DSGVO-Audits: Hohe Durchfallquote erwartet

Fehlgeschlagene Audits und Abmahnungen durch Datenschutzbehörden werden sich in den ersten Jahren der DSGVO häufen

Von unserem Gastautor Terry Ray, CTO von Imperva

[datensicherheit.de, 25.07.2018] Der 25. Mai kam und ging. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ist jetzt verbindlich. Die ersten Klagen im Zusammenhang mit der DSGVO wurden bereits eingereicht. Und die Welt dreht sich trotzdem weiter.

Die DSGVO dürfte das weitreichendste und komplexeste Datenschutz-Regelwerk sein, das die Welt je gesehen hat. Das hat folgende Gründe:

• Die DSGVO stellt enorm hohe Sicherheits- und Datenschutzanforderungen an Unternehmen, die personenbezogene Daten besitzen. Dabei spielt es keine Rolle, ob ein Unternehmen diese Daten durch Dritte verarbeiten lässt oder nicht.
• Bei Verletzungen der Vorschriften sieht die DSGVO schwindelerregende Höchststrafen vor. In manchen Fällen könnten diese bis zu 20.000.000 Euro oder 4 % des Jahresumsatzes des zuwiderhandelnden Unternehmens betragen, je nachdem, welcher Betrag höher ist.
• Wenn es um personenbezogene Daten von Bürgern in der EU geht, ist die DSGVO de facto eine globale Verordnung, mithilfe derer die EU ihre Vorstellungen von Datenschutz nahezu weltweit verbreitet.

In Zeiten, in denen regelmäßig spektakuläre Datenpannen Schlagzeilen machen, haben indessen viele Führungskräfte und IT-Administratoren Sorge, dass ihre Unternehmen außerstande sein könnten, die DSGVO einzuhalten.

Bild: Imperva

Terry Ray, CTO von Imperva

Die schlechte Nachricht ist, dass sie wahrscheinlich recht haben. Meine persönliche Prognose lautet, dass neun von zehn Unternehmen ihren ersten DSGVO-Audit nicht bestehen – und dass viele auch bei den nachfolgenden Audits durchfallen werden.

Die gute Nachricht ist, dass sie wahrscheinlich recht haben. Wenn nämlich so große Teile der Welt nicht in der Lage sind, den strengsten Interpretationen der DSGVO gerecht zu werden (am 25. Mail reagierten viele große US-Websites auf die DSGVO damit, dass sie EU-Besucher einfach blockierten), werden die Datenschutzbehörden der EU-Mitgliedsstaaten ihr Vorgehen in der Praxis daran anpassen müssen. Solange sich in einem Unternehmen kein Datendiebstahl oder ein ähnlicher Vorfall ereignet hat, ist es äußerst unwahrscheinlich, dass die Datenschutzbehörden mit voller Härte und Strafgewalt zuschlagen, nur weil die DSGVO-Compliance Lücken aufweist. Zwar werden sich kleinere Delinquenten, bei denen es zu keinem Datenmissbrauch gekommen ist, zweifellos auf Abmahnungen und/oder geringere Geldbußen einstellen müssen, doch darf man davon ausgehen, dass sich die Datenschutzbehörden (wie alle Regulierungsbehörden) auf die Jagd nach den größten, nachlässigsten, glücklosesten und politisch unbeliebtesten Missetätern konzentrieren werden.

Der DSGVO davonlaufen

In den ersten Jahren der DSGVO dürften die meisten Unternehmen keine allzu großen Schwierigkeiten hinsichtlich Compliance-Problemen bekommen, sofern sie nicht (a) mehrmals mit den gleichen Verstößen auffallen, (b) fahrlässiges Verhalten an den Tag legen oder (c) Opfer eines Datenmissbrauchs werden. Denn die Regulierer halten es ein wenig wie die Hacker: Sie konzentrieren sich zunächst sich zuerst die „einfachen Ziele“.

Zum Beispiel schreibt die DSGVO eine sehr grundlegende Datenhygiene vor: Die Unternehmen, die der Verordnung unterliegen, müssen wissen, welche DSGVO-relevanten Daten sie wo gespeichert haben, sie müssen diese Daten klassifizieren sowie überwachen und schützen. In vielen großen und mittleren Unternehmen mangelt es allerdings schon an diesen „Basics“ der Datenhygiene. Wenn Konzern X sicher weiß, dass er DSGVO-relevante Daten auf, sagen wir mal, 10 Prozent seiner Server speichert und zugänglich macht, dann dürfte er mit diesem dokumentierten Wissen der Konkurrenz in puncto Compliance also schon ein gutes Stück voraus sein.

Wahrscheinlich ist jedoch, dass irgendwann ein externer Prüfer feststellt, dass es zwar von Vorteil ist, dass das Unternehmen auf diesen 10 Prozent ihrer Server DSGVO-relevante Daten speichert, hier allerdings der Nachweis fehlt, dass auf den anderen 90 Prozent ihrer Server keine DSGVO-relevanten Daten liegen.

Datenschutz erfordert spezifische Übersichtsdaten

Was den sicheren Entwicklungszyklus (SDLC) angeht, haben sensible Daten ein Talent, an Orte zu gelangen, an denen sie nichts verloren haben. IT-Administratoren verbringen oft viel Zeit damit, sich auf das zu fokussieren, was sie wissen – und kümmern sich viel zu wenig um das, was sie nicht wissen. Schon viel zu viele gravierende Datendiebstähle sind möglich geworden, weil Angreifer Speicherorte mit sensiblen Daten aufspürten, dessen sich das betreffende Unternehmen nicht bewusst war – weswegen es auch keine angemessenen Maßnahmen getroffen hatte, um die Daten zu schützen, zu verfremden oder Bedrohungen anderweitig zu entschärfen.

Einem Prüfer einfach 75.000 Seiten mit Datenbankabfragen in die Hand zu geben, wird nicht ausreichen, denn kein Prüfer der Welt kann hiermit etwas anfangen. Stattdessen benötigt ein Unternehmen spezifischere, detailliertere und gezieltere Überblicksdaten, die zeigen, wer wann mit welchen Dateiservern oder Datenbanken zu tun hatte. Und was noch wichtiger ist: Aus diesen Überblicksdaten muss hervorgehen, worauf genau zugegriffen wurde.

Dies wird die große Cybersecurity-Lernkurve werden, welche die DSGVO mit sich bringt. Derzeit kursieren so viele Worst-Case-Compliance-Szenarien (kein Datenschutz, keine Datenverfremdung, Produktionsdaten überall), dass Unternehmen es wohl ohne allzu große Mühe vermeiden können, im – sagen wir mal – ersten bis dritten Jahr der DSGVO auf die Fahndungslisten der Datenschutzbehörden zu geraten. Nur werden es viele weiterhin daran fehlen lassen, Best Practices für Datenschutz und Datenhygiene zu befolgen und Vorschriften umfassend einzuhalten.

DSGVO: Eine Datenschutz-Nebelkerze

Dies ist der Grund, warum die DSGVO in gewisser Weise fast keinen Unterschied macht. Unternehmen, die auf der Suche nach Datenschutzlösungen sind, erkundigen sich bei den Anbietern häufig, ob diese (und deren Kunden) mit irgendeinem bestimmten Regelwerk konform sind. Das ist zwar eine berechtigte Frage, allerdings gilt hier für Unternehmen zu bedenken, dass es im Grunde nicht entscheidend ist, um welche spezifische Vorschrift es sich handelt und ob der Betrieb Kunden hat, die diese Vorschrift einhalten, oder nicht. Der Grund dafür ist, dass die Vorschriften – allesamt – relativ ähnlich sind. Der zentrale Grundsatz absolut jeder existierenden Datenschutzvorschrift lautet:

Sie müssen wissen, wer auf bestimmte Informationen wann, wo und wie (und in welchem Umfang) zugreift.

Sicherlich gibt es verschiedene Arten von Daten und Vorschriften mit jeweils unterschiedlichen Anforderungen an die Berichterstattung und Nachverfolgung. Doch entweder kann Ihnen ein Anbieter helfen, den obigen zentralen Grundsatz zu befolgen – oder eben nicht.

Der größte Haken an der DSGVO – und der Auslöser für die Panik bei zahlreichen Unternehmen – besteht darin, dass es um ein so breites Spektrum an Daten geht und sehr viele Abteilungen betroffen sein können, ganz gleich in welchem Sektor oder Wirtschaftszweig. Schließlich reden wir hier von Kundendaten, die praktisch überall zu finden sein können.

Das wirft für Unternehmen, die DSGVO-konform werden wollen, zwei schwierige Fragen auf: Erstens: Wie können wir alle unsere Daten und die Zugriffe darauf überprüfen? Ist das überhaupt machbar? Und Zweitens: Wenn es derzeit nicht machbar ist, alle unsere Daten und die Zugriffe darauf zu überprüfen, wie können wir unsere Daten dann so konsolidieren, dass sie prüfbar werden?

Die einzige mögliche Lösung wird hier oft darin bestehen, gründlich zu ermitteln, (a) wer welche DSGVO-relevanten Daten benötigt, und (b) wie man diese Daten entsprechend zentralisieren kann. Dies sollten Unternehmen jedoch ohnehin tun.

Derzeit sind die meisten Unternehmen von einer guten Datenschutz-Hygiene allerdings weit entfernt. Eine kürzlich veröffentlichte Untersuchung des Ponemon Institute ergab, dass 76 % der teilnehmenden Unternehmen weltweit über keinen formalen und konsequent angewandten Incident-Response-Plan für Cybersicherheit verfügen. Und gleichzeitig haben die Unternehmen nach wie vor Probleme, personenbezogene Daten zu identifizieren, zu finden und zu schützen.

Man denke nur an PCI-DSS – einen recht geradlinigen Datenschutzstandard, der die Art von Daten, die er schützt, sehr genau ausführt und eng begrenzt. Der Datendiebstahl bei TJX zwischen 2005 und 2006 – damals die größte Datenpanne aller Zeiten – fand statt, nachdem bereits mehrmals festgestellt worden war, dass TJX PCI-DSS nicht einhielt. Die Nachwirkungen dieses Vorfalls wurden noch verschlimmert durch das Wunschdenken des CIOs im Hinblick auf die PCI-DSS-Compliance. Und bis zum heutigen Tag gibt es immer noch Unternehmen, die ihre PCI-DSS-Audits nicht bestehen – obwohl PCI-DSS vor mehr als 13 Jahren eingeführt wurde.

Wie also könnten wir etwas anderes erwarten, als dass sich die Geschichte bei der DSGVO – der mit Abstand umfassendsten und komplexesten Datenschutzvorschrift, die es je gab – wiederholen wird?

Dies sollte allerdings nicht falsch verstanden werden: Es ist kaum davon auszugehen, dass die DSGVO nicht durchgesetzt werden wird. Jedoch sollten Unternehmen in der Lage sein, dem DSGVO-Sturm ein paar Jahre lang zu trotzen, sofern sie sich zuallererst insgesamt um DSGVO-Compliance bemühen. Im zweiten Schritt sollten Betriebe anfangen, ausnahmslos alle ihre Daten angemessen zu verfolgen und zu klassifizieren. Im dritten und letzten Schritt sollten sämtliche Zugriffe auf personenbezogene Daten so überwacht werden, dass sie den Prüfern Rede und Antwort stehen können und im Falle einer Datenschutzverletzung schnell die nötigen Informationen zur Krisenbewältigung zur Hand haben. All dies mit dem Ziel, langfristig auch erweiterten behördlichen Kontrollen standhalten zu können.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2018
DSGVO: Hohe Bekanntheit bei geringer Wertschätzung

datensicherheit.de, 02.07.2018
Unterschätztes Risiko Insider-Angriff

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

datensicherheit.de, 31.03.2016
Imperva Hacker Intelligence Initiative Report: Insiderbedrohungen in 100 Prozent der untersuchten Umgebungen