Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft und gilt für alle Unternehmen, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten. Diesen Firmen bleibt also noch ein Jahr Vorbereitungszeit, bis sie diese gesetzlichen Anforderungen erfüllen müssen. Aber was sollten Unternehmen heute schon beachten, was müssen sie wissen, und wie bereiten sie sich am besten darauf vor?
Florian van Keulen, Principal Consultant Cloud & Security und Sicherheitsbeauftragter beim IT-Dienstleister Trivadis, dazu im Interview:
Noch ist es ja ein Jahr hin, bis die neue EU Datenschutzgrundverordnung (EU-DSGVO) in Kraft tritt oder besser gesagt, die Gesetze der EU-Mitgliedsstaaten darauf angepasst sein müssen. Warum sollten sich Unternehmen bereits heute mit dem Thema beschäftigen?
Florian van Keulen: Die Anforderungen der DSGVO bedeuten für die meisten Unternehmen, dass sie neue Funktionen und Prozesse in vielen Bereichen der Datenverarbeitung benötigen. Diese führt man nicht von heute auf morgen ein, weder technisch noch organisatorisch. Insbesondere geht es darum, Anwendungen, die wir heute als selbstverständlich erachten, auch aus der Perspektive des Datenschutzes zu betrachten.
Beispielsweise ist das Konzept der Trusted Zones, also Zonen in denen der Umgang mit Daten per se abgesichert erfolgt, überholt. Der Datenzugriff von überall und mit mobilen Endgeräten ist für Information Worker quasi Standard. Er bewegt sich also grundsätzlich in einer unsicheren Zone, die mit klassischen Sicherheitsprinzipien nicht abgesichert werden kann. Demzufolge muss aber gewährleistet werden, dass der Datenzugriff nur von autorisierten Personen erfolgt.
Auch neue Anwendungsszenarien unter dem Stichwort Digitalisierung erfordern neue Konzepte für den Datenschutz. Mit dem Internet der Dinge und Technologien wie Big Data fallen Datenberge an, die häufig höchst vertrauliche und wertvolle Daten beinhalten. Diese Daten machen auch keinen Halt vor Landesgrenzen: sie können in Deutschland erhoben, in den USA gespeichert und in Indien verarbeitet werden. Es muss sichergestellt sein, dass die Daten nicht von Unberechtigten manipuliert, gelöscht oder schlimmstenfalls zu Erpressungszwecken verschlüsselt werden.
Unbeeindruckt von Sicherheitsrisiken boomen Cloud-Anwendungen; auch hier lauern Gefahren wie nicht autorisierter Datenzugriff, geknackte Benutzerkonten, unsichere Schnittstellen und beim Datenaustausch mit Dritten, der zu vielen Geschäftsmodellen mittlerweile dazu gehört. Dabei bleibt die Energie der kriminellen Hacker unverändert: finanzielle Anreize sind neben Spionage die Motive für Datendiebstähle, wie der VerizonData Breach Report 2017 berichtet.
Es gibt also genügend Gründe, sich unabhängig von der aktuellen oder kommenden Gesetzeslage, mit einer Aktualisierung der IT-Sicherheit und des Datenschutzes zu beschäftigen. Zumal in der EU-DSGVO ab 25. Mai 2018 empfindliche Strafen vorgesehen sind: sie können bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes eines Konzerns betragen.
Florian van Keulen, Principal Consultant Cloud & Security und Sicherheitsbeauftragter beim IT-Dienstleister Trivadis
Wie sollten Unternehmen vorgehen, die sich jetzt gleich mit der EU-DSGVO beschäftigen wollen?
Florian van Keulen: Bei neuen Projekten sollte ab sofort immer darauf geachtet werden, welche Auswirkungen sie auf den Datenschutz haben, insbesondere wenn personenbezogene Daten verarbeitet werden, denn nur für sie gelten diese neuen strengen Gesetze. Demnach sollten entstehende oder erhobene Daten danach kategorisiert werden, unter welche Regelung sie fallen.
Das erfordert es aber auch, Prozesse zu betrachten, etwa wenn bei der Zusammenführung von Daten plötzlich schutzwürdige Daten neu entstehen. Daten müssen zudem für einen bestimmten Zweck gespeichert werden, sie dürfen also nicht „einfach so“ erhoben werden; es gilt auch das Prinzip der Datensparsamkeit, nur das zu erheben, was auch wirklich benötigt wird. Weiterhin müssen Unternehmen gewährleisten, dass sie die Rechte des Einzelnen wahren können. Das heißt, auf Wunsch müssen die Daten einer bestimmten Person nachweislich gelöscht werden können – dies ist entweder gleich im Projekt vorzusehen oder eben später mit erheblichem manuellem Aufwand verbunden.
Idealerweise werden bei Projekten, die die Speicherung von personenbezogenen Daten beinhalten, auch gleich Verantwortlichkeiten organisatorischer Art definiert. Hier kann der Datenschutzbeauftragte unterstützen. Da er die Problematik und die Herausforderungen kennen sollte, kann er in solchen Projekten beratend zur Seite stehen.
Verpflichtend ist darüber hinaus eine vollständige Dokumentation, in der zum einen festgehalten wird, wie der Schutz der persönlichen Daten gewährleistet wird, und die zum anderen die Risikoanalyse sowie die Privacy Impact Analyse des Systems aktuell und vollumfänglich vorhält. Bei Nichteinhaltung dieser Auflage können hohe finanzielle Sanktionen auferlegt werden.
Was kann von der technischen Seite getan werden, um diese Anforderungen zu erfüllen?
Florian van Keulen: Im Mittelpunkt steht auf jeden Fall ein Identity- und Access-Management-System, abgekürzt IAM, das Benutzer und deren Zugriffsrechte verwaltet. Damit können auch Daten in der Cloud abgesichert werden, die nicht mehr in der Trusted Zone eines Unternehmens liegen. Kontext-basierte Zugriffssteuerungen, die über analytische Verfahren feststellen, ob das User-Verhalten auch tatsächlich zum Anwender passt, der Datenzugriff verlangt, stellen einen zusätzlichen Schutz dar. Im praktischen Einsatz sollte der Datenzugriff immer eine Zwei-Faktor-Authentifizierung erfordern, idealerweise nach einem modernen out-of-band-Verfahren, so dass zwei verschiedene Wege für jeden Faktor der Authentifizierung genutzt werden müssen. Zum Beispiel wird der Zugriff via Passwort am Notebook über ein biometrisches Erkennungszeichen am Smartphone bestätigt, dass der richtige User zu dem Passwort Zugriff verlangt. Viele Compliance-Regelungen erfordern dieses Vorgehen mittlerweile sogar. Zeitgemäße IAM-Systeme setzen auf Standards und lassen zu, dass Authentifizierungen über mehrere Ebenen und Systeme hinweg gültig sind, man spricht von der sogenannten Identity Federation.
Als IT-Sicherheitsverantwortlicher in Unternehmen muss man nicht fürchten, eine umfangreiche IAM-Umgebung selbst aufbauen zu müssen. Hier helfen Service Provider, die Identity-Lösungen „as a Service“ anbieten. Als Anwender muss man dann nur noch die gewünschten Services implementieren. Aufgrund der hohen User-Zahl fällt es solchen Providern oftmals sogar leichter, mit Cyber-Security-Teams und Analytics geklauten Passwörtern auf die Spur zu kommen und ihre Kunden rechtzeitig zu warnen. Für Unternehmen, die im Internet der Dinge unterwegs sind, ist es wichtig darauf zu achten, dass eine IAM-Lösung nicht nur Personen, sondern eben auch Dinge, authentifiziert. So kann gewährleistet werden, dass automatisch erhobene Maschinendaten nicht kompromittiert oder abgeschöpft werden.
Weiterhin ist es wichtig, dass die Datenobjekte selbst geschützt werden. Das geschieht durch Data-Loss-Prevention-Software, die verhindert, dass Daten unerlaubt gelöscht oder weitergeleitet werden. Auch vor unzulässiger Verschlüsselung kann derartige Software schützen.
