Tipps für Unternehmen: EU-Datenschutzreform und die Folgen für die IT-Sicherheit

illu (c) aa gdprEnde vergangenen Jahres hat die Europäische Union eine Einigung über die 2012 initiierte Datenschutzgrundverordnung (General Data Protection Regulation, GDPR) erzielt. Die GDPR soll künftig die Privatsphäre und den Umgang mit personenbezogenen Daten von EU-Bürgern regeln. Palo Alto Networks zeigt auf, wie sich Unternehmen bis zum endgültigen Inkrafttreten – in etwa zwei Jahren – darauf vorbereiten können.

Klare Botschaft an die Unternehmen

Die GDPR wird die bestehende EU-Datenschutzrichtlinie 95/46/EG ersetzen und die Datenschutzgesetze in der EU vereinheitlichen. In den kommenden Monaten wird es viel Diskussion um die Reform des Datenschutzes in der EU geben. Die GDPR tritt endgültig in Kraft, wenn sie im Amtsblatt der Europäischen Union veröffentlicht wird. Bis dahin besteht die Chance, zusätzliche Akzeptanz aus der Wirtschaft zu gewinnen, da die neue Verordnung eine sehr klare Botschaft an die Unternehmen ist.

Die GDPR sieht unter anderem vor, dass Datenschutz von Anfang an in die Geschäftsprozesse und Systeme integriert sein muss. Etwaige Verstöße in Zusammenhang mit personenbezogenen Daten und der Datensicherheit müssen den Behörden und Betroffenen unverzüglich mitgeteilt werden. Bei Nichteinhaltung drohen Geldbußen von 2 bis 4 Prozent des jährlichen weltweiten Umsatzes eines Unternehmens in Abhängigkeit von der Art und dem Ausmaß der Rechtsverletzung.

Cybersicherheit zu erhöhen

Wie die GDPR umsetzt wird, lässt hingegen noch einiges an Raum für Interpretation. Unternehmen können sich auf die Meldepflicht konzentrieren oder auf das Grundprinzip hinter der Reform, nämlich das Maß an Cybersicherheit zu erhöhen.

»Dies bedeutet, die Schutzfunktionen auf den neuesten Stand der Technik bringen, die die Daten der Bürger besser schützen und verhindern würden, dass es überhaupt zu Sicherheitsvorfällen kommt. Im Idealfall müssten keine Zwischenfälle gemeldet werden, da sie nicht auftreten«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. »Je mehr sich die Unternehmen zu einem automatisierten Ansatz hin bewegen, der sich auf die aktuellen und zukünftigen IT-Anforderungen skalieren lässt, desto eher ist dies zu erreichen.«

Maßnahmen ergreifen, um den GDPR-Anforderungen zu entsprechen

Bei der Strategie, die Cybersicherheit auf den neuesten Stand der Technik zu bringen, sollten sich Unternehmen nach Meinung von Palo Alto Networks die folgenden Fragen stellen:

Wie alt sind die Sicherheitsstrategie und die zugrundeliegende Infrastruktur?

Die IT und die verfügbare Sicherheitstechnologie entwickeln sich in einem rasanten Tempo. Die IT-Sicherheit ist heute so komplex wie die IT, die sie schützen soll. Mehrere Komponenten müssen optimal zusammenarbeiten, um Angriffe zu erkennen und abzuwehren. Veraltete Techniken stoßen hier an ihre Grenzen. Wann haben Sie sich zuletzt überlegt, was hinsichtlich der Stichwörter »State-of-the-Art« und »Best Practices« bei der IT-Sicherheit möglich ist? Dies wäre spätestens jetzt sinnvoll, um dann einen Transformationsplan zu definieren, um die nötigen Schritte umzusetzen. In den meisten Unternehmen ist die Sicherheitsinfrastruktur über Jahre gewachsen und es ist schwierig sich aus diesen »Legacy«-Fesseln zu befreien. Wenn heute eine Sicherheitsarchitektur von Grund auf neu konzipiert würde, würde diese meist anders aussehen als diejenige, die aktuell in den Unternehmen vorliegt.

Wie kann man »State-of-the-Art«-Sicherheit messen?

Nicht alle Unternehmen haben Zugriff auf Tools und Ressourcen, um das heute und künftig nötige Maß an Sicherheit zu erreichen. In Anbetracht dessen, dass das Volumen der Bedrohungen zunimmt, wird auch der Umfang an Informationen, die erforderlich sind, um uns zu schützen, größer. Es gilt immer effizienter zu werden, und das heißt etwa: Wie lange dauert es, um eine Bedrohung zu erkennen? Ein weiteres entscheidendes Kriterium für das Prädikat »State-of-the-Art«: Wird nur überwacht und reaktiv gehandelt oder proaktive Prävention angewandt?

Was ist der akzeptable Arbeitsaufwand für Sicherheitslösungen (operative Effektivität und Effizienz)?

Um im täglichen Geschäftsbetrieb optimal zu funktionieren, sind Lösungen erforderlich, die im operativen Einsatz effektiv und effizient sind. Es gilt zu prüfen, was ein akzeptables Maß an menschlicher Interaktion für jede Lösung ist. Je niedriger die Effektivität und/oder je größer die menschliche Interaktion ist, desto mehr Optimierungspotenzial besteht im Vergleich zu einer zeitgemäßen, automatisierten Lösung. Die Bedrohungen erfordern die Korrelation von Daten über mehrere Lösungen hinweg, um Bedrohungen genau zu erfassen. Wenn der Gesamtaufwand geprüft wird, muss auch der zusätzliche Aufwand berücksichtigt werden, um Ergebnisse manuell zu korrelieren. Bei integrierten Sicherheitsplattformen geschieht dies ohne zusätzlichen Arbeitsaufwand.

 

»Mit diesen grundlegenden Fragen sollte es bereits möglich sein, zu identifizieren, ob im Unternehmen noch Handlungsbedarf besteht«, fasst Thorsten Henning zusammen. »Auf diese Weise können rechtzeitig Maßnahmen getroffen werden, um den neuen EU-Datenschutzanforderungen gerecht zu werden.«