Jackin - Fotolia

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance

Für Unternehmen entstehen die größten Probleme im Zusammenhang mit der GDPR /EU-DSGVO durch die Veränderungen bei der Erbringung von IT-Diensten.

Dieser Artikel behandelt

Datenschutz

Mit der Veröffentlichung der endgültigen Version der General Data Protection Regulation (GDPR) der Europäischen Union, zu Deutsch EU-Datenschutz-Grundverordnung (EU-DSGVO), im Dezember 2015, endete eine dreijährige Diskussion über personenbezogene Daten, Sicherheit und die Verantwortung für den Schutz vor Datenmissbrauch. Nach aller Lobby-Arbeit und allen Kompromissen wird die endgültige Fassung der GDPR jetzt die Grundlage für eine einheitliche Herangehensweise an die Datensicherheit in ganz Europa schaffen.

Ab dem ersten Quartal 2016 werden Unternehmen zwei Jahre Zeit haben, ihre IT-Infrastruktur an die Bestimmungen der GDPR anzupassen. Der Zeitraum bis 2018 mag vielleicht lang erscheinen, doch werden sich die IT-Teams der Unternehmen enorm anstrengen müssen, um diese Frist einzuhalten. Der schiere Umfang der vorhandenen IT-Implementierungen sowie die Komplexität der IT-Netzwerke und Datenspeicher, die Unternehmen im Lauf der Zeit aufgebaut haben, erschweren die Implementierung umfassender Sicherheit.

Zu dieser Komplexität kommt hinzu, dass Unternehmen aus ihren vorhandenen IT-Assets das Maximum herausholen möchten, weshalb der Weg zur Umsetzung der GDPR sich als lang und steinig erweisen dürfte. Allerdings lässt sich ein Teil der Probleme potenziell vermindern, wenn man sich die Möglichkeiten der Cloud zunutze macht.

Die wichtigsten Ziele der GDPR /EU-DSGVO

Im Zusammenhang mit der Datensicherheit will die GDPR vier Zielen mehr Geltung verschaffen:

  • Einfacheres Einholen von Auskünften zu Daten, die über die eigene Person erhoben werden. Wenn Personen Unternehmen Informationen überlassen, sei es aufgrund einer Beziehung zu diesem Unternehmen oder als Gegenleistung für einen Dienst, will die GDPR dafür sorgen, dass die Betroffenen mehr Auskunft über die Verarbeitung ihrer Daten erhalten. Noch wichtiger ist jedoch, dass die Auskünfte jedem, der sie anfordert, in klarer und leicht verständlicher Form zur Verfügung gestellt werden müssen.
  • Unterstützung für Datenportabilität. Wenn eine Person einen Dienst nicht länger nutzen möchte, muss es ihr problemlos möglich sein, ihre personenbezogenen Daten in die Systeme eines anderen Dienstleisters überführen zu lassen.
  • Präzisierung der Bedingungen für das Recht auf Vergessenwerden. Seit 2014 entfernt Google gemäß den Bestimmungen der bisherigen EU-Datenschutzrichtlinie sowie der ersten Version der GDPR Links aus seinen Suchergebnissen. Die aktualisierte Version der GDPR enthält neue Leitlinien zu der Frage, was zu geschehen hat, wenn eine Person nicht mehr möchte, dass ihre Daten verarbeitet werden. Außerdem wurden die Bestimmungen zu der Frage aktualisiert, inwiefern Daten gelöscht werden können und müssen, wenn es keine legitimen Gründe gibt, sie aufzubewahren.
  • Meldung von Datenschutzverletzungen. Für Unternehmen ist dies vielleicht der wichtigste Punkt: Er beschreibt, wie sie im Fall einer Datenschutzverletzung verfahren müssen. Damit soll die Meldung von Datenschutzverletzungen in den europäischen Ländern einheitlich geregelt werden.

Für Unternehmen, Behörden und gemeinnützige Organisationen ist der Verlust oder Diebstahl von Daten ein gravierendes Risiko. Die GDPR stellt genauere Richtlinien für den Schutz dieser Daten auf, macht aber auch deutlich, wie Unternehmen und andere Einrichtungen vorgehen müssen, falls der Datenschutz verletzt wurde.

Der wichtigste Aspekt ist hier, dass die zuständigen nationalen Behörden über gravierende Datenschutzverletzungen so schnell wie möglich unterrichtet werden müssen. Dies soll gewährleisten, dass die Benutzer geeignete Maßnahmen treffen können, um ihre persönlichen Daten und – falls Finanzinformationen betroffen sind – ihre Bankkonten zu schützen.

Wo liegen die Stolpersteine auf dem Weg zu mehr Sicherheit?

Die größten Probleme, mit denen die IT-Teams von Unternehmen konfrontiert sind, wenn sie rund um die GDPR vorausplanen, entstehen durch die Veränderungen bei der Erbringung von IT-Diensten. Heutzutage arbeiten die Beschäftigten immer öfter außerhalb der Unternehmensstandorte; sei es mit Laptops, die ihnen der Arbeitgeber zur Verfügung stellt, oder mit ihren eigenen Smartphones und Tablets.

Bei der Nutzung von Cloud-Anwendungen ist ebenfalls ein Anstieg zu beobachten und IT-Teams steigen für Dienste, die im gesamten Unternehmen genutzt werden, auf Anwendungen wie Office 365 oder Google Apps um. Außerdem treffen die einzelnen Geschäftsbereiche Entscheidungen zur Auswahl ihrer IT heute oft unabhängiger. Dies kann dazu führen, dass ganz ohne Einbindung des IT-Teams neue Dienste bereitgestellt werden.

Was heißt dies nun unter dem Strich? Es bedeutet, dass personenbezogene Daten im ganzen Unternehmen auf neue Weise gefunden, erstellt und gespeichert werden können, ohne dass die IT dies unter Kontrolle hat. Quellen von Kundendaten können sich vielerorts im Unternehmen befinden, weshalb es für die IT eine Herausforderung darstellt, sie alle effektiv im Blick zu behalten. Zwar wissen Anwender heute besser über Sicherheit und Daten Bescheid als in früheren Jahren, doch die Teams in den Geschäftsbereichen denken bei der Auswahl von Diensten oder im Arbeitsalltag vielleicht nicht immer an die Datensicherheit.

All dies macht deutlich, dass die Einhaltung der GDPR mit sehr viel Aufwand verbunden ist. Manch einer mag sich da wünschen, die gerufenen Geister wieder in die Flasche zurückbefördern zu können – doch das wird nicht funktionieren. Stattdessen müssen Unternehmen als ersten Schritt genaue Erkenntnis darüber gewinnen, welche IT-Assets sie haben und wo sich diese befinden. Eine solche Bestandsaufnahme hilft dem Unternehmen nicht nur, einen umfassenden Überblick über seine IT zu erhalten, sondern kann im Lauf der Zeit auch dazu beitragen, das Schwachstellen-Management zu verbessern. Vor allem muss das nicht teuer sein: Kostenlose Tools, die sämtliche IT-Bestände präzise inventarisieren können, einschließlich installierter Software, verwendeter Hardware und aktuellem Status, sind weit verbreitet.

Wenn diese genaue Übersicht über alle IT-Assets gewonnen ist, muss überprüft werden, an welchen Stellen im Unternehmen sich Kundendaten befinden könnten. Dabei wird sich vielleicht herausstellen, dass mehr Datensätze zu Kunden vorhanden sind als angenommen. Die erste Adresse werden zwar in der Regel die Marketingabteilung und das CRM-System (Customer Relationship Management) sein, doch auch andere Abteilungen können durchaus Kundendaten angelegt haben.

Ein solcher Bereich, in dem möglicherweise Kundendaten gespeichert sind, ist der Kundendienst: Ein Großteil der betreffenden Informationen mag sich zwar in der CRM-Anwendung befinden, doch auch IT-Service-Management-Systeme können eine Menge potenziell sensibler Daten enthalten. Ebenso könnte die Finanzabteilung Kundendaten zur Verwaltung von Zahlungsbelegen und zur Rechnungsstellung vorhalten. Supply-Chain- und Beschaffungsteams eines Unternehmens könnten ebenfalls über wertvolle Daten zu jedem Kunden verfügen.

Diese verschiedenen Informationen fallen potenziell allesamt unter die neue Verordnung zum Schutz personenbezogener Daten. Ist sich ein Unternehmen jedoch nicht darüber im Klaren, wo im Lauf der Zeit überall Kundendaten gespeichert wurden, wird die Einhaltung der GDPR größere Probleme und mehr Zeitaufwand verursachen. Zudem erhöht sich die Schwierigkeit, sich vor menschlichem Versagen zu schützen – etwa wenn Daten auf Geräten einzelner Mitarbeiter gespeichert wurden und ein solches Gerät außerhalb des Unternehmens verlorengeht.

Privacy By Design gewährleisten

Eine Forderung der GDPR besagt, dass alle Dienste dem Grundsatz Privacy by Design genügen sollen – das heißt, personenbezogene Daten sollten nicht um ihrer selbst willen erhoben werden, sondern nur dann, wenn es zur Erbringung eines Dienstes wirklich erforderlich ist. Im Fall von Datenschutzverletzungen kann ein geeignetes Service-Design verhindern helfen, dass Benutzer durch den Verlust oder Diebstahl von Daten zu Schaden kommen. Schwierig wird dies allerdings, wenn einzelne Mitarbeiter oder Teams personenbezogene Daten (PII) erfassen und nutzen, ohne dass das IT-Sicherheitspersonal darüber Bescheid weiß. Wenn personenbezogene Daten auf den Geräten einzelner Mitarbeiter gespeichert werden, lassen sich Sicherheitsverletzungen möglicherweise schwerer feststellen.

„Die vorhandenen IT-Assets besser sichtbar zu machen, ist für alle Unternehmen der notwendige erste Schritt hin zur Einhaltung der GDPR.“

Wolfgang Kandek, Qualys

xxx

Außerdem kann es schwieriger sein, personenbezogene Daten vorschriftsgemäß zu löschen oder auf andere Anbieter zu übertragen, wenn sie über das ganze Unternehmen verstreut sind. Um den Bestimmungen der GDPR gerecht zu werden, müssen deshalb Verfahren etabliert werden, mit denen die Verwendung von Daten auf den Geräten unternehmensweit besser verwaltet und kontrolliert werden kann. Das reicht von Zwei-Faktor-Authentifizierung beim Zugriff auf Anwendungen bis hin zu starker Verschlüsselung von Daten, die auf Geräten gespeichert werden. Solche Verfahren durchzusetzen ist jedoch unmöglich, wenn das Unternehmen über keine präzise und aktuelle Liste all seiner IT-Bestände verfügt.

Fazit

Mit der GDPR verbindet sich die Hoffnung, dass die europaweite Vereinheitlichung der Bestimmungen den Unternehmen den Datenschutz erleichtert und dass Privatpersonen besser geschützt werden. Bis sich diese Vision für den Datenschutz erfüllt, wird allerdings noch viel Zeit vergehen. Die vorhandenen IT-Assets besser sichtbar zu machen, ist für alle Unternehmen der notwendige erste Schritt hin zur Einhaltung der GDPR. Wenn sie dieses Fundament gelegt haben, können sie anfangen, geeignete Lebenszyklus- und Management-Prozesse zu etablieren, die den künftigen Anforderungen gerecht werden.

Über den Autor:
Wolfgang Kandek ist CTO bei Qualys. Qualys, Inc. ist ein Anbieter von On-Demand-Lösungen für IT-Sicherheits- und Compliance-Management, bereitgestellt als Service. Der Service QualysGuard wird derzeit von mehr als 5.000 Unternehmen in 85 Ländern genutzt, darunter 47 der Fortune Global 100, und führt pro Jahr über 500 Millionen IP-Audits durch. Qualys unterhält strategische Vereinbarungen mit führenden Managed Service Providern und Consulting-Firmen und gehört zu den Gründungsmitgliedern der Cloud Security Alliance (CSA).

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close