typomaniac - Fotolia
EU-DSGVO: Was man nicht sieht, kann man nicht schützen
Tiefgehende Einblicke in die eigenen Datenströme haben und dennoch die relevanten Daten richtig schützen – das ist eine der vielen Herausforderungen, die mit der DSGVO einhergehen.
Die Datenschutz-Grundverordnung der EU ist ein Game Changer beim Datenschutz – weit über europäische Unternehmen hinaus. Zum einen haben sich die Bestimmungen zum Datenschutz teils deutlich verschärft, und zum anderen drohen bei Verstößen erstmals wirklich empfindliche Strafen. Doch viele Unternehmen wissen heute noch nicht einmal genau, welche Daten sie überhaupt wo und wie speichern, verarbeiten oder übertragen. Eine umfassende Visibility-Architektur ist daher eine wichtige Voraussetzung für die DSGVO-Konformität.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union führt einer stärkeren Harmonisierung des Datenschutzes für natürliche Personen in der gesamten EU. Etliche Unternehmen haben bereits kurz nach der Veröffentlichung der Verordnung im Amtsblatt der Europäischen Union im Mai 2016 damit begonnen, Maßnahmen zur Sicherstellung der Konformität zu planen und umzusetzen. Dennoch sind bis zum Ablauf der Übergangsfrist im Mai 2018 viele Unternehmen in Zeitdruck gekommen, ihre IT anzupassen. Bis zum 25. Mai 2018 galt es, alle Maßnahmen umgesetzt zu haben, die erforderlich sind, um die Konformität sicherzustellen. Ansonsten drohen empfindliche Geldbußen.
Zum einen verlangt die DSGVO von allen Unternehmen, die Geschäfte mit in der EU ansässigen Verbrauchern machen, dass sie personenbezogene Daten dieser Kunden entsprechend der Vorschriften sichern und behandeln – sowohl während einer Übertragung als auch auf Speichermedien. Zum anderen müssen sie sicherstellen, dass diese Daten nicht in andere Länder übertragen werden, in denen geringere Sicherheitsstandards herrschen. Die DSGVO hat daher erhebliche Auswirkungen darauf, wie Unternehmen welche personenbezogenen Daten erheben, verarbeiten, speichern und weitergeben. Erschwerend kommt hinzu, dass der Begriff der personenbezogenen Daten sehr weit gefasst ist – er umfasst sämtliche privaten und beruflichen Daten wie Namen, Adressen, Fotos, Telefonnummern und E-Mail-Adressen, Bankdaten, Postings auf sozialen Medien, medizinische Informationen und sogar IP-Adressen.
Die DSGVO ist ein facettenreiches Regelwerk, das sich auf die IT-Infrastruktur, die Prozesse und die Mitarbeiter auswirkt. Zunächst einmal wissen viele Unternehmen heute gar nicht genau, welche Daten sie eigentlich wo speichern und wie diese sich durch ihre Netze bewegen. Neben der Datensicherheit, also der Vermeidung von Datenlecks und Datendiebstahl, steht daher die sogenannte Visibility im Vordergrund, also die Fähigkeit, alle Datenbewegungen im Detail zu analysieren und nachzuverfolgen.
Einsicht in alle Datenströme notwendig
Schon allein um nachvollziehen zu können, wohin welche Daten gesendet werden, benötigen Unternehmen eine umfassende Visibility-Architektur, die ihnen eine Echtzeitsicht auf alle Datenströme ermöglicht. Dabei spielt es eine Rolle, ob die Daten verschlüsselt sind oder nicht – sind sie es nicht, müssen sie gegebenenfalls auf geeignete Weise pseudonymisiert werden. Die DSGVO definiert Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“. Um einen Datensatz zu pseudonymisieren, müssen diese zusätzlichen Informationen „gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.
Die Tatsache, dass auch IP-Adressen als personenbezogene Daten gelten, macht die Angelegenheit noch komplizierter. Tatsächlich stellt sie im Prinzip alle traditionellen Ansätze für Visibility auf den Kopf. Statt das Netzwerk für tiefgehende Analysen durch leistungsfähige Tools zu öffnen, verlangt die DSGVO, den Fluss von persönlichen und vertraulichen Daten einzuschränken. Eine Visibility-Architektur muss daher auch in der Lage sein, IP-Adressen zu schützen – etwas, für dessen Gegenteil sie im Prinzip entwickelt wurde. Zum Glück gibt es jedoch Visibility Tools, die Datenmaskierung beherrschen und so dieses Problem lösen können. Sie wurden ursprünglich entwickelt, um sogenannte PII-Daten (Personally Identifiable Information) etwa bei Kreditkartentransaktionen zu schützen, eignen sich jedoch auch ideal als Werkzeuge zur Erlangung der DSGVO-Konformität. Voraussetzung ist, dass sie flexibel sind und dem Administrator erlauben, jedes beliebige Datenfeld zu maskieren, sei es die Kreditkartennummer, die Anschrift oder eben die IP-Adresse.
Die Datenmaskierung arbeitet zudem Hand in Hand mit der Entschlüsselung von SSL-Verkehr. Da immer mehr Cyberattacken sich in verschlüsseltem Verkehr verstecken, ist es notwendig, diesen zu entschlüsseln, von Sicherheits-Tools inspizieren zu lassen und wieder zu verschlüsseln, bevor er an das endgültige Ziel weitergeleitet wird. Für die Inspektion können personenbezogene Daten im nun unverschlüsselten Verkehr maskiert werden, um den Bestimmungen der DSGVO zu entsprechen.
Konform auch in der Cloud
Besondere Anforderungen stellen hybride Umgebungen, in denen das eigene Rechenzentrum durch Cloud Services ergänzt wird. Wenn eine Organisation personenbezogene Daten sowohl vor Ort als auch in einer Cloud verarbeitet, ist die Verschlüsselung zwischen den beiden Domains praktisch obligatorisch. Die Datenmaskierung muss dann über geeignete Tools auf die Cloud-Umgebung erweitert werden.
In privaten Cloud-Umgebungen wird eine Visibility-Architektur benötigt, die den gesamten Netzwerkverkehr, abgreifen, analysieren und zur Weiterleitung an einen Network Packet Broker tunneln kann. Zudem muss sie die Datenmaskierung implementieren. Für außereuropäische Unternehmen ist zudem of die Integration von Geolocation sinnvoll, um Daten aus der EU sicher identifizieren zu können.
„Arbeitet ein Unternehmen mit Public Clouds, so muss es den Cloud-Provider mit ins Boot nehmen, um DSGVO-Compliance zu erreichen.“
Christian Hirsch, Keysight Technologies
Arbeitet ein Unternehmen mit Public Clouds, so muss es den Cloud-Provider mit ins Boot nehmen, um DSGVO-Compliance zu erreichen. Ein guter Start ist hier die Zusammenarbeit mit einem der in CISPE-Initiative (Cloud Infrastructure Services Providers in Europe) zusammengeschlossenen Provider. Bei CISPE handelt es sich um eine Gruppe von gut 20 EU-basierten und globalen Cloud Service Providern, die einen Code of Conduct für den Schutz personenbezogener Daten entwickelt haben, die als Vorlage für ein Framework für DSGVO-Compliance dienen kann. Dier erleichtert die Konformität, aber letztlich bleibt natürlich das Unternehmen selbst für die Einhaltung aller Bestimmungen verantwortlich.
Neben der Visibility über physische und virtuelle Netzwerke müssen die Betreiber auch sicherstellen, dass ihr Netzwerk robust ist und die personenbezogenen Daten vor Lecks und Abhören geschützt sind. Um das zu gewährleisten, benötigt man neben der Visibility-Architektur auch eine umfassende Testumgebung, die echten Datenverkehr mit realistischem Volumen emulieren kann. Dabei müssen sowohl legitimer Verkehr mit personenbezogenen Daten als auch Cyberangriffe mit teils sehr hohen Datenraten wie etwa DDoS-Attacken berücksichtigt werden. Nur umfassende und fortlaufende Tests unter realen Lastbedingungen können gewährleisten, dass vorhandene Sicherheitslösungen illegitimen Verkehr zuverlässig unterbinden, ohne legitimen Traffic zu beeinträchtigen.
Über den Autor:
Christian Hirsch ist Systems Engineer bei Keysight Technologies.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!