zurück zur Übersicht

Auswirkungen der EU-DSGVO auf die Sicherheitsarchitektur

Sie wirft ihre Schatten voraus, die EU-Datenschutzgrundverordnung (kurz EU-DSGVO, engl. GDPR), deren Anforderungen europäische Unternehmen bis zum 25. Mai 2018 erfüllen müssen. Mit dem Inkrafttreten der EU-DSGVO wird die Komplexität verschiedener lokaler Datenschutzverordnungen in Europa abgeschafft. In einer wirtschaftlichen Epoche, in der der Motor für Wachstum Informationen sind und Daten das neue Öl darstellen, macht die EU-DSGVO den europäischen Datenschutz zukunftsfähig. In einem früheren Beitrag hat Kollege Tobias Knieriem kurz und bündig die Grundlagen des GDPR zusammengefasst.

Heute beschäftigen wir uns mit den konkreten Folgen und dem Handlungsbedarf, der sich daraus ergibt.

Der gläserne Konsument und Bürger?

Technologische Entwicklungen im Bereich Mobile- und Cloudcomputing, Social Media aber vor allem Big Data und Data Analytics entwickeln sich immer schneller. Speziell die Möglichkeiten, große Datenmengen unterschiedlichster Quellen schnell und individuell zu analysieren und auszuwerten (sog. Profiling) sind aus Sicht des Datenschutzes relevant. Profiling ermöglicht zielgerichtete Aktionen und Entscheidungen, wie z.B. individualisierte Werbung oder dynamische Preise im Supermarkt. Möglich sind auch hochauflösende Darstellungen über potentielle Wähler einer Partei oder Kunden einer Versicherung, aber auch gezielte Desinformation. Derartiges wird durch die EU-DSGVO nicht grundsätzlich verhindert, aber in den Möglichkeiten eingeschränkt und sanktionierbar, sollte keine Zustimmung zur Datenerhebung und Verarbeitung seitens des betroffenen Individuums vorliegen.

Die EU-DSGVO betrifft alle Behörden und Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Dabei erstreckt sie sich auch auf Unternehmen, die Daten von EU-Bürgern verarbeiten, ohne dabei eine physische Präsenz in der EU zu haben. Personenbezogene Daten sind dabei „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs. 1).

Personenbezogene Daten sind in jedem Unternehmen und jeder Behörde vorhanden. Dies umfasst Bürgerdaten, Daten von Mitarbeitern, Angestellten und Kunden, Gesundheitsdaten oder Daten, die beispielsweise im Rahmen von IoT-Anwendungen wie Fitness Apps, Smart Home Systeme oder Connected Cars gesammelt werden, aber auch zum Beispiel IP-Adressen oder Cookie-IDs.

Wissen wir, was wir überhaupt wissen?

Betroffene Organisationen müssen zunächst herausfinden, über welche personenbezogenen Daten sie verfügen, wo sich diese Daten befinden und wer darauf Zugriff hat. Selbst das Speichern von Daten, ohne dass diese weiterverarbeitet werden, fällt bereits unter die EU-DSGVO. IT-Dienstleister können Unternehmen dabei mit einem EU-DSGVO Readiness Assessment und übergreifenden IT- und Informationssicherheitsreifegradanalysen unterstützen. Auch bei der Identifizierung von personenbezogenen Daten in Anwendungen und Prozessen, sowie der notwendigen Dokumentation in Data Inventories und Datenflussdiagrammen kann professionelle Unterstützung helfen.

Schnelle Reaktionszeit wird bald Pflicht

Vor allem beim Reporting von Verstößen gegen die EU-DSGVO, die innerhalb von 72 Stunden gemeldet werden müssen, sind noch große Anstrengungen notwendig. Denn die schnelle Erkennung von Verletzungen der EU-DSGVO und die Erfüllung der Meldepflicht bedingt drei notwendige Erfolgsfaktoren moderner IT-Sicherheitsarchitekturen:

  1. Erkennungsfähigkeit

Benötigt werden technische, aber auch organisatorische Möglichkeiten, Verstöße (gleich welcher Art) schnell und effektiv zu erkennen. Das setzt nicht nur eine genaue Kenntnis der Datenverarbeitungsprozesse voraus, sondern auch die Implementierung adäquater technischer Überwachungsmaßnahmen entlang der Prozesskette.

  1. Reaktionsfähigkeit

Technische und organisatorische Maßnahmen um entsprechende Reaktionen auf einen Vorfall einzuleiten müssen eingeführt werden. Da die Zeit zwischen Erkennung und Meldung nur 72 Stunden beträgt, müssen die zum Einsatz kommenden Technologien mit automatisierten Prozessen unterstützt werden. Die bloße Erkennung eines Vorfalls bedeutet noch nicht, dass eine Meldepflicht vorliegt. Allerdings kann überhaupt nur auf Vorfälle reagiert werden, die auch erkannt worden sind.

  1. Personal

Gut ausgebildetes Personal, das ganzjährig 24×7 zur Verfügung steht, um bei entsprechenden Alarmen und Vorfällen in die Triage der Vorfallsbehandlung eingreifen kann, ist notwendig. Da das benötigte Fachpersonal derzeit am Markt nur schwer zu beschaffen ist, können Konzepte wie Managed Security Services oder Managed Incident Detection und Response für die Vorfallserkennung und Behandlung außerhalb der Dienst-und Geschäftszeiten ergänzende Lösungsmöglichkeiten darstellen.

Welche Schritte Unternehmen jetzt einleiten sollten:

Artikel 5 der EU-DSGVO fordert dazu auf, dass Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, […] durch geeignete technische und organisatorische Maßnahmen“.

Dies bedeutet jedoch nicht, dass jede x-beliebige Sicherheitstechnologie nun blindlings zum Schutz der Daten angeschafft werden muss. Artikel 32 Abs. 1 führt dazu an, dass für die Sicherheit und zur Gewährleistung der Verarbeitung von personenbezogenen Daten ein angemessenes Schutzniveau durch geeignete technische und organisatorische Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“  zu treffen sind.

IT-Sicherheitsverantwortlichen sind die dazu in Artikel 32 genannten Maßnahmen nicht neu, kommen sie doch bereits seit langem im Aufbau von Sicherheitsarchitekturen vor. So werden als Maßnahmen Möglichkeiten zur Pseudonymisierung und Verschlüsselung, aber auch die „Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ genannt. Vor allem die genannte Vertraulichkeit, Integrität und Verfügbarkeit sind die bekanntesten und wichtigsten Schutzziele von Informationssystemen.

Unternehmen sind gut beraten, wenn sie die Anforderungen der EU-DSGVO in eine ganzheitlichen IT- und Informationssicherheitsstrategie einbetten und bereits eingeführte Maßnahmen mit den hinzukommenden Maßnahmen abgleichen. Ein solches Sicherheitsmodell umfasst 4 wesentliche Schritte und kann durch die in Klammern angeführten technisch-organisatorischen Maßnahmen erreicht werden:

  • Vorbereiten: Verständnis über personenbezogene Daten und Prozesse erlangen und eine Risikobewertung durchführen (Data Inventory, Daten Klassifizierung, Datenflussdokumentation, Schutzbedarfsfeststellung und Risikoanalalyse)
  • Schützen: Schutz der persönlichen Daten vor Angriffen von außen und Missbrauch von innen sicherstellen (Data Loss Prevention, Datenbanksicherheit, Berechtigungsmanagement, Verschlüsselung)
  • Erkennen: Bereitstellung schneller Erkennung und Auswirkungen der Schutzverletzung verstehen (Aufbau eines Security Operation Centers/Cyber Defense Centers, Einführung eines SIEM Systems)
  • Reagieren: Effektive und effiziente Reaktion zur Einhaltung der Compliance und Risikominderung (Erkennung und Berichten von Datenschutzverletzungen, Rapid Response Services, integriertes Incident- , Change- und Konfigurationsmanagement)

Fazit

Die EU-DSGVO setzt zwar (besonders in der Meldepflicht) bestimmte Vorgaben. Daraus ergeben sich auch Anforderungen an die IT-Sicherheit. Unternehmen, die bereits einen hohen Reifegrad der IT- und Informationssicherheit aufweisen richten ihre Sicherheitsziele in der Praxis ohnehin konsequent am Schutz von Informationen und verarbeitenden Systemen aus. Dadurch sollten sie bereits jetzt über die meisten Voraussetzungen verfügen, um relativ problemlos EU-DSGVO-Compliance zu erreichen. Eine Überprüfung unter den EU-DSGVO Vorgaben wird aber dennoch empfohlen und Unternehmen sollten professionelle Hilfe in Anspruch nehmen, um in der relativ knappen Zeit bis zum Inkrafttreten die Anforderungen erfüllen zu können.

Schreibe einen Kommentar