DSGVO: Noch nicht zu spät für Compliance Nur mit Transparenz ergibt sich DSGVO-Konformität

20. Juli 2018

Die DSGVO erfordert geeignete Maßnahmen um die personenbezogenen Daten zu schützen. Dazu darf jedes Unternehmen in seinen technischen und organisatorischen Maßnahmen (TOMs) definieren, welche Aktionen verfolgt werden – muss dazu aber den „Stand der Technik“ einbeziehen. Hier kommt auch das Thema Schwachstellenmanagement auf die Agenda.

Voraussetzungen für DSGVO-Konformität

Seit dem 25. Mai 2018 müssen sich alle Unternehmen, die sich entweder in der Europäischen Union befinden oder Handelsbeziehungen mit ihr haben, dem neuen Regelwerk unterwerfen. Doch noch gehen viele Unternehmen nicht mit der Datenschutzgrundverordnung (DSGVO) konform, was gravierende Konsequenzen nach sich ziehen kann. Sinn und Zweck des Gesetzeswerks ist der Schutz personenbezogener Daten. Gerade in Zeiten, in denen persönliche Daten von sozialen Medien und Suchmaschinenanbieter zu Werbezwecken weiterveräußert oder aus Nachlässigkeit durch Cyberangriffe gestohlen werden, ist das ein sehr begrüßenswertes Ziel.

Jedoch gilt gleiches Recht für alle. Verstöße werden nicht nur bei Großkonzernen geahndet – jedes Unternehmen, jede Organisation und jeder Verein unterliegt der DSGVO. Verstöße kommen teuer zu stehen: Bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des Jahresumsatzes – je nachdem welche Summe höher ist – kann die Nachlässigkeit im Datenschutz kosten.

Um mit der neuen Gesetzeslage konform zu gehen, sind einige Faktoren zu beachten. Zunächst müssen Unternehmen geeignete Maßnahmen treffen, Daten vertraulich zu speichern. Dies setzt eine gute Verschlüsselung voraus, wobei sowohl gespeicherte Daten als auch Daten im Zustand der Übermittlung verschlüsselt und pseudonymisiert werden müssen. Die Definition geeigneter Maßnahmen formuliert jedes Unternehmen in den technischen und organisatorischen Maßnahmen (TOMs).

Im Gesetzestext ist die Rede vom „Stand der Technik“, der nicht weiter ausgeführt ist. Da sich dieser Stand jedoch kontinuierlich ändert, sind Unternehmen und Organisationen zu permanenten Aktualisierungen verpflichtet. In der DSGVO kommt nun neu hinzu, dass die IT-Systeme, also sowohl Hard- und Software als auch die Konnektivität, stabil und zuverlässig arbeiten müssen. War dies in der Vergangenheit im Rahmen der betrieblichen Funktion wünschenswert, ist das nun gesetzlich vorgeschrieben. Die getroffenen Schutzmaßnahmen müssen ebenfalls ständig auf ihre Stabilität und Funktion überprüft werden. So sollen die Wahrscheinlichkeit des Datenmissbrauchs sowie der daraus resultierende, mögliche Schaden dokumentiert werden.

Schwachstellenmanagement

Robert Klinger ist Produktmanager bei der baramundi software AG; Quelle: baramundi Software

Wie sieht die Funktion eines Schwachstellenmanagements aus? Wenn bei der regelmäßigen Überprüfung der IT-Infrastruktur ein Risiko ermittelt wurde, führt das Management eine Einschätzung auf die möglichen Konsequenzen durch. Bei mehreren ermittelten Schwachstellen erfolgt eine Priorisierung, welche zuerst bearbeitet wird. Diese Einschätzung wird in Form von Berichten und in einem allgemeinen System-Dashboard angezeigt, auf das die Administratoren ständig Zugriff haben. Die auf diese Weise erzeugte Transparenz ist ein zentraler Baustein auf dem Weg zur DSGVO-Compliance.

Die Fehlerquellen und Risiken können dabei auf verschiedenen Feldern liegen. Beispielsweise können Betriebssysteme instabil laufen oder über Schwachstellen verfügen, so dass ein Update eingespielt werden muss. Anwendungen können Sicherheitslücken enthalten, gewählte Passwörter können zu schwach oder ungültig sein, oder es bestehen Unstimmigkeiten in der Systemkonfiguration von Servern. Ein Schwachstellenmanagement erkennt diese. Neben den gängigen Schwachstellen im Softwarebereich kann es auch falsch konfigurierte Systeme erkennen und die richtige Konfiguration wiederherstellen. Bei der Erkennung der Schwachstellen greift das Managementsystem auf Datenbanken von anerkannten Sicherheitsorganisationen zurück und bleibt somit bei seiner Analyse immer auf dem neuesten Stand.

Durch Automatisierung können Risiken zeitnah behoben werden. Das ist aus vielen Gründen für die Unternehmens-IT wichtig. Neben der Verringerung des Zeitfensters für mögliche Angriffe seitens Cyberkriminellen erfordern auch die Vorgaben des Gesetzgebers eine rasche Reaktion. Im Falle, dass personenbezogene Daten entwendet oder manipuliert wurden, muss eine Meldung innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden und an die Personen erfolgen, deren Daten betroffen sind.

Doch auch bei Betrachtung der Kostenseite ist der Einsatz eines Schwachstellenmanagements ratsam. Die ständige Risikobewertung bindet als kontinuierlicher Prozess wertvolle Personalressourcen und die Schwachstellenbehebung ist mit erheblichem Aufwand verbunden. Da die Lösungen für Schwachstellenmanagement oft auch mit einem Endpoint-Management kombinierbar sind, erübrigt sich für Unternehmen und Organisationen die kostspielige „Turnschuh-Administration“.

So könnte die Einführung der Datenschutzgrundverordnung doch ein Gutes haben und Unternehmen dazu motivieren, ihr Sicherheitskonzept auf eine neue, stabilere Grundlage zu stellen – und dabei gleichzeitig den Geldbeutel zu schonen.

Robert Klinger

ist Produktmanager bei der baramundi software AG

Hier geht es zu baramundi software

Lesen Sie auch