Unternehmen müssen die Eignung der implementierten Sicherheitsmaßnahmen nachweisen können. Kommen sie dem nicht nach, verlieren sie Zeit und Geld – und riskieren saftige Strafen.
Illustration: Absmeier
Die DSGVO tritt in vier Monaten in Kraft. Ohne risikobasierten Ansatz bei der Verarbeitung personenbezogener Daten werden europäische Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und können somit auch hohe Strafen kassieren. Was Unternehmen über DSGVO-Compliance wissen müssen, wird hier in vier Schritten erklärt.
Unternehmen müssen jetzt geeignete Sicherheitsmaßnahmen einführen – und diese im Falle einer Datenschutzverletzung nachweisen können. Dieser Hinweis, der auch im neuesten Akamai-Whitepaper »Effektiver Schutz von Webanwendungen« nachzulesen ist, zeigt, wie wichtig es für Unternehmen ist, ihre Systeme ausführlich zu analysieren, um Risikobereiche zu ermitteln und die Compliance zu gewährleisten. Welche Maßnahmen hierbei als »geeignet« gelten, ist stückweit auch Auslegungssache.
Gerhard Giese, Manager Enterprise Security Architect bei Akamai Technologies, hält Unternehmen dringend dazu an, die Best Practices ihrer Branchen einzuhalten, um Kundendaten zu schützen und gegenüber Datenschutzbehörden nachweisen zu können, dass die getroffenen Sicherheitsmaßnamen geeignet waren: »Unternehmen befinden sich in der Zwickmühle: Die DSGVO lässt zwar Auslegungsspielraum, aber Unternehmen müssen handeln, bevor die Verordnung in Kraft tritt. Wer nicht hinreichend nachweisen kann, dass er geeignete Maßnahmen zum Schutz personenbezogener Daten sowie zur Risikominimierung bei der Datenverarbeitung ergriffen hat, riskiert saftige Strafen. Im Falle einer Datenschutzverletzung liegt die Beweispflicht auf Seite der Unternehmen: Sie müssen nachweisen, dass ihre Maßnahmen geeignet waren. Unternehmen können sich also nicht mehr verstecken.«
Compliance: keine leichte Aufgabe
Das oben genannte Whitepaper weist auf einen wichtigen Punkt hin: Wenn Unternehmen die Zuverlässigkeit ihrer risikobasierten Sicherheitsstrategien nachweisen müssen, ist das meist schwieriger als erwartet. Bei Behörden kommt schnell die Frage auf, wie risikobasiert der Ansatz eines Unternehmens ist, wenn dieses nicht auf neueste Technologien zurückgreift und sich lediglich auf das eigene Wissen über die schnelllebige Cyber-Bedrohungslandschaft verlässt.
Giese ergänzt: »Viele Unternehmen verwenden Technologien, mit denen sie anfällig gegenüber Angriffen sind. Das können zum Beispiel VPN-Zugänge sein, die externen Zugang zum Unternehmensnetzwerk erlauben. Unternehmen können oft nur eingeschränkt auf Attacken von außen reagieren oder brauchen länger als nötig, um Probleme zu erkennen und Lösungen zu implementieren, die ihre Webressourcen vor den entsprechenden Bedrohungen schützen. Firmen sollten sich ihre Sicherheitslösungen ganz genau anschauen und sich die Frage stellen, ob es eine bessere Möglichkeit gibt, personenbezogene Daten zu schützen. Wenn es eine einfache, praktische Lösung gibt, die bisher nicht implementiert wurde, sollten sie genau prüfen, ob sie mit der bestehenden Lösung die Risiken wirklich wie erforderlich ›angemessen‹ minimieren.«
Globale Unternehmen müssen außerdem lokale Compliance-Anforderungen erfüllen, die in jedem Land unterschiedlich sind und die Komplexität der Gewährleistung der Compliance erhöhen. Und wenn Länder ihre Datenschutzgesetze ändern, müssen globale Konzerne entsprechend reagieren. Zwar gibt es zwischen den verschiedenen Ländern Überschneidungen, aber durch die vielen feinen Abstufungen gestaltet es sich für die Unternehmen schwierig, die Einhaltung all dieser Verordnungen nachzuweisen.
Schritte zum Nachweis der DSGVO-Compliance
Was können Unternehmen jetzt tun? Akamai empfiehlt vier Schritte, wie Unternehmen im Zweifelsfall Datenschutzbehörden nachweisen können, dass sie einen ausreichenden risikobasierten Ansatz zum Schutz ihrer Webressourcen verfolgen:
- Lernen Sie aus den Fehlern anderer
Wenn Verantwortliche bis zum ersten Angriff warten, bevor sie auf eine neue Cyberbedrohung reagieren, sinkt die Wahrscheinlichkeit einer erfolgreichen Verteidigung. Sicherheitsanbieter können IT-Bedrohungen analysieren und diese Informationen zum Schutz ihrer anderen Kunden nutzen, noch bevor dort ein Angriff auftritt.
- Pflegen und dokumentieren Sie die Web-Application-Firewall-Regeln
Bei einem Sicherheitsvorfall verlangen Datenschutzbehörden einen Nachweis über die Schritte, die zur Minimierung der Auswirkungen unternommen wurden. Bei Webressourcen hat eine effektive und regelmäßig aktualisierte Application Firewall Priorität, um auf die ständig neue Bedrohungslandschaft reagieren zu können.
- Steuern Sie den Zugriff Dritter auf personenbezogene Daten
Heutzutage benötigen auch Drittanbieter Zugang zu Daten im Unternehmensnetzwerk. Dieser Zugriff kann jedoch sowohl die personenbezogenen Daten als auch die allgemeine Sicherheit gefährden. Deshalb benötigen Unternehmen ein System, das den Zugang zu den entsprechenden Netzwerken überwacht und die Risiken durch nicht autorisierten Zugriff minimiert. Damit können sie den Datenschutzbehörden Nachweise zu entsprechenden Maßnahmen erbringen.
- Schaffen Sie einen Puffer zwischen Ihrem Netzwerk und der Bedrohung
Wenn sich die erste Verteidigungslinie eines Unternehmens erst am Netzwerkübergang befindet, sind Angriffe besonders gefährlich. Deshalb sollten Unternehmen einen Puffer, etwa ein Content Delivery Network, zwischen ihrer eigenen Infrastruktur und den potenziellen Bedrohungen aufbauen. So werden Angriffe auf Ihre IT erkannt, bevor sie zum Problem werden und auch DDoS-Angriffen können frühzeitig abgewehrt werden.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Die meisten Unternehmen werden bei der rechtzeitigen Umsetzung der DSGVO scheitern
DSGVO: umfassende Bestandsaufnahme schützt vor neuen Investitionen
Studie zur EU-DSGVO zeigt: Vorgabe »Stand der Technik« verwirrt IT-Entscheider