Diskussionsrunde zu den kurzfristigen Auswirkungen der EU-DSGVO „Traditionelle Sicherheitskonzepte reichen nicht aus“
23. Mai 2018Die DSGVO verstärkt die Bestrebungen vieler Unternehmen, im Zuge der digitalen Transformation den Datenschutz und die IT-Sicherheit ihrer Geschäftsmodelle zu stärken. Zusammen mit der sich verändernden Sicherheitslage erkennen viele Unternehmen, dass traditionelle Sicherheitskonzepte nicht mehr ausreichen. Stattdessen wird es immer wichtiger, den Überblick über die verschiedenen Vorgänge im eigenen Unternehmensnetzwerk zu behalten. So lautet ein Teilergebnis einer Expertendiskussion zur DSGVO.
Kurzfristige Auswirkungen
„Die Anwender müssen die Informationen verstehen – welche sie besitzen, wo diese sind und wer auf sie Zugriff hat. Diese Punkte sind durch den Einsatz von Cloud-basierten Lösungen komplexer geworden.“ Diese Meinung vertritt Michael Kretschmer, Vice President EMEA von Clearswift RUAG Cyber Security. „Erst wenn dies geklärt ist, können Lösungen implementiert werden, um die Informationen zu schützen, Prozesse durchzusetzen und die Betroffenen zu schützen.“ Die DSGVO sollte Organisationen effizienter und effektiver beim Schutz von Informationen machen, was wiederum als Geschäftsvorteil genutzt werden kann so lautet das Credo von Kretschmer.
Nach Einschätzung von Eward Driehuis, Chief Research Officer von SecureLink sind viele Firmen in Bezug auf die Umsetzung der DSGVO spät dran. „Wir sehen in manchen Branchen größere Auswirkungen als in anderen. Unternehmen, die mit Endverbrauchern zu tun haben, etwa Online-Händler mit Kunden in Europa, sind stark betroffen. Diese haben sich jedoch bereits mit dem Konzept des Datenschutzes durch Technikgestaltung sowie der datenschutzfreundlichen Voreinstellung beschäftigt. In der Regel werden dabei Technologien und Prozesse hinzugefügt: Zum Beispiel hat sich die Art und Weise geändert, wie personenbezogene Daten, die nicht aktiv genutzt werden, die sogenannten Sekundärdaten, verschlüsselt werden.“
Häufig werde auch eine Benutzeroberfläche mit Datenschutzeinstellungen hinzugefügt. Eine andere Möglichkeit sei es, die Menge der Daten, die bei jeder Transaktion gespeichert werden, einzugrenzen. „Auf der Prozessseite sehen wir verstärkte Protokollierung und Monitoring, den Aufbau von Audit Trails und die Vorbereitung auf Incidents“, stellt Driehuis fest. „Was die menschliche Seite betrifft, sehen wir weniger Bewegung: Nur wenige Unternehmen stellen einen Datenschutzbeauftragten ein. Stattdessen delegieren sie die Aufgaben an den Sicherheitsbeauftragten.“
Nach seiner Meinung gebe es nur einen Weg, mit der Privatsphäre umzugehen: „Es gleich richtig zu machen. Metaphorische Pflaster und Klebeband auf Schwachstellen zu kleben, kann sich kontraproduktiv auswirken. Unternehmen, die erst spät mit der Umsetzung der DSGVO begonnen haben, sollten erst eine Strategie entwickeln, anstatt willkürliche Maßnahmen einzuführen die nur begrenzte Wirkung haben.“
Punktlösungen versagen
„Viele Organisationen erkennen recht spät, dass ihre bisherige Nutzung von Punktlösungen, die sie über Jahre hinweg angesammelt haben, nicht über die erforderlichen Integrationsschnittstellen verfügt“, stellt Joe Garber fest. Der Global Head of Product Marketing, Information Management & Governance bei Micro Focus gibt sich überzeugt, dass für das Umsetzen der DSGVO alle Technologien nahtlos miteinander arbeiten können müssen. „Daher muss eine Lösung für dieses Problem gefunden werden, ohne ein übermäßiges Maß an manueller und damit riskanter Arbeit zu verursachen. Die Folge für viele Unternehmen ist daher wahrscheinlich die Standardisierung einer Reihe von Technologien und Prozessen, die nachweislich in den Bereichen Sicherheit, Governance, Archivierung und Dateianalyse zusammenarbeiten können.“
„Besonders hervorzuheben ist, dass Unternehmen durch die Anforderungen zu einer höheren Transparenz im Hinblick auf die Verarbeitung der personenbezogenen Daten gelangen,“ bringt es Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security, auf den Punkt. „Das ist etwa bei den Wegen der Datenverarbeitung, der Art der gespeicherten Daten, der Datenzugriffe, etc. der Fall – wenn man diese Aspekte nicht schon vorher umgesetzt hat. Diese gewonnene Transparenz bringt sowohl Optimierungs- als auch Standardisierungschancen mit sich, die im Sinne des Unternehmens gehoben werden können.“
Zudem seien möglicherweise Anpassungen in Anwendungen – zum Beispiel die Aufnahme von Feldern zur Sicherstellung von Informationspflichten oder Löschanforderungen – oder in Systemen (etwa die Verschlüsselung der Daten und der Datenübertragung) notwendig. Auch könnte zur Reduktion eines potenziell bestehenden Risikopotenzials die Implementierung weiterer Sicherheitsmaßnahmen notwendig werden. Der Umfang der Auswirkungen hängt nach ihrer Einschätzung davon ab, inwieweit die bestehenden Datenschutzanforderungen in der IT-Infrastruktur bisher bereits berücksichtigt wurden.
Für den IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies, Dirk Arendt, ist es erst einmal ein Prozess-betreffendes Thema, sprich es wird sich auf die Prozesse im Unternehmen auswirken. Dazu führt er ein Beispiel ins Feld: „Das Profiling ist ein passendes Sujet. Hierunter wird jegliche Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte‘ verstanden. Das kann z.B. zur Einstufung für Versicherungen oder aber zur Bewertung der Kreditwürdigkeit einer Person dienen. Die Daten, die in diesem Zusammenhang über eine Person gesammelt und verarbeitet werden, können nun eingesehen werden. Die Auskunft über alle gesammelten personenbezogenen Daten, die bei einem Unternehmen liegen, kann deren IT-Umgebung vor große Herausforderungen stellen. Die steuerrechtliche Aufbewahrung der Daten ist für einen begrenzten Zeitraum von zehn Jahren erforderlich. In der Praxis werden die Daten aber deutlich länger aufbewahrt.“
Vergessen als Pflicht
Durch das Recht auf „Vergessenwerden“ und das Recht auf Datenübertragung müssen nach seiner Einschätzung Unternehmen relativ schnell personenbezogene Daten finden und löschen können. Diese Daten dürfen nicht an unbefugte Dritte weitergegeben werden. „Jede Übertragung, auch an ein anderes Unternehmen der gleichen Unternehmensgruppe, muss dokumentiert werden, um die Daten im Zweifel lückenlos nachverfolgen und löschen zu können“, zitiert Arendt die Verordnung. „Das heißt für die IT-Sicherheitsabteilung der Unternehmen allerdings auch, dass der Schutz vor Hackerangriffen verstärkt werden muss. Hierzu sind weitere Investitionen in die IT-Sicherheit nötig, eine Orientierung bietet die amerikanische NIST mit dem Security Framework oder die CIS Controls. Generell raten wir dazu, einen Multi-Layer-Ansatz zu implementieren, um die IT-Systeme vor allem vor bislang unbekannten Cyber-Bedrohungen der 5. Generation und Zero-Day-Attacken zu schützen.“
Für die IT-Umgebung der Unternehmen wird es Umwälzungen geben. Das prognostiziert Fabio Marti, Director Business Development bei der Brabbler AG. „Alles wird auf den Prüfstand gestellt werden müssen. Gerade bei IT-Lösungen, die Daten außerhalb der EU speichern oder deren Urheber in Ländern mit niedrigeren Datenschutzstandards ansässig sind, werden sich Unternehmen über Alternativen Gedanken machen müssen.“
Dies betreffe den Großteil der amerikanischen Cloud-Dienste, die in nahezu jedem Unternehmen hierzulande ihren festen Platz haben. „Wie der Rechtsstreit zwischen FBI und Microsoft vor dem US Supreme Court belegt, ist davon auszugehen, dass amerikanische Geheimdienste umfassenden Zugang zu den sensiblen Daten in diesen Clouds erhalten“, resümiert Marti. „Dazu gehören auch personenbezogene Daten von Kunden, Mitarbeitern und Geschäftskontakten. Zudem wird die sogenannte Schatten-IT schnell zur Falle. So kann die Nutzung von WhatsApp auf Diensthandys problematisch sein, da die App das gesamte Adressbuch ausliest und an WhatsApp und indirekt Facebook übermittelt. Diese Probleme haben viele Unternehmen noch gar nicht erkannt.“
Rainer Huttenloher
Teilnehmer an dem "virtuellen Roundtable" zum Thema DSGVO waren:
Dirk Arendt, IT-Sicherheitsexperte und Leiter Public Sector & Government Relations bei Check Point Software Technologies GmbH
Pascal Cronauer, Regional Director DACH bei LogPoint
Eward Driehuis, Chief Research Officer von SecureLink
Joe Garber, Global Head of Product Marketing, Information Management & Governance bei Micro Focus
Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security
Fabio Marti, Director Business Development bei der Brabbler AG
Eva-Maria Scheiter, Executive Consultant GRC, NTT Security
Marc Schieder, CIO von DRACOON