Am 25. Mai 2018, also in sieben Monaten, tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese löst das seit 1995 gültige Bundesdatenschutzgesetz ab und definiert den Umgang mit sensiblen Daten in Unternehmen, um diese besser zu schützen. In einer Bitkom-Umfrage gaben allerdings nur 34 Prozent der befragten Unternehmen an, bereits erste Maßnahmen begonnen oder umgesetzt zu haben.

Dabei drohen hohe Bußgelder schon bei Nichteinhaltung der Compliance-Regeln und nicht erst bei Datenverlust – ganz abgesehen von der Rufschädigung, wenn bekannt wird, dass das Unternehmen nicht den Compliance-Ansprüchen gerecht wurde. Laut Hans-Peter Bauer, Vice President Central Europe bei McAfee, wird es also dringend Zeit, die Weichen auf eine sicherere IT-Infrastruktur zu stellen und sich mit den wichtigsten Fragen zur eigenen Datensicherheit zu beschäftigen.

  1. Wissen wir, wo unsere sensiblen Daten gespeichert werden?

Heutzutage sind Daten überall verteilt und liegen im hauseigenen Rechenzentrum, auf Mobilgeräten oder in der Cloud. Sobald sie sich außerhalb des Unternehmensnetzwerkes befinden, sind sie noch stärker der Gefahr von Angriffen oder Missbrauch ausgesetzt. Viele Programme zum Schutz vor Datenverlust versagen allerdings, wenn die wichtigen Aufbewahrungsorte, Anwendungen und geschäftlichen Abläufe nicht gänzlich bekannt sind. Unternehmen sollten daher die Implementierung eines Programms zur kontinuierlichen Datenerkennung und -klassifizierung in Betracht ziehen.

  1. Nutzen wir Verschlüsselung zum Schutz der Daten?

Verschlüsselung ist eine wichtige Maßnahme zur Minimierung der Folgen von Datenlecks. Sie sollte überall dort angewendet werden, wo Daten gespeichert oder transferiert werden, beispielsweise in Cloud-Diensten. Denn schließlich kann jede vertrauliche Datei, die in der Cloud landet, zu einer Verletzung der neuen Richtlinien führen. Darüber hinaus können Strafen bei Datenverlusten milder ausfallen, wenn Unternehmen nachweisen können, dass ihre Daten verschlüsselt waren. Unternehmen sollten stets einen Überblick über den Verschlüsselungsstatus haben und unverschlüsselte Geräte oder Datenflüsse mit automatisierten Korrekturmaßnahmen schützen.

  1. Sind wir in der Lage, Datenkompromittierungen zu identifizieren und darauf zu reagieren?

Statistisch betrachtet werden mehr als die Hälfte aller Datenkompromittierungen von externen Unternehmen entdeckt. Daher sollte IT-Sicherheit ohnehin im Fokus der alltäglichen Arbeit stehen. Angesichts der Tatsache, dass die DSGVO eine Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen innerhalb von 72 Stunden ab dem Zeitpunkt der Entdeckung eines Vorfalls durch das Unternehmen verlangt, ist es überaus wichtig, dass man über die Fähigkeit verfügt, potenzielle Datenkompromittierungen zu erkennen und diese entsprechend zu melden. Hilfreich sind dabei unter anderem Lösungen im Bereich des Security Information und Event Managements (SIEM). Sie überwachen Verstöße gegen die Datenschutzauflagen und leiten bei Sicherheitsverletzungen automatisch Gegenmaßnahmen ein. Darüber hinaus empfehlen sich Lösungen für Data Loss Prevention und Datenbanksicherheit, um ganzheitliche Datensicherheit zu gewährleisten.

  1. Wo speichern und verarbeiten unsere Cloud-Service-Anbieter die erfassten Daten?

Der Speicherort von Daten stellt möglicherweise das größte Problem dar, wenn es um Cloud-Dienste und die Vorbereitung auf die DSGVO geht. Verfügt ein Cloud-Anbieter über Rechenzentren in der EU oder ausschließlich in den USA? Wo speichert und verarbeitet er diese Daten? Werden die Daten von der EU in die USA verschoben? Dies sind einige der drängendsten Fragen in diesem Bereich. Durch Verschlüsselung der zu schützenden Daten und der eigenständigen Verwaltung der Schlüssel und Zugangsmöglichkeiten können Unternehmen die Hoheit über ihre Informationen, unabhängig vom Standort, bewahren und somit diesen Unsicherheiten begegnen.

  1. Wie nutzt der Cloud-Service-Anbieter die erfassten Daten?

Anbieter sind verpflichtet, den Kunden mitzuteilen, wie sie gegebenenfalls die über den Dienst erfassten Daten nutzen und wie sie die Informationen schützen. Viele Unternehmen nutzen erfasste Daten für Analysen oder andere rechtmäßige Zwecke. Diese sollten jedoch kein zusätzliches Risiko für den Kunden darstellen.

Mehr Information zum Data Residency Report finden sich hier: Über die Datenschutz-Grundverordnung hinaus: Einblicke in die Datenspeicherung auf der ganzen Welt“.

Mehr Informationen zum Thema DSGVO gibt es unter www.mcafee.com/de/solutions/gdpr.aspx.

 

Dr. Jörg Schröper ist Chefredakteur der LANline.