pe3check - stock.adobe.com

Mit DSGVO-Compliance zum datensicheren Unternehmen

Häufig als Compliance-Bürde bezeichnet, bergen die Vorschriften der DSGVO aber auch zahlreiche Chancen für Unternehmen. So können sich Organisationen auf die Regularien einstellen.

Das mögliche Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) scheint noch nicht abschreckend genug zu sein.

Eine IDC-Studie hat ergeben, dass im August 2017, also weniger als ein Jahr bevor der neue Regelkatalog in Kraft tritt, nur etwas mehr als die Hälfte der befragten Unternehmen Maßnahmen umgesetzt haben, um die Compliance rechtzeitig sicherzustellen.

Viele sind dem Irrtum erlegen, dass ein Bußgeld erst fällig wird, wenn auch eine Datenschutzverletzung auftritt. Tatsächlich reicht es bei Kontrollbesuchen der Behörden lediglich als nicht-compliant eingestuft zu werden, um entsprechende Bußgelder zahlen zu müssen.

Manche sind auch der Meinung, einige wenige Maßnahmen wie Datenverschlüsselung reichen aus und bräuchten daher nicht viel Vorlaufzeit. In Wahrheit geht der vollständigen Compliance ein komplexer und langwieriger Prozess voraus.

Datensicherheit ist Pflicht

Das neue Regelwerk sieht keine allgemeine Lösung vor, anhand der sich Compliance erreichen lässt – vielmehr tummeln sich schwammige Ausdrücke wie „geeignete“ oder „angemessene Maßnahmen“ in den Vorgaben. Auch der „aktuelle Stand der Technik“, der zum Einsatz kommen soll, wird nicht näher spezifiziert. Das ist auch gar nicht die Absicht der neuen Gesetzgebung. Sie dient dem Zweck, einen verantwortungsvollen und transparenten Umgang mit Daten im Unternehmen zu etablieren und den Datenschutz sicherzustellen.

Da dieses Unterfangen heutzutage ohnehin in jedem Unternehmen Priorität haben sollte, gibt die Datenschutz-Grundverordnung (EU-DSGVO/GDPR) nur den rechtlichen Rahmen vor und versetzt CIOs in die Lage, mehr Ressourcen zu erhalten, um unkontrollierten Datenlecks zuvor zu kommen.

Dazu ist es zunächst nötig, sich darüber im Klaren zu sein, welche Daten wieso erhoben werden und wohin diese Daten fließen. Man muss also alle Datenflüsse und sämtliche Bestände, Silos und Verarbeitungsprozesse identifizieren.

Das allein ist schon schwierig genug. Wie der McAfee Report „Weltweite Erkenntnisse über den Speicherort von Daten“ (Data Residency Report) in 2017 ergab, wissen nur 47 Prozent der untersuchten Unternehmen jederzeit, wo sämtliche Daten gelagert werden. Im Umkehrschluss bedeutet das, dass 53 Prozent damit gegen die neuen Richtlinien verstoßen würden.

Im zweiten Schritt müssen die Verantwortlichen den Schutzbedarf der Daten feststellen und mithilfe von Datenschutzbeauftragten und rechtlicher Unterstützung die Strukturen anpassen, die erforderlich sind, um die nötige Kontrolle über die betriebsinternen Datenflüsse herzustellen. Sobald diese feststehen, können sie auch die Hilfe von Sicherheitstechnologien in Anspruch nehmen, um Datenkontrollen effektiv umsetzen zu können.

Hier ergibt sich zudem die Chance, die bisher größtenteils fragmentierte Lösungslandschaft, die sich im Laufe der Jahre angesammelt hat, durch ein einheitliches und integriertes Sicherheitssystem zu ersetzen.

Einzeln agierende Lösungen verschiedener Bereiche wie Antivirus-, Netzwerk-, oder Endgeräte-Schutz bedeuten nicht nur einen erheblichen administrativen Mehraufwand, sondern können auch eine technische Herausforderung darstellen, wenn sämtliche Lösungen nicht übergreifend miteinander kommunizieren, um sich über die neuesten Bedrohungen auszutauschen.

Das richtige technologische Rückgrat

Ein wesentlicher Bestandteil der DSGVO-Regelungen betreffen die Identifizierung von Daten sowie die Gewährleistung, dass nur autorisierte Mitarbeiter Zugriff auf diese erhalten, um Datenlecks zu verhindern.

Dabei helfen Data-Loss-Prevention-Lösungen (DLP), die unternehmensweit Daten erfassen und den Zugriff darauf regulieren.

Beim Schutz der zugehörigen Datenspeicher hingegen helfen Datenbank-Sicherheitslösungen. Diese bieten einen vollständigen Überblick über all Ihre Datenbanken sowie deren Sicherheitslage und gewährleisten, dass diese den internen Sicherheitsrichtlinien entsprechen.

Hans-Peter Bauer, McAfee

„Wer jetzt erst beginnt, sich mit der EU-DSGVO auseinanderzusetzen, dürfte Schwierigkeiten haben, zum Stichtag compliant zu sein. Allerdings bedeutet das nicht, dass es schon zu spät ist.“

 Hans-Peter Bauer, McAfee 

Diese Lösungen betreffen allerdings nur die Daten, die sich noch im Unternehmensnetzwerk befinden. Da Unternehmen aus Kosten- und Komfortgründen jedoch immer mehr Cloud-Anwendungen mit einbeziehen und ihre Daten dorthin migrieren, entziehen sie sich dadurch wieder den dort gelagerten Sicherheitslösungen.

Die Brücke zwischen On-Premises und der Cloud schlagen Cloud Access Security Broker (CASB). Diese unterstützen bei der Umsetzung von Sicherheits-Policies und Compliance-Richtlinien in der Cloud. Zudem sind sie in der Lage, Bedrohungen zu erkennen, die aus, beziehungsweise in die Cloud gelagert werden und diese zu sperren.

Trotzdem gewährleisten sämtliche Sicherheitslösungen kein 100-prozentiges Schutzniveau. Dies ist auch in den DSGVO-Richtlinien gar nicht vorgeschrieben, allerdings verlangt das Regelwerk den permanenten Überblick über sämtliche Daten und dadurch die Fähigkeit, eine Datenschutzverletzung oder einen Sicherheitsvorfall selbst zu erkennen und innerhalb von 72 Stunden (nachdem ihm die Verletzung bekannt wurde) an die zuständigen Kontrollbehörden zu melden.

Auch hier zeichnet der Data Residency Report jedoch ein erschreckendes Bild. Durchschnittlich dauert es nämlich momentan elf Tage, bevor ein Unternehmen einen Sicherheitsvorfall melden kann, also deutlich zu lange.

Anhand von Security Information and Event Management (SIEM) sind Unternehmen in der Lage, diese Zeit erheblich abzukürzen, da sie einen vereinheitlichten Überblick über ihre komplexen IT-Systeme erhalten. Ein Dashboard liefert Echtzeit-Einsichten in die aktuellen Vorgänge und protokolliert Vorfälle automatisch nach Prioritäten. Mitarbeiter müssen anschließend nur noch entscheiden, ob es sich hierbei um einen DSGVO-relevanten Vorfall handelt und können diesen anschließend weitergeben und dadurch wertvolle Zeit sparen.

Fazit

Auch wenn sie vielen Unternehmen ein Dorn im Auge ist: Die EU-DSGVO betrifft jeden und lässt sich nicht wegignorieren. Wer jetzt erst beginnt, sich damit auseinanderzusetzen, dürfte Schwierigkeiten haben, zum Stichtag compliant zu sein. Allerdings bedeutet das nicht, dass es schon zu spät ist. Denn die Strafzahlungen, die bei den Audits drohen, können milder ausfallen, wenn bereits Maßnahmen in die Wege geleitet wurden. Daher ist es nicht zu spät, sich sofort an die Umsetzung zu machen.

Über den Autor:
Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- und Informationstechnologie-Branche in seine Position ein.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur DSGVO wissen

Datenschutz-Grundverordung: Was sind personenbezogene Daten?

Schritt für Schritt: Die Datenschutz-Grundverordnung ist machbar

Erfahren Sie mehr über Datensicherheit