IT-Sicherheitsmaßnahmen: Unternehmen müssen deren Eignung nachweisen können

In vier Monaten tritt die EU-DSGVO endgültig in Kraft

[datensicherheit.de, 25.01.2018] In vier Monaten tritt die EU-DSGVO endgültig in Kraft. Gerhard Giese, Sicherheitsexperte bei Akamai, warnt, dass im Falle einer Datenschutzverletzung die Beweispflicht auf Seite der Unternehmen liege – diese müssten die Eignung ihrer Maßnahmen nachweisen. „Kommen sie dem nicht nach, verlieren sie Zeit und Geld – und riskieren saftige Strafen!“ Unternehmen könnten sich also nicht mehr verstecken, betont Giese.

Unternehmen in der Nachweispflicht!

Ohne risikobasierten Ansatz bei der Verarbeitung personenbezogener Daten würden europäische Unternehmen gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen und könnten somit zu hohen Strafzahlungen herangezogen werden.
Unternehmen müssen daher jetzt geeignete Sicherheitsmaßnahmen einführen – und diese im Falle einer Datenschutzverletzung nachweisen können. Dieser auch im neuesten Akamai-Whitepaper „Effektiver Schutz von Webanwendungen“ nachzulesende Hinweis zeige, wie wichtig es für Unternehmen sei, ihre Systeme ausführlich zu analysieren, um Risikobereiche zu ermitteln und die Compliance zu gewährleisten.

Umgehender Handlungsbedarf!

Giese rät Unternehmen dringend, die „Best Practices“ ihrer Branchen einzuhalten, um Kundendaten zu schützen und gegenüber Datenschutzbehörden nachweisen zu können, dass die getroffenen Sicherheitsmaßnamen geeignet waren: „Unternehmen befinden sich in der Zwickmühle: Die DSGVO lässt zwar Auslegungsspielraum, aber Unternehmen müssen handeln, bevor die Verordnung in Kraft tritt.“
Wenn Unternehmen die Zuverlässigkeit ihrer risikobasierten Sicherheitsstrategien nachweisen müssen, sei das meist schwieriger als erwartet. Bei Behörden komme schnell die Frage auf, „wie risikobasiert“ der Ansatz eines Unternehmens sei, wenn dieses nicht auf neueste Technologien zurückgreift und sich lediglich auf das eigene Wissen über die schnelllebige Cyber-Bedrohungslandschaft verlässt.

Sicherheitslösungen ganz genau anschauen!

„Viele Unternehmen verwenden Technologien, mit denen sie anfällig gegenüber Angriffen sind. Das können zum Beispiel VPN-Zugänge sein, die Externen Zugang zum Unternehmensnetzwerk erlauben. Unternehmen können oft nur eingeschränkt auf Attacken von außen reagieren oder brauchen länger als nötig, um Probleme zu erkennen und Lösungen zu implementieren, die ihre Webressourcen vor den entsprechenden Bedrohungen schützen“, erläutert Giese.
Firmen sollten sich ihre Sicherheitslösungen ganz genau anschauen und sich die Frage stellen, ob es eine bessere Möglichkeit gibt, personenbezogene Daten zu schützen. Wenn es eine einfache, praktische Lösung gibt, die bisher nicht implementiert wurde, sollten sie genau prüfen, ob sie mit der bestehenden Lösung die Risiken wirklich wie erforderlich „angemessen“ minimieren.

Auch lokalen Compliance-Anforderungen genügen!

Globale Unternehmen müssten außerdem lokale Compliance-Anforderungen erfüllen, die in jedem Land unterschiedlich seien und die Komplexität der Gewährleistung der Compliance erhöhten.
Wenn Länder ihre Datenschutzgesetze ändern, müssten globale Konzerne zudem entsprechend reagieren. Zwar gebe es zwischen den verschiedenen Ländern Überschneidungen, aber durch die vielen feinen Abstufungen gestalte es sich für die Unternehmen schwierig, die Einhaltung all dieser Verordnungen nachzuweisen.

4 Schritte zum Nachweis der DSGVO-Compliance

Akamai empfiehlt vier Schritte, wie Unternehmen im Zweifelsfall Datenschutzbehörden nachweisen könnten, dass sie einen ausreichenden risikobasierten Ansatz zum Schutz ihrer Webressourcen verfolgen:

1. Aus den Fehlern anderer lernen!
   Wenn Verantwortliche bis zum ersten Angriff warten, bevor sie auf eine neue Cyber-Bedrohung reagieren, sinke die Wahrscheinlichkeit einer erfolgreichen Verteidigung. Sicherheitsanbieter könnten IT-Bedrohungen analysieren und diese Informationen zum Schutz ihrer anderen Kunden nutzen, noch bevor dort ein Angriff auftritt.
2. Pflege und Dokumentation der Web-Application-Firewall-Regeln!
   Bei einem Sicherheitsvorfall verlangten Datenschutzbehörden einen Nachweis über die Schritte, die zur Minimierung der Auswirkungen unternommen wurden. Bei Webressourcen habe eine effektive und regelmäßig aktualisierte „Application Firewall“ Priorität, um auf die ständig neue Bedrohungslandschaft reagieren zu können.
3. Steuerung des Zugriffs Dritter auf personenbezogene Daten!
   Heutzutage benötigten auch Drittanbieter Zugang zu Daten im Unternehmensnetzwerk. Dieser Zugriff könne jedoch sowohl die personenbezogenen Daten als auch die allgemeine Sicherheit gefährden. Deshalb benötigten Unternehmen ein System, das den Zugang zu den entsprechenden Netzwerken überwacht und die Risiken durch nicht autorisierten Zugriff minimiert. Damit könnten sie den Datenschutzbehörden Nachweise zu entsprechenden Maßnahmen erbringen.
4. Schaffung eines Puffers zwischen Netzwerk und Bedrohung!
   Wenn sich die erste Verteidigungslinie eines Unternehmens erst am Netzwerkübergang befindet, seien Angriffe besonders gefährlich. Deshalb sollten Unternehmen einen Puffer, z.B. ein „Content Delivery Network“, zwischen ihrer eigenen Infrastruktur und den potenziellen Bedrohungen aufbauen. So würden Angriffe auf die eigene IT erkannt, bevor sie zum Problem werden und auch DDoS-Angriffen könnten frühzeitig abgewehrt werden.

Weitere Informationen zum Thema:

AKAMAI WHITE PAPER
Effektiver Schutz von Webanwendungen – ein neuer Standard unter der DSGVO

datensicherheit.de, 08.12.2017
EU-DSGVO ante portas: Über Herausforderungen und Chancen für Unternehmen

datensicherheit.de, 07.12.2017
Mittelstand befürchtet Benachteiligung durch EU-DSGVO

datensicherheit.de, 06.12.2017
EU-DSGVO: Größere Unternehmen in Deutschland bereiten sich vor