deren Definition und Durchsetzung geht, gibt es dies aber.

Zur Vorbereitung auf eine Datenschutz-Zertifizierung sind Compliance-Berichte wichtig, wie diese Zusammenfassung, die bestehende Compliance-Probleme bei der Passwortsicherheit aufführt
Zur Vorbereitung auf eine Datenschutz-Zertifizierung sind Compliance-Berichte wichtig, wie diese Zusammenfassung, die bestehende Compliance-Probleme bei der Passwortsicherheit aufführt
(Bild: Specops Software)

Wer in Vorbereitung auf eine Datenschutz-Zertifizierung bewerten möchte, wie gut die bestehenden Passwortrichtlinien mit verschiedenen Compliance-Standards übereinstimmen, kann von einem kostenlosen Scan mit Specops Password Auditor profitieren. Einer der von Password Auditor bereitgestellten Berichte ist der Report „Einhaltung der Kennwortrichtlinie“. Solche Berichte helfen dabei, das eigene Unternehmen auf die Prüfungen durch eine Zertifizierungsstelle vorzubereiten.

Mit Specops Password Auditor haben Unternehmen ein Tool an der Hand, dass hilft, den Angriffsvektor schwache Passwörter zu minimieren. Das Audit-Tool kann dazu verwendet werden, um Sicherheitsschwächen im Zusammenhang mit Benutzerkonten zu identifizieren. Die Prüfung zeigt, welche Benutzer Administratorrechte haben, welche Konten inaktiv sind und welche Konten abgelaufene Passwörter haben.

Die Prüfung hilft auch dabei zu erkennen, welche Konten möglicherweise die Sicherheitsrichtlinien verletzen. Anhand der Ergebnisse der Überprüfung lassen sich konkrete Maßnahmen zur Verbesserung von Passwortrichtlinien ableiten, die mit der Lösung Specops Password Policy schnell und einfach in Active Directory implementiert werden können.

Specops Password Policy

Um ein Verfahren zur Durchsetzung und zum Nachweis der Passwortrichtlinien einzuführen, sollten Unternehmen sich ein Tool wie Specops Password Policy ansehen. Wer Hilfe bei der Befürwortung des Budgets benötigt, kann die Ergebnisse in Specops Password Auditor nutzen. Hier gibt es eine Zusammenfassung, die bestehende Compliance-Probleme bei der Passwortsicherheit aufführt und die Geschäftsleitung darüber informiert, wo es zum Beispiel im Bereich Passwortsicherheit Handlungsbedarf gibt, damit der Datenschutz zertifiziert werden kann.

Ergänzendes zum Thema
Weitere Informationen

Vereinbaren Sie noch heute eine kostenlose Live-Demo von Specops Password Policy und sehen Sie selbst, wie einfach es damit ist, eine gute Passwortrichtlinie zu definieren, durchzusetzen und die Compliance nachzuweisen, ein wichtiger Baustein auf dem Weg zur Datenschutz-Zertifizierung.

(ID:48022646)