Am 25. Mai tritt die EU-Datenschutzgrundverordnung in Kraft. Unternehmen sollten daher Maßnahmen treffen, um die neue Regelung umzusetzen. Tun sie dies nicht, drohen ihnen erhebliche Strafzahlungen.

Am 25. Mai 2018 ist es so weit, und die neue Europäische Datenschutzgrundverordnung tritt in Kraft. Die EU-DSGVO (engl.: General Data Protection Regulation, GDPR), ist mehr als eine neue Richtlinie, denn sie macht nach ihrer Einführung im nächsten Mai den Datenschutz in Europa zur unmittelbaren Verpflichtung für alle Unternehmen. Obwohl das Datum schon lange feststeht, sind viele noch immer nicht auf die neuen Sicherheitsanforderungen vorbereitet.

Die Herausforderung liegt zuerst darin, das Problem überhaupt zu erkennen. Schließlich beweist die Hälfte der deutschen Unternehmen dabei äußerste Kurzsichtigkeit – wie der Branchenverband Bitkom im September 2016 in einer Umfrage zeigte. Demnach haben rund die Hälfte der Befragten die Datenschutzreform noch nicht einmal auf dem Schirm. Nun bleibt den Unternehmen weniger als ein Jahr Zeit, um sich dem neuen Gesetz anzupassen, sonst drohen hohe Geldstrafen, die sich auf bis zu vier Prozent des weltweit erzielten Jahresumsatzes belaufen können. Das gilt übrigens nicht nur für in Europa ansässige Unternehmen, sondern für alle, die in irgendeiner Form innerhalb der EU tätig sind. Das Bußgeld kann auch ohne konkreten Sicherheitsvorfall verhängt werden, es reicht bereits aus, die neuen Vorgaben nicht einzuhalten.

Die gute Nachricht: Im Kern sind viele der datenschutzrechtlichen Prinzipien der EU-DSGVO nicht viel anders als die, die das deutschen Bundesdatenschutzgesetz bereits voraussetzt. Unternehmen, die bereits über Informationssicherheits-Management-Systeme (ISMS) nach der internationalen Norm ISO/IEC 27001 verfügen, haben es daher bei den Vorbereitungen für den EU-gerechten Datenschutz deutlich leichter. Allerdings ist Vorsicht geboten, denn eine ISO-Zertifizierung ist keine automatische Compliance mit der DSGVO. Unternehmen müssen prüfen, welche GDPR-Vorgaben in ihrer Zertifizierung bereits erfasst sind und welche sie möglicherweise ergänzen müssen.

Strukturieren der Daten

ISMS-Systeme sind mit hohen Kosten und großem Aufwand verbunden, was sie für kleine und mittelständische Unternehmen unerreichbar machen kann. Um der Europäischen Datenschutzverordnung gerecht zu werden, verlangt es zum Glück keine komplexe ISMS-Projekte. Mit drei konkreten Maßnahmen können Unternehmen den Grundstein für eine ausreichende EU-DSGVO-Konformität legen.

Die EU-DSGVO fordert, dass Unternehmen auf Verlangen der betroffenen Person deren personenbezogene Daten löschen. Dazu gehören auch Datensätze wie IP-Adressen, User-IDs, Cookies, GPS-Daten oder IMEI-Nummern. Bevor sich Unternehmen aber mit Lösungen zur Datenanalyse und -klassifizierung auseinandersetzen, müssen sie zunächst wissen, wo sie Daten abgelegt haben. Die wachsenden Datenmassen und die permanente Duplizierung von Daten – etwa durch den Versand als E-Mail-Anhang oder durch Ablage in lokalen Dateisystemen der Anwender – erschweren diese Übersicht enorm.

Abhilfe schaffen hier „Enterprise File Sharing“-Lösungen, die kontrollierte Prozesse für den sicheren Austausch von Dateien etablieren. Im Prinzip stellen diese Lösungen die Daten aus einer zentralen Datenablage durch Synchronisation dezentral bereit. Im Hintergrund stellt die Software sicher, dass immer die aktuelle Version der Dateien auf allen Geräten verfügbar ist. Endet die Bereitstellung, wird die dezentrale Kopie gelöscht. Doch Enterprise File Sharing ist nicht gleich Enterprise File Sharing – die Lösung lässt sich On-Premise, in der Cloud oder als hybride Lösung einsetzen.

Mit drei konkreten Maßnahmen können Unternehmen den Grundstein für EU-DSGVO Konformität legen. Bild: Micro Focus

Die Cloud-Variante ist von allen Lösungen am schnellsten realisierbar. Allerdings muss man vorab die Sicherheitszertifizierungen des Providers prüfen, um optimale Sicherheit der Daten zu garantieren. On-Premise bietet für alle Server und Speicher die Sicherheit des Inhouse-Betriebs innerhalb der Firewall des Unternehmens, doch die Flexibilität der Cloud ist heute essenziell, um Mitarbeiter, Kunden und Partner überall auf der Welt zuverlässig und skalierbar mit den Daten zu versorgen, die sie benötigen.

Die Hybrid-Version vereint diese Flexibilität mit der On-Premise-Sicherheit, bei der sich der Server in der Cloud eines Drittanbieters befindet und für den Zugriff auf alle Devices sorgt. Die Daten an sich lagern allerdings innerhalb des Unternehmens. Gleichgültig, welche Variante Unternehmen wählen, mit der passenden „Enterprise File Sharing“-Lösung können Unternehmen jeder Größe ihre interne Datenflut eindämmen und somit ein solides Fundament für weiterführende Information-Governance-Lösungen schaffen.

Berechtigungs-Management

Die EU-DSGVO schreibt vor, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten dürfen. Zusätzlich gilt es, die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung und unberechtigtem Zugang oder Weitergabe zu schützen. Wichtig ist hier der revisionssichere Nachweis, der bestätigt, dass ein Zugriff nicht möglich war. Gerade dieser Nachweis ist es, der vielen IT-Abteilungen noch erhebliche Schwierigkeiten bereitet.

Automatisierte Berechtigungsvergaben durch Identity-Management-Lösungen sind zwar bereits in vielen Unternehmen im Einsatz, doch diese bieten selten eine revisionssichere Überprüfung. Laut einer Studie des Ponemon Institutes vom September 2016 beklagen 44 Prozent der weltweit befragten IT-Experten das Management von Berechtigungen als Herausforderung. 62 Prozent können kaum mit Berechtigungsanfragen mithalten und dabei gleichzeitig eine optimale Sicherheit aller Daten gewährleisten.

Unternehmen benötigten also, um der EU-DSGVO nachzukommen, eine richtlinienkonforme Berechtigungsstruktur mit revisionssicherem Nachweis, ohne die IT zusätzlich zu belasten. Identity-Governance-Lösungen erfüllen diese Anforderungen. Sie bieten Funktionen zur Beantragung, automatisierten Prüfung, revisionssicheren Genehmigung und regelmäßigen Überprüfung von Berechtigungen.

Reaktionszeit erheblich verkürzen

Unternehmen müssen laut EU-DSGVO der Aufsichtsbehörde Datenschutzverletzungen unverzüglich melden – das heißt innerhalb von 72 Stunden nach Bekanntwerden eines Angriffs. Dies erfordert jedoch eine Übersicht über eine komplexe Prozess- und Systemlandschaft, deren Angriffsfläche stetig zunimmt, gerade weil sich die Landschaft immer öfter auch in die Cloud oder in Partnerunternehmen hinein erstreckt. Um Angriffe in einem solchen Dschungel rechtzeitig entdecken und melden zu können, brauchen Unternehmen technische Unterstützung. Etwa in Form einer SIEM-Lösung (Security-Information- und Event-Management).

Diese werten nicht nur Sicherheitsinformationen aus dem ganzen Unternehmen aus, sondern können auch automatisierte Gegenmaßnahmen einleiten. Durch die Kombination von Security-Information-Management (SIM) und Security-Event-Management (SEM) zentralisiert SIEM die Speicherung und Auswertung aller gesammelten Daten und analysiert sie nahezu in Echtzeit. Doch es muss nicht immer SIEM sein; auch weniger komplexe Change-Monitoring-Lösungen können bereits eine deutliche Verbesserung der Reaktionszeiten auf Angriffe und weitere Sicherheitsvorfälle bieten.

Hochkarätige Angriffe gegen Unternehmen wie Yahoo zeigen, wie wertvoll personenbezogene Daten sind. Keine Branche ist immun gegen Angriffe und auch die Unternehmensgröße spielt keine Rolle, da kleine wie große Unternehmen im Visier der Cyberkriminellen stehen. In unserer globalisierten und vernetzten Wirtschaft ist das System immer nur so sicher wie sein schwächstes Glied. Daher sind Vorschriften wie die EU-Datenschutzgrundverordnung eine wichtige Grundlage, um das Sicherheitsniveau aller Unternehmen zu heben und sollten als Hilfestellung und nicht als Schikane verstanden werden.

Die EU hat weder die Idee der Identity and Access Governance noch der Information Governance erfunden, doch sie leitet gerade die Hochsaison dieser essenziellen Technologien ein. Unternehmen können und sollten auf diese Werkzeuge setzen, um sich jetzt abzusichern. Dahinter stecken jedoch noch grundsätzlichere Regeln der IT-Sicherheit, die man sich ebenfalls immer wieder ins Gedächtnis rufen sollte: Für die Verarbeitung von Informationen müssen klare Prozesse und Strukturen im Unternehmen existieren. Alle Zugriffsrechte auf Informationen müssen effektiven Kontrollen unterliegen. Sensible Bereiche der IT gilt es, über ein permanentes Monitoring zu überwachen, um Sicherheit zu gewährleisten und Regelverstöße schnell ahnden zu können. Nun ist es an den Unternehmen, diese Erkenntnisse auch umzusetzen. Bis zum 25. Mai 2018 ist nicht mehr viel Zeit. Die Uhr tickt.

Christoph Stoica, Regional General Manager bei Micro Focus, www.microfocus.de.