Applikationen müssen für die DSGVO geprüft werden Risiken auf der Anwendungsebene
7. Dezember 2017Für viele Unternehmen ist es ein Spiel gegen die Zeit – am 25. Mai 2018 wird die Europäische Datenschutzgrundverordnung (EU-DSGVO) endgültig in Kraft treten und den Umgang mit persönlichen Daten strengeren Regeln unterwerfen. Bei Verstößen drohen empfindliche Strafen: Geldbußen von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro können verhängt werden, je nachdem, welcher Betrag höher ist.
Risiko analysieren
Angesichts dieses hohen Risikos verwundert es, wie wenige Unternehmen das lange Zeitfenster seit Bekanntwerden der Verordnung im Mai 2016 genutzt haben, um sich adäquat vorzubereiten. Einer aktuellen Studie von Veritas Technologies zufolge glauben knapp ein Drittel der befragten Unternehmen, die Anforderungen der EU-DSGVO bereits zu erfüllen. Und selbst dieser geringe Wert geht noch weit an der Realität vorbei: Tatsächlich „compliant“ sind lediglich zwei Prozent.
Dass unabhängige Experten und Lösungsanbieter bereits seit Monaten die Trommel schlagen, scheint also nicht geholfen zu haben. Ganz im Gegenteil: Obwohl der Stichtag immer näher rückt, haben viele Unternehmen mit der Vorbereitung noch nicht mal richtig angefangen. Anstatt sich längst um die Eindämmung und Beseitigung der vorhandenen Risiken zu kümmern, wie es eigentlich sinnvoll wäre, haben sie die vorhandenen Risiken noch nicht einmal identifiziert.
Eine häufige Fehleinschätzung vieler Unternehmen lautet, dass es bei der EU-DSGVO lediglich um Fragen der Datenhaltung gehe. Tatsächlich geht es aber ebenso sehr um die Anwendungen, die kritische Daten verarbeiten. Denn gerade sie bergen Risiken, die zu Datenverlust führen können. Eine zielgerichtete Überprüfung der im Unternehmen eingesetzten Anwendungen ist deshalb entscheidend, um die Einhaltung der EU-DSGVO sicherzustellen. Konkret gilt es, das zuständige IT-Team in die Lage zu versetzen, die Anwendungen zu identifizieren und zu analysieren, ihre Nutzung zu planen und zu überwachen sowie bei verdächtigen Aktivitäten rechtzeitig einschreiten zu können.
Auch bei der EU-DSGVO gilt: Unwissenheit schützt vor Strafe nicht. Ein Unternehmen wird auch dann möglicherweise zur Kasse gebeten, wenn es sich eines Risikos gar nicht bewusst war. Um ein solches Szenario abzuwenden, gilt es, vollständige Transparenz über alle im Unternehmen eingesetzten Anwendungen zu schaffen – egal ob es sich um On-Premise- oder Cloud-Software handelt. Allein auf Grundlage einer solchen Übersicht kann entschieden werden, welche Anwendungen ein relevantes Risiko bergen und deshalb überwacht, blockiert oder entfernt werden sollten.
Unternehmen müssen darüber hinaus dafür sorgen, dass die Geräte, auf denen ihre Mitarbeiter arbeiten, sicher sind. Zu diesem Zweck setzen die meisten IT-Teams auf bestimmte Sicherheitslösungen, zum Beispiel auf Remote Wipe, Anti-Viren-Software und Identitätsmanagement. Sicherheit lässt sich aber nur dann gewährleisten, wenn der Schutz keine Lücken aufweist und auf jedem Gerät zuverlässig greift. Ist das nicht der Fall, muss das zuständige Team dies angezeigt bekommen und die Möglichkeit haben, die benötigte Software nachträglich aufzuspielen.
Praxisbeispiel
Weshalb die Identifikation von Risiken der Suche nach der Nadel im Heuhaufen gleicht, zeigt ein Beispiel aus der Praxis. Es geht um ein bekanntes Industrieunternehmen mit 35.000 Mitarbeitern. Die Zahl der Anwendungen, die von der Belegschaft regelmäßig eingesetzt werden, lag zum Zeitpunkt der ersten Überprüfung bei knapp unter 11.000.
Das ist viel, für ein Unternehmen dieser Größenordnung aber der übliche Standard. Hätte man alle diese Anwendungen manuell identifizieren und darauf abklopfen wollen, ob sie kritische Daten verarbeiten, wäre man wahrscheinlich eher im Mai 2028 fertig geworden als im Mai 2018.
Entscheidend ist in solchen Fällen, das Software-Inventar automatisiert mit einer Datenbank an Anwendungen abzugleichen, die mit Blick auf die EU-DSGVO ein potenzielles Risiko bergen. So gelang es im vorliegenden Beispiel, die Zahl der zu prüfenden Anwendungen auf unter 100 zu senken.
Das allein löste selbstverständlich nicht alle Probleme – das zuständige Team musste immer noch prüfen, welche Anwendungen auf welche Daten zugreifen, wer die jeweiligen Anwendungen nutzt, und wie bzw. wo die Daten gespeichert werden. Aber nun musste es sich nicht mehr um 11.000 Anwendungen kümmern, sondern um weniger als ein Prozent der ursprünglichen Menge.
Gefahr aus eigenen Reihen
Die Identifikation der Software ist nur der erste Schritt, anschließend gilt es dem Missbrauch der einzelnen Anwendungen durch Datendiebe vorzubeugen. Dabei setzen Unternehmen zu oft den Fokus auf externe Angreifer, die Gefahr aus den eigenen Reihen unterschätzen sie. Denn ob Absicht oder nicht – auch die eigenen Mitarbeiter können Daten kompromittieren. Gleichzeitig gilt es aber auch zu bedenken: Eine lückenlose Überwachung der eigenen Belegschaft wäre weder praktikabel noch opportun. Stattdessen sollten IT-Teams die typischen Muster bösartiger Aktivitäten identifizieren und auf Lösungen setzen, die Alarm schlagen, wenn die Aktivitäten eines Nutzers einem solchen Muster entsprechen.
Auch hierzu ein Beispiel: Eine britische Gesundheitsorganisation entdecke kürzlich, dass ein Administrator ungewöhnlich häufig außerhalb der normalen Arbeitszeiten auf ein Gerät und Anwendungen zugriff. Das IT-Teams stellte Nachforschungen an und fand heraus, dass auf dem Gerät RealVNC installiert war, eine Software zur Fernsteuerung von Rechnern, die nicht auf einem Gerät mit sensiblen Daten vorhanden sein sollte. Weitere Untersuchungen konnten nachweisen, dass der Administrator tatsächlich Daten gestohlen hatte.
Somit dürfte den meisten eines klar sein: Die Zeit drängt für deutsche Unternehmen. Wer erst jetzt mit der Vorbereitung auf das Inkrafttreten der EU-DSGVO anfängt, der sollte sich wenige Hoffnungen machen, bis Mai 2018 den gesamten Prozess abschließen zu können. Gerade in solchen Fällen muss es deshalb darum gehen, zunächst die größten Risiken zu identifizieren und zu beseitigen. Und diese großen Risiken liegen zumeist auf der Anwendungsebene.
Die IT-Teams müssen sämtliche kritischen Anwendungen identifizieren, sie einer eingehenden Prüfung unterziehen und anschließend Routinen entwickeln, wie sich bösartige Aktivitäten in Zukunft zuverlässig erkennen lassen. Nur so wird es möglich sein, die im Rahmen der EU-DSGVO angedrohten Strafzahlungen zu vermeiden und das Vertrauen derer zu stärken, die dem Unternehmen ihre persönlichen Daten überlassen haben. (rhh)
Benedict Geissler
ist Regional Business Manager für den Bereich DACH bei Snow Software