DSGVO erfordert effiziente Authentifizierung Zugriff auf Daten wirksam schützen

15. Mai 2018

Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird der Schutz personenbezogener Daten deutlich erweitert. Unternehmen und Organisationen müssen daher in noch stärkerem Maße sicherstellen, dass nur dazu berechtigte Personen Zugang zu solchen Informationen erhalten. Eine zentrale Rolle spielt daher eine effiziente Identity Governance.

Startschuss

Quelle: Micro Focus

Ab dem 25. Mai 2018 wird es ernst. Bis dahin müssen Unternehmen die Vorgaben der EU-Datenschutzgrundverordnung umsetzen. Die General Data Protection Regulation (GDPR), so der englische Begriff, gilt für alle Organisationen in der Europäischen Union, die personenbezogene Daten von EU-Bürgern speichern und verarbeiten. Mit der neuen Regelung will die EU den Missbrauch von Daten unterbinden. Dazu zählen die Vernichtung, Manipulation, Weitergabe und Offenlegung sensibler Informationen, außerdem der Zugriff durch Unbefugte.

Für Unternehmen bedeutet dies, dass sie Governance-Maßnahmen implementieren müssen. Dazu zählt eine Analyse und Bewertung möglicher Risiken für personenbezogene Daten durch IT-Systeme und Prozesse (Impact Assessment). Außerdem sind Unternehmen in der Pflicht, regelmäßig durch Audits nachzuweisen, dass sie die neuen Datenschutzbestimmungen einhalten. Eine weitere Anforderung der DSGVO ist, dass der Schutz personenbezogener Daten durch technische Maßnahmen (Data Protection by Design) gewährleistet sein muss. Wer gegen diese Vorgaben verstößt, muss mit Strafen rechnen – in schweren Fällen mit Geldbußen von bis zu 20 Millionen Euro.

Zugriff wirkungsvoll schützen

Ein Kernpunkt der DSGVO ist, dass nur dazu autorisierte Personen Zugang zu personenbezogenen Daten erhalten. Wichtig ist dabei der revisionssichere Nachweis: Unternehmen müssen belegen, dass Unbefugte keinen Zugriff auf solche Daten haben. Doch diesen Nachweis zu führen, ist für IT-Abteilungen alles andere als einfach.

Zwar setzen viele Unternehmen eine automatisierte Berechtigungsvergabe und Zugangskontrolle in Form von Identity- und Access-Management-Lösungen ein. Doch diese Lösungen bringen häufig mehrere Probleme mit sich. Erstens, erlaubt ein Großteil von ihnen keine revisionssichere Überprüfung. Außerdem werden selten wirklich alle Systeme eines Unternehmens integriert, da sich dieser Aufwand erst bei einer großen Anzahl von Anwendern lohnt. Identity-Management-Systeme umfassen also meistens nicht die komplette Berechtigungsstruktur.

Um die Vorgaben der EU-DSGVO zu erfüllen, benötigen Unternehmen daher eine richtlinienkonforme Berechtigungsstruktur mit revisionssicherem Nachweis. Eine Weiterentwicklung des oft unzureichenden Identity and Access Managements (IAM) sind Identity- und Access-Government-Lösungen (IAG). Sie stellen nicht nur Funktionen bereit, mit denen Unternehmen die Identität und Zugriffsrechte von IT-Nutzern zentral erfassen und verwalten können, wie etwa das Beantragen und automatisierte Prüfen von Berechtigungen sowie eine revisionssichere Genehmigung von entsprechenden Anfragen. Denn IAG geht noch einen Schritt weiter und erlaubt die effiziente Überwachung aller Berechtigungen und Zugriffe.

Drei zentrale Punkte

Joe Garber ist Global Head of Product Marketing bei Micro Focus. Quelle: Micro Focus

Eine IAM-Lösung, mit deren Hilfe Unternehmen die Anforderungen der EU-DSGVO erfüllen können, sollte daher folgende Punkte berücksichtigen:

Das Management und die Verwaltung von Rechten: Wichtig ist vor dem Hintergrund der DSGVO, dass IT-Nutzer nur über die Rechte verfügen, die sie für ihre Arbeit unbedingt benötigen. Dieses Least-Privilege-Prinzip ist ein effizientes Mittel, um Verstöße gegen Datenschutz- und Compliance-Regeln zu verhindern. Zudem unterbindet es Angriffe durch illoyale eigene Mitarbeiter (Insider).

Das Einrichten effektiver Zugangskontrollen und einer wirkungsvollen Authentifizierung: Bei der Arbeit mit Anwendungen und Daten sollte eine Authentifizierung der Nutzer zum Zuge kommen, die auf den Kontext abgestimmt ist. Bei Usern, die beispielsweise an einem Rechner im Büro auf personenbezogene Daten zugreifen, genügen einfache Anmeldeinformationen wie Nutzername und Passwort. Bei Mitarbeitern, die unterwegs auf dem Notebook oder Smartphone solche Daten nutzen, sind strengere Authentifizierungsverfahren angebracht. Das ist insbesondere dann der Fall, wenn ein Nutzer mit personenbezogenen Informationen arbeitet. Ein Identity and Access Management muss daher eine abgestufte Zugriffsverwaltung bieten, je nach Schutzbedarf der Daten und Anwendungsfall.

Die Aktivitäten von Nutzern erfassen: Dies hat nichts mit dem Bespitzeln von Mitarbeitern zu tun. Vielmehr sollten IAM-Lösungen in der Lage sein, auffällige Aktivitäten von IT-Nutzern zu erfassen, vor allem solchen mit privilegierten Zugriffsrechten. Ein solches Privileged Identity Management erkennt, wenn ein User auf Daten zugreift, die nicht zu seinem Arbeitsbereich gehören. Wenn ein Mitarbeiter aus der IT-Abteilung beispielsweise ohne ersichtlichen Grund Kundendaten kopiert, kann dies ein Indiz für eine Hacker-Attacke sein. Denn Cyber-Kriminelle verschaffen sich vorzugsweise die Account-Informationen von IT-Nutzern mit privilegierten Rechten, um an verwertbare Daten zu gelangen.

Für die meisten Unternehmen bedeutet die EU-DSGVO zunächst einmal eines: mehr Arbeit. Doch die neue Regelung hat für Unternehmen durchaus positive Seiten. Sie animiert beispielsweise dazu, die Datenschutz-Regelungen und Strategien für das Identity and Access Management auf den Prüfstand zu stellen. Dadurch lassen sich bereits im Vorfeld Schwachpunkte identifizieren und Datenlecks vermeiden.

Eine IAM-Strategie ist außerdem aus einem weiteren Grund unverzichtbar: Unternehmen greifen verstärkt auf IT-Dienste zurück, die von externen Service-Providern bereitgestellt werden. Dazu gehören Cloud-Dienste und Managed Services für die Verwaltung von Unternehmensnetzen. Dadurch erhalten auch Mitarbeiter von externen Dienstleistern Zugang zu unternehmenseigenen IT-Systemen. Auch diese IT-Fachleute müssen in eine IAM-Strategie eingebunden werden. Denn laut der DSGVO kann ein Unternehmen die Verantwortung nicht auf Dienstleister abschieben, wenn personenbezogene Daten in falsche Hände geraten.

Joe Garber

ist Global Head of Product Marketing bei Micro Focus.

Hier geht es zu Micro Focus

Lesen Sie auch