Sensible Daten im Fokus: Durch die neue EU-Datenschutzgrundverordnung soll unter anderem der Schutz personenbezogener Daten EU-weit vereinheitlicht und sichergestellt werden. Bild: Pixabay

Sensible Daten im Fokus: Durch die neue EU-Datenschutzgrundverordnung soll unter anderem der Schutz personenbezogener Daten EU-weit vereinheitlicht und sichergestellt werden. Bild: Pixabay

Am 25. Mai 2018, also in nicht einmal mehr einem Jahr, tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese löst das seit 1995 gültige Bundesdatenschutzgesetz ab und definiert den Umgang mit sensiblen Daten in Unternehmen, um diese besser zu schützen. In einer Bitkom-Umfrage gaben allerdings nur 34 Prozent der befragten Unternehmen an, bereits erste Maßnahmen begonnen oder umgesetzt zu haben. Dabei drohen hohe Bußgelder schon bei Nichteinhaltung der Compliance-Regeln und nicht erst bei Datenverlust- ganz abgesehen von der Rufschädigung, wenn bekannt wird, dass das Unternehmen nicht den Compliance-Ansprüchen gerecht wurde. Es wird also Zeit, die Weichen auf eine sicherere IT-Infrastruktur zu stellen und sich mit den wichtigsten Fragen zur eigenen Datensicherheit zu beschäftigen.

1. Wissen wir, wo unsere sensiblen Daten gespeichert werden?

Heutzutage sind Daten überall verteilt und liegen im hauseigenen Rechenzentrum, auf Mobilgeräten oder in der Cloud. Sobald sie sich außerhalb des Unternehmensnetzwerkes befinden sind sie noch stärker der Gefahr von Angriffen oder Missbrauch ausgesetzt. Viele Programme zum Schutz vor Datenverlust versagen allerdings, wenn die wichtigen Aufbewahrungsorte, Anwendungen und geschäftlichen Abläufe nicht gänzlich bekannt sind. Unternehmen sollten daher die Implementierung eines Programms zur kontinuierlichen Datenerkennung und -klassifizierung in Betracht ziehen.

2. Nutzen wir Verschlüsselung zum Schutz der Daten?

Verschlüsselung ist eine wichtige Maßnahme zur Minimierung der Folgen von Datenlecks. Sie sollte überall dort angewendet werden, wo Daten gespeichert oder transferiert werden, beispielsweise in Cloud-Diensten, denn schließlich kann jede vertrauliche Datei, die in der Cloud landet, zu einer Verletzung der neuen Richtlinien führen. Darüber hinaus können Strafen bei Datenverlusten milder ausfallen, wenn Unternehmen nachweisen können, dass ihre Daten verschlüsselt waren. Unternehmen sollten immer einen Überblick über den Verschlüsselungsstatus haben und unverschlüsselte Geräte oder Datenflüsse mit automatisierten Korrekturmaßnahmen schützen.

3. Sind wir in der Lage, Datenkompromittierungen zu identifizieren und darauf zu reagieren?

Statistisch betrachtet werden mehr als die Hälfte aller Datenkompromittierungen von externen Unternehmen entdeckt. Daher sollte IT-Sicherheit ohnehin im Fokus der alltäglichen Arbeit stehen. Angesichts der Tatsache, dass die DSGVO eine Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen innerhalb von 72 Stunden ab dem Zeitpunkt der Entdeckung eines Vorfalls durch das Unternehmen verlangt, ist es überaus wichtig, dass man über die Fähigkeit verfügt, potenzielle Datenkompromittierungen zu erkennen und diese entsprechend zu melden. Hilfreich sind hier u.a. Lösungen im Bereich des Security Information und Event Managements (SIEM). Sie überwachen Verstöße gegen die Datenschutzauflagen und leiten bei Sicherheitsverletzungen automatisch Gegenmaßnahmen ein. Darüber hinaus empfehlen sich Lösungen für Data Loss Prevention und Datenbanksicherheit, um ganzheitliche Datensicherheit zu gewährleisten.

4. Wo speichern und verarbeiten unsere Cloud-Service-Anbieter die erfassten Daten?

Der Speicherort von Daten stellt möglicherweise das größte Problem dar, wenn es um Cloud-Dienste und die Vorbereitung auf die DSGVO geht. Verfügt Ihr Cloud-Anbieter über Rechenzentren in der EU oder ausschließlich in den USA? Wo speichert und verarbeitet er diese Daten? Werden die Daten von der EU in die USA verschoben? Dies sind einige der drängendsten Fragen in diesem Bereich. Durch Verschlüsselung der zu schützenden Daten und der eigenständigen Verwaltung der Schlüssel und Zugangsmöglichkeiten können Unternehmen die Hoheit über ihre Informationen, unabhängig vom Standort, bewahren und somit diesen Unsicherheiten begegnen.“

5. Wie nutzt unser Cloud-Service-Anbieter die erfassten Daten?

Anbieter sind verpflichtet, Ihnen mitzuteilen, wie sie ggf. die über den Dienst erfassten Daten nutzen und wie sie die Informationen schützen. Viele Unternehmen nutzen erfasste Daten für Analysen oder andere rechtmäßige Zwecke. Diese sollten jedoch kein zusätzliches Risiko für Sie darstellen.

 

Lesen Sie zum Thema auch den Beitrag: "Neue Datenschutzverordnung: Was die Industrie beachten muss" von den Autoren Tilman Dralle und Thomas Werner, TÜV Rheinland

 

Über den Autor und das Unternehmen

  • Hans-Peter Bauer ist Vice President Central Europe bei McAfee. Er wechselte zum 1. Januar 2008 von Juniper Networks, wo er zuletzt als Vice President für das Enterprise-Geschäft in EMEA verantwortlich war. Er bringt eine mehr als 20-jährige Erfahrung in der Computer- u. Informationstechnologie-Branche in seine Position ein.
  • McAfee ist nach eigenen Angaben eines der weltweit führenden unabhängigen Cyber-Security-Unternehmen. Es entwickelt Lösungen, um eine sichere Welt für Geschäfts- sowie Privatkunden zu schaffen.