Die EU-DSGVO und die bestehende IT-Infrastruktur „Policies und Strategien sind nur so gut wie ihre Umsetzung“
2. Dezember 2017
Die Auswirkungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO) zeichnen sich in vielen Bereichen ab. Dazu müssen sich die Verantwortlichen Fragen stellen wie etwa: Wie kann die bestehende IT-Infrastruktur als Basis dienen, und die DSGVO durchzusetzen? Was muss bereits vorhanden sein, und wie integriere ich dies in eine DSGVO-kompatible IT-Security? Wie muss ich mit der Schatten-IT umgehen? Diese Fragen haben DSGVO-Kenner in der Diskussionsrunde von Line-of.biz besprochen.
Strategischer Ansatz
„Jedes Unternehmen sollte für die Umsetzung der EU-DSGVO über eine bestimmte Strategie verfügen“, fordert Gerald Pernack, Archer eGRC Solutions Consultant bei RSA Security. „Doch man darf eines nicht vergessen: Policies und Strategien sind nur so gut wie ihre Umsetzung. Letztendlich kann dieses Framework eines Unternehmens als Grundlage genommen werden, um eine Analyse zu fahren. Stellt sich heraus, dass bestimmte Funktionen noch fehlen, kann nachgebessert werden. Diese Lücken in Bezug auf die EU-DSGVO müssen geschlossen werden.“
Für Michael Schröder, Business Development Manager New Technologies bei der ESET Deutschland GmbH, ist eines klar: „Das einzige was zwischen einem Datenschutz-Vorfall-Gau und dem Verantwortlichen steht, sind die Mitarbeiter und die IT-Security. Daher wird dieses Thema einen hohen Stellenwert einnehmen. Das wird nochmals klarer, wenn ich die Beweislastumkehr mit in Betracht ziehe. Kunden und Aufsichtsbehörden könnten zu jeder Zeit umfangreiche Auskünfte einfordern, etwa welche Daten erhoben wurden, an wen wurden diese gegebenenfalls weitergegeben, wann werden sie gelöscht, etc. Hierauf muss der Verantwortliche innerhalb üblicher Fristen – etwa drei Wochen – aussagefähig sein. Bei Ungereimtheiten oder offensichtlichen Verstößen wäre ein Kunde sogar in der Lage, immaterielle Schäden – also Schmerzensgeld – gerichtlich geltend zu machen.“
Schatten-IT
Eine Herausforderung bei der Umsetzung der DSGVO im Unternehmen stellt die Schatten-IT dar. Denn sie hat vielfältige Facetten: Wer weiß was sich auf den Notebooks von Außendienstmitarbeitern befindet? Welche Anwender haben Zugriff – mit den Firmengeräten – auf das Internet? Wer kann seinen privaten Cloud-Speicherplatz aufrufen?
„Hier sind oftmals die Datenschutzbeauftragten perplex, wenn solche Fragen im Unternehmen gestellt werden“, gesteht Michael Schröder ein. „Derartige Risiken müssen minimiert werden, und Mitarbeiter sollten über bestimmte Richtlinien entlastet werden: Warum sollte ein Mitarbeiter zum Beispiel in der Lage sein, jede beliebige globale Webseite oder den privaten „Dropbox“-Account zu öffnen? Auch das Unternehmensmanagement muss hier mit einbezogen werden. Oftmals stellt diese Benutzergruppe sogar das größte Risiko dar, einfach weil die Geschäftsleitung in der Regel die meisten Ausnahmen eigeräumt werden.“
„Das Thema Schatten-IT spielt Citrix in die Karten“, stellt Thomas Biedermann fest. „Dabei haben wir meist keinen Einfluss auf die tatsächliche Nutzung von Schatten-IT, aber Terminal-Serversysteme und VPN-Verbindungen können als verlässliche Basis für die IT-Sicherheit dienen. Das Idealszenario sind sicherlich DSGVO-konforme Dienste, die beispielsweise fast die gleiche Funktionalität und Usability bereitstellen, wie das die ‚verbotenen‘ Ressourcen aus der Cloud auch bereitstellen. Auch der BYOD-Ansatz – also Bring Your Own Device – kann hier Lücken aufreißen, je größer das Unternehmen, desto schwieriger wird es dies zu begrenzen. Dabei sehen wir auch die Mitarbeiter in der Pflicht, aber auch technische Lösungen müssen ergriffen werden.“
Der Komfortaspekt der Endbenutzer wird von Michael Schröder als Triebfeder ausgemacht. „Ein Mitarbeiter sucht sich den Weg des geringsten Widerstands, und möchte sich so simpel und effizient wie möglich eine Arbeitserleichterung zu verschaffen. Ein derartiger Wildwuchs lässt sich kaum kontrollieren, daher müssen bestimmte Funktionen im Vorfeld verhindert werden. Wenn ich bestimmte Dienste im Unternehmen nicht erlaube, sie dagegen regelrecht sperre, dann gebe ich eine gewisse Richtung vor, auf denen sich die Mitarbeiter bewegen können. Dabei kann es auch dazu kommen, dass bestimmte Privilegien, die bisher als selbstverständlich gegolten haben, plötzlich den Mitarbeitern entzogen werden müssen – aus Sicherheitsgründen im Zuge der EU-DSGVO.“
„Das Thema Schatten-IT muss vom Management des Unternehmens angegangen werden“, stellt Gerold Pernack fest. „Denn die Mitarbeiter werden immer Mittel und Wege finden, um Restriktionen zu umgehen. Dabei kommt hinzu, dass ein einzelner Mitarbeiter im Zuge der DSGVO nicht für Fehler verantwortlich gemacht werden kann, dieser Kelch wird nach ganz oben durchgereicht.“ Daher empfiehlt er standardisierte Systeme, Funktionen und Geräte, die sozusagen von oben nach unten eingeführt werden sollten. „Allerdings müssen diese Änderungen den Mitarbeitern erklärt werden“, wirft Pernack ein. „Das erhöht dann die Akzeptanz von Änderungen, die vielleicht für den einen oder anderen nicht so angenehm ausfallen. Hier kommt auch der Datenschutzbeauftragte ins Spiel: Dieser muss in der Lage sein, in jeder Abteilung die gewünschten Änderungen zu kommunizieren und den Mitarbeitern in den Fachabteilungen die Neuerungen zu erklären.“
Zertifizierung
In Bezug auf die EU-DSGVO können sich Unternehmen entsprechend zertifizieren. Dies kann nun positiv oder negativ ausgelegt werden – etwa nach dem Motto: Habe ich meine Zertifizierung erhalten, und nichts passiert, also kein Daten-Gau oder ähnliches, ist alles gut. Im schlimmsten Fall allerdings erhält ein Unternehmen seine Zertifizierung und kurze Zeit später wird ein Data-Breach bekannt, bei dem sensible Kundendaten aus dem Unternehmen öffentlich werden. Falls sich das Unternehmen vorher noch mit seiner DSGVO-Zertifizierung „gebrüstet“ hat, wird dies unter Umständen zum Alptraum für die betroffene Firma. Somit wäre der Wettbewerbsvorteil dank DSGVO ganz schnell ins Negative umgekehrt.
Aus dem Blickwinkel der IT-Security lässt sich feststellen, dass nur noch wenig Zeit für die Umsetzung der EU-DGVO bereitsteht. Bis zum 25. Mai 2018 müssen die Unternehmen DSGVO-fit sein. Dazu empfiehlt Michael Schröder ein dreistufiges Sicherheitskonzept: „Zum einen ist da der ‚Klassiker‘ zu nennen: die Endpoint-Protection. Zudem ist es wichtig, die Anmeldedaten weiter abzusichern. Daher ist es nicht verwunderlich, dass als zweite Komponente eine Zweifaktor-Authentifizierung implementiert werden soll. Als dritten Punkt müssen die Daten auch bei Verlust von Geräten, Daten, E-Mails und Wechseldatenträgern weiterhin abgesichert bleiben. Eine zuverlässige Verschlüsselung ist in dieser Frage quasi Pflicht. Damit lassen sich die Hauptrisiken schon einmal recht zuverlässig mit der IT-Sicherheit abdecken.“
Die IT-Verantwortlichen sollten ein besonderes Augenmerk auf die Zugangsdaten der Mitarbeiter legen. Denn das Risiko ist in diesem Bereich besonders hoch. Viele Cyber-Kriminelle konzentrieren sich auf derartige Machenschaften, da dies ein „planbarer“ Angriff ist – sprich mit einem gewissen Investment kann ein berechenbarer Gewinn erzielt werden. Auch ganz wichtig ist eine zuverlässige Backup- und Recovery-Lösung, so Schröder weiter. „Das ist auch einer der zentralen Punkte in der DSGVO: die Wiederherstellbarkeit der Daten. Hier sehen wir die ‚gute, alte Bandsicherung‘ zunehmend kritisch. Denn besonders was die Geschwindigkeit der Wiederherstellung angeht, oder was die Löschthematik betrifft, erweist sich dieser Lösungsansatz als nicht mehr zeitgemäß. Auch ein durchdachtes Patch- und Risikomanagement erhöht die Sicherheit in den Unternehmen enorm.
Auf die Frage, ob den Unternehmen in Sachen EU-DSGVO die Zeit davon läuft, erwidert Thomas Biedermann: „Zunächst gilt es, einen kühlen Kopf zu behalten, die Situation analysieren und danach die passenden Schritte einzuleiten. Wenn wir als Citrix mit Unternehmen sprechen, wird oftmals klar, dass das Thema DSGVO für viele Firmen noch in weiter Zukunft liegt – obwohl es ja nur noch etwa ein halbes Jahr dauert, bis die Verordnung in Kraft treten wird. Wer das Ganze zu einhundert Prozent in den nächsten Monaten abbilden möchte und heute noch nicht mit den Arbeiten begonnen hat, der wird diese Aufgabe wohl nicht schaffen. Wichtiger als sich in blinden Aktionismus zu verrennen ist sicherlich für die Unternehmen, dass sie sich sehr genau anschauen, an welchen Punkten die DSGVO sie betrifft und gezielte Lösungen dafür schaffen.“
„Der Gedanke, dass ja noch sehr lange Zeit bleibt, sich mit der DSGVO zu beschäftigen, ist weit verbreitet“, gesteht Gerald Pernack ein. „Teilweise ist auch noch nicht das passende Budget bereitgestellt, obwohl immer klarer wird, dass ‚etwas passieren muss‘. Sehen sich die Firmen nun nach einer tollen Komplettlösung um, die verspricht, das Unternehmen komplett ‚DSGVO-compliant‘ zu machen, rate ich dazu, von diesen Produkten die Finger zu lassen. Das ist einfach eine utopische Vorstellung, ich installiere eine Software und ‚schwupp‘ ist alles geregelt.“
Sein Credo lautet: Hinsetzen, Ruhe bewahren und sich klarmachen, wie es um den aktuellen Ist-Zustand bestellt ist. „Danach müssen sich die einzelnen Abteilungen zusammensetzen und eine passende Roadmap entwickeln“, skizziert Pernack. „Dies sind allerdings Dinge, die sich nicht über Nacht implementieren, dokumentieren und durchsetzen lassen. Allerdings muss man auch klipp und klar sagen, dass eine 100-prozentige Einhaltung aller Punkte der DSGVO nicht möglich ist. Daher müssen sich die Unternehmen über ihre ‚offenen Flanken‘ im Klaren sein und diese so gut es geht eindämmen. Damit zeige ich den Aufsichtsbehörden auch ganz klar, dass ich mich damit beschäftige, und versuche die vorhandenen Schwachstellen zu beseitigen. Es ist quasi wie ein ständiger Kreislauf, eine ständige Anpassung ist dabei nötig.“
