Die DS-GVO bietet Organisationen die Chance, ihre bestehenden Sicherheitsmaßnahmen zu analysieren, um so nicht nur ihre Sicherheitslage zu verbessern, sondern auch das Risiko kostspieliger Datenschutzverletzungen zu senken.
Im April 2016 wurde die neue Datenschutz-Grundverordnung (DS-GVO) endgültig beschlossen. Damit stimmten die Mitglieder des Europäischen Parlaments der Aktualisierung der bestehenden Datenschutzrichtlinie zu, um diese an moderne Technologien anzupassen. Das neue Gesetz trat am 25.5.2016 in Kraft und ist ab dem 15.5.2018 anwendbar. Unternehmen bleibt also nicht mehr viel Zeit, um die neuen Anforderungen zu analysieren, ihre bestehenden Sicherheitsmaßnahmen zu bewerten und alle Schritte einzuleiten, um mit der neuen Regelung Compliance zu sein.
Die DS-GVO hat lange auf sich warten lassen, denn die ersten Vorschläge wurden bereits vor vier Jahren veröffentlicht. Angesichts der nicht abreißenden Kette von Sicherheitsvorfällen bei namhaften Unternehmen ist das neue Gesetz auch mehr als überfällig. Bisher herrschte in Europa ein verworrener juristischer Flickenteppich aus unterschiedlichen Datenschutzbestimmungen. Es musste also dringend etwas geändert werden.
Das Bundesdatenschutzgesetz ist veraltet. Die Cyber-Sicherheitslandschaft verändert sich rasant. Dies ist vor allem der zunehmenden Nutzung digitaler Systeme, der enormen Zunahme verbundener Geräte und dem veränderten Informationsfluss in Organisationen geschuldet. Wenn beispielsweise Daten für Benutzer in Unternehmen leichter verfügbar werden, ist es auch für Cyberkriminelle einfacher, darauf zuzugreifen und sie zu missbrauchen. Nachdem das Bundesdatenschutzgesetz bereits veraltet ist, bietet die DS-GVO eine neue Lösung für den Schutz sensibler Informationen. Diese für die gesamte EU einheitliche Verordnung ist in der Lage, Daten in unserem Zeitalter des Informationsaustauschs – über soziale Netzwerke, mobile Geräte und die Cloud – besser zu schützen.
Compliance sicherstellen. Die neue Verordnung hat natürlich verschiedene Auswirkungen auf Unternehmen, die Daten von EU-Bürgern verarbeiten – und zwar unabhängig von ihrem Standort. Deshalb müssen Vorbereitungen getroffen werden, um die Compliance sicherzustellen und hohe Geldbußen zu vermeiden. Die DS-GVO sieht vor, dass Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden den zuständigen Behörden gemeldet werden müssen, sofern die Wahrscheinlichkeit besteht, dass die Rechte und Freiheiten der betroffenen Personen gefährdet werden. Außerdem müssen sämtliche Vorfälle dokumentiert werden.
Hohe Geldstrafen. Organisationen, die diese Anforderungen nicht erfüllen, drohen Geldstrafen in Höhe von bis zu vier Prozent ihres weltweiten Jahresumsatzes beziehungsweise 20 Millionen Euro (je nachdem, welcher Betrag höher ist). Eine solche Summe kann den Gewinn des Unternehmens drastisch schrumpfen lassen. Bei weniger schwerwiegenden Vergehen werden Geldbußen in Höhe von lediglich zwei Prozent des weltweiten Jahresumsatzes beziehungsweise 10 Millionen Euro verhängt.
Was sind sensible Daten? Ein wichtiger Punkt ist die Definition des Begriffs »sensible Daten«. Nachdem immer mehr Informationen online verfügbar sind, wird diese Definition ständig erweitert. Deshalb umfasst der Begriff nun auch genetische und biometrische Daten, Online-Kennungen wie IP-Adressen oder Cookie-Kennungen sowie RFID-Tags. Sobald eine Organisation solche Informationen verarbeitet, muss sie zunächst genau überprüfen, ob ausreichende Sicherheitsvorkehrungen für die Daten getroffen wurden. Dazu gehören Sicherheitsmaßnahmen, Garantien und Verfahren, durch die der Schutz personenbezogener Daten sowie die Einhaltung der Verordnung sichergestellt werden.
Schwieriger Anpassungsprozess.Für viele Unternehmen ist die IT-Sicherheit eine schwierige Herausforderung. Wir haben gesehen, wie bekannte Marken/Unternehmen/Behörden – von Bundestag über Thyssen bis zu Target – Opfer verheerender Sicherheitsvorfälle geworden sind und welche enormen finanziellen Belastungen und Reputationsschäden damit einhergingen. Die DS-GVO bietet Organisationen die Möglichkeit, ihre bestehenden Sicherheitsmaßnahmen im Hinblick auf bestimmte Kriterien zu analysieren, um so nicht nur ihre Sicherheitslage zu verbessern, sondern auch das Risiko kostspieliger Datenschutzverletzungen zu senken. Für viele wird dieser Anpassungsprozess schwierig, zeit- und kostenintensiv sein. Es wäre also sinnvoll, so bald wie möglich damit zu beginnen, zukunftsfähige Sicherheitsstrategien zu entwerfen, erforderliche Veränderungen zu planen und in entsprechende Technologien zu investieren.
Verschlüsselung. Cyberkriminelle scheuen weder Kosten noch Mühen, um an sensible, lukrative Daten zu gelangen. Das oberste Ziel jeder Organisation sollte deshalb darin bestehen, ihre Daten um jeden Preis zu schützen. Wir leben in einer Zeit, in der sich Sicherheitsvorfälle fast nicht mehr vermeiden lassen. Es empfiehlt sich also, Daten zu verschlüsseln, sodass sie nicht lesbar und somit nutzlos sind, falls sie in falsche Hände geraten. Sämtliche Daten, die erstellt, verarbeitet und gespeichert werden, müssen inventarisiert werden, sodass Sie einen genauen Überblick darüber haben, wie und wo Informationen fließen. Eine Standardstrategie zur Verschlüsselung sämtlicher Daten ist aus Compliance-Gründen unerlässlich. Dank des rasanten Technologiefortschritts sind die Zeiten, in denen die Datenverschlüsselung aufwändig und kostspielig war, längst vorbei. Tatsächlich ist der Schutz von Daten durch Verschlüsselung nun schneller und einfacher denn je. Für Unternehmen, die ihre Daten nicht verschlüsseln, gibt es kaum noch Ausreden.
Zugriffskontrollen. Verschlüsselung ist zwar ein wichtiger Punkt, reicht für einen effektiven Datenschutz jedoch nicht aus – insbesondere im Hinblick auf Bedrohungen von innen. Zugriffskontrollen stellen eine wichtige Verteidigungsmaßnahme dar, denn sie stellen sicher, dass ausschließlich Benutzer mit den entsprechenden Berechtigungen auf bestimmte Daten zugreifen können. Sobald ein Benutzer Zugriff auf Verschlüsselungsschlüssel erhält, muss deren Verwendung vollständig kontrolliert und überwacht werden, um Berechtigungsregeln durchzusetzen und zu verhindern, dass der Benutzer einem anderen User ebenfalls Zugriff gewährt.
Fazit. Mit diesen grundlegenden Maßnahmen sind Organisationen besser auf die DS-GVO vorbereitet. Die Sicherheitslage verändert sich jedoch laufend, und Unternehmen sollten sich nicht auf ihren Lorbeeren ausruhen. Das Thema Datensicherheit sollte als ständige Baustelle betrachtet werden, und das regelmäßige Testen und Evaluieren bestehender Sicherheit-Tools muss Teil der Datenschutzstrategie sein.
Insgesamt ist die DS-GVO definitiv ein Schritt in die richtige Richtung. Es steht zu hoffen, dass sie dringend erforderliche Veränderungen in Organisationen herbeiführen wird, die kritische Sicherheitsanforderungen bisher nicht erfüllen. Doch auch wenn scheinbar noch viel Zeit bis zum Inkrafttreten der Verordnung bleibt, werden diejenigen, die sich nicht schon jetzt dafür wappnen, mit schweren Konsequenzen rechnen müssen.
Louise Bulman,
Vice President & General Manager EMEA,
Vormetric