[datensicherheit.de, 11.03.2020] Netwrix hat heute die Veröffentlichung von Netwrix Data Classification 5.5.2. angekündigt. Mit dieser aktualisierten Version versetzen Channel-Partner ihre Kunden in die Lage, den Schutz der Daten zu verbessern, indem sie eine automatisierte Datenklassifizierungslösung anbieten, die Funktionen von Microsoft Information Protection (MIP) durch die genaue und einheitliche Kennzeichnung von Dokumenten erweitert, die Sicherheit sensibler Inhalte, die auf dem Google Drive des Unternehmens gespeichert sind, verbessert und personenbezogene Daten gemäß des kalifornischen Verbraucherdatenschutzgesetzes (CCPA) schützt.

Mit Netwrix Data Classification 5.5.2 können Channel-Partner:

• Datenklassifizierung für Google Drive anbieten
  Channel-Partner können Unternehmen jeglicher Größe, von Startups bis zu renommierten Unternehmen, Datenklassifizierung für die in Google Drive gespeicherten Inhalte bieten. Kunden können die sensiblen Daten, die sie in der Cloud speichern und teilen, nachverfolgen und den Prüfern gegenüber ihre Compliance nachweisen.
• Kunden, die auf Microsoft Information Protection zurückgreifen, einen Zusatznuten bieten
  Channel-Partner können ihren Kunden ermöglichen, vertrauliche Informationen in Office-Apps und Office 365 zu schützen, indem sie die Funktionen für Datenschutz und Rechteverwaltung von MIP durch eine genaue Datenkennzeichnung auf der Grundlage statistischer Analysen von Unternehmensinhalten erweitern. Dies stellt sicher, dass der Faktor Mensch die Datensicherheit eines Unternehmens nicht beeinträchtigt und dass wertvolle Altinhalte ordnungsgemäß gekennzeichnet und geschützt werden
• Ihren Kunden die Einhaltung des kalifornischen Datenschutzgesetzes ermöglichen
  Channel-Partner können ihren Kunden ermöglichen, die Anforderungen des CCPA mit vordefinierten Klassifizierungsregeln schneller und einfacher zu erfüllen. Kunden können Prüfern nachweisen, dass sowohl vorhandene als auch eingehende regulierte Informationen sicher gespeichert werden, und dadurch hohe Bußgelder für Verstöße vermeiden.

„Viele Unternehmen haben aufgrund isolierter Infrastrukturen und mangelnder Transparenz der Unternehmensinhalte Schwierigkeiten, große Datenmengen zu sichern. Channel-Partner können diese dringenden Probleme lösen und ihren Kunden helfen, mehr Einblick in personenbezogene Daten zu erhalten, indem sie Netwrix Data Classification anbieten. Damit können Unternehmen ihre in der Cloud gespeicherten Unternehmensdaten sichern und das Geschäftswachstum fördern. Im wachsenden Marktsegment der Datensicherheit bietet Netwrix eine leistungsstarke Lösung, die für die Partner einfach weiterzuverkaufen und für ihre Kunden einfach anzuwenden ist“, sagte Ian Ashworth, Channel Director EMEA und APAC bei Netwrix.

Bild: Netwrix

Ian Ashworth, Channel Director EMEA und APAC bei Netwrix

Weitere Informationen zum Thema:

Netwrix
Informationen zu allen Verbesserungen der Netwrix Data Classification

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 11.10.2018
Netwrix-Studie: 73 Prozent der deutschen Unternehmen scheitern daran Sicherheitsvorfälle effektiv zu entdecken

[datensicherheit.de, 21.04.2019] Über 80 Prozent der deutschen Wirtschaft hat die Datenschutz-Grundverordnung (DSGVO) nur mangelhaft oder unvollständig umgesetzt. Dies hat eine aktuelle Studie des Hamburger Sicherheitsunternehmens TeamDrive beinahe ein Jahr nach Inkrafttreten der DSGVO im Mai 2018 zutage gefördert.

Umfrage überwiegend unter mittelständischen Unternehmen

Laut Studie, die auf einer Umfrage unter 100 überwiegend mittelständischen Firmen beruht, vertreten 20 Prozent der befragten Fach-und Führungskräfte die Auffassung, dass nur die Hälfte der Unternehmen die Anforderungen der DSGVO vollständig erfüllt. Gut ein Viertel geht davon aus, dass lediglich jedes dritte Unternehmen den Vorschriften zum Schutz personenbezogener Daten in vollem Umfang nachkommt. Laut einem Drittel der Befragten erfüllen lediglich 20 Prozent der Unternehmen in Deutschland die Datenschutz-Grundverordnung vollständig, so dass eine Überprüfung keine gravierenden Sicherheitslücken aufdecken würde.

Die Studie legt zudem den Schluss nahe, dass der Wirtschaft der Schutz ihrer eigenen IT-Infrastruktur etwa vor Hackerangriffen deutlich wichtiger ist als die gesetzestreue Beachtung des Datenschutzes. Lediglich ein Drittel meint, dass die DSGVO die digitale Welt sicherer gemacht hat. Über die Hälfte (52 Prozent) der kontaktierten Fach- und Führungskräfte hat die Frage „Wie sicher sind Daten in Deutschland?“ mit „nicht wirklich sicher“ oder gar „unsicher“ beantwortet. Nicht einmal die Hälfte (44 Prozent) der Befragten schätzt, dass die DSGVO die IT-Sicherheit maßgeblich erhöhen wird. 38 Prozent schreiben dem umfangreichen Datenschutz gemäß DSGVO immerhin einen leichten Beitrag zur Stärkung der IT-Sicherheit zu. Zudem meinen zwei Drittel, dass die Unternehmen seit der Einführung der DSGVO vor rund einem Jahr stärker als zuvor auf Maßnahmen zur IT-Sicherheit achten. Indes vertreten 71 Prozent die Auffassung, dass IT-Sicherheit vor allem von staatlicher Seite gewährleistet werden muss. Rund 60 Prozent halten IT-Sicherheit eher für ein politisches als ein technisches Problem. Mehr als drei Viertel (76 Prozent) der von TeamDrive befragten Fach- und Führungskräfte gehen auf jeden Fall von weiterhin steigenden Investitionen der Wirtschaft in IT-Sicherheit aus.

Schutz der Firmen-IT wichtiger als Datenschutz

Als die mit Abstand wichtigste Maßnahme zur Stärkung der Datensicherheit auf Seite der Unternehmen nennt die Studie die Ende-zu-Ende-Verschlüsselung. 60 Prozent der Befragten vertreten die Auffassung, dass die lückenlose Verschlüsselung bei der Datenübertragung am ehesten die Sicherheit gewährleistet. Voraussetzung hierfür ist allerdings gleichzeitig der Einsatz eines Zero-Knowledge-Systems, bei dem auch die firmeninternen Computer- und Softwaresysteme den Verschlüsselungscode nicht kennen, meint über ein Drittel (34 Prozent). Beinahe die Hälfte (48 Prozent) setzt zudem auf die sogenannte Zwei-Faktor-Authentifizierung: Hierbei benötigt jeder Datenzugriff eine Bestätigung über ein zweites Gerät; beispielsweise ist neben dem Passwort am Rechner noch eine PIN-Bestätigung per Smartphone notwendig.

Bei allem Bewusstsein für Datenschutz und Sicherheit hält über die Hälfte der von TeamDrive Befragten (56 Prozent) die mit der DSGVO eingeführten Strafanforderungen bei Verletzungen des Datenschutzes für unangemessen hoch.

„Die Unternehmen sind bereit, in IT-Sicherheit zu investieren, wobei der Datenschutz nur einen Aspekt neben weiteren Überlegungen darstellt. Die Wirtschaft erwartet jedoch im Gegenzug, dass der Staat ebenfalls seine Verantwortung für die IT-Sicherheit wahrnimmt statt von den Unternehmen, bei häufig nur geringfügigen Verstößen, übermäßig abzukassieren“, resümiert Studienleiter und TeamDrive-Geschäftsführer Detlef Schmuck.

Weitere Informationen zum Thema:

datensicherheit.de, 10.04.2019
Art. 6 Abs. 1 b DSGVO: Leitlinien zur Interpretation verabschiedet

datensicherheit.de, 09.02.2019
DSGVO: Fast 60.000 Datenverstöße seit endgültigem Inkrafttreten

datensicherheit.de, 27.01.2019
13. Europäischer Datenschutztag: DSGVO gilt es besser zu machen

datensicherheit.de, 24.01.2019
Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen

datensicherheit.de, 30.11.2018
EU-DSGVO: Datenschutz als Chance

datensicherheit.de, 15.02.2018
TeamDrive warnt vor globaler Datenkatastrophe

datensicherheit.de, 17.10.2017
Der Countdown läuft: DSGVO-Whitepaper von TeamDrive Systems veröffentlicht

datensicherheit.de, 27.01.2014
Veranstaltungen zum Europäischen Datenschutztag 2014

Von unserem Gastautor Sergej Schlotthauer, CEO von EgoSecure

[datensicherheit.de, 16.03.2018] Am 25. Mai dieses Jahres tritt die Europäische Datenschutz-Grundverordnung (EU-DSGVO) verpflichtend in Kraft. Zwei Jahre hatten Unternehmen Zeit, Arbeitsprozesse und Betriebsabläufe, welche personenbezogene Daten beinhalten, an die neue Rechtslage anzupassen. Die Umstellung gestaltet sich dabei als umfassender Prozess. Denn personenbezogene Daten kommen in so gut wie jedem Unternehmensbereich zur Anwendung. Schon vor einem Jahr haben IT-Entscheider deshalb die erfolgreiche europaweite Umstellung bis zum Stichtag in Frage gestellt. Ihre Prognose scheint sich nun zu bewahrheiten. Viele Unternehmen hinken mit ihren Anpassungsmaßnahmen bereits dem Stichtag hinterher, dabei ist die Umstellung mit der geeigneten Security-Lösung für Betriebe gut machbar.

Wachsende Bedeutung des Themas Datenschutz

Für nicht wenige Unternehmen der EU stellt die Nutzung personenbezogener Daten einen integralen Bestandteil ihres Geschäftsmodells dar. Um der gewachsenen Bedeutung des Datenschutzes seiner Bürger gerecht zu werden, bestätigte im Mai 2016 das EU-Parlament die Datenschutz-Grundverordnung EU 2016/679. Sie soll das Vertrauen der EU-Bürger in ihre digitale Infrastruktur stärken und so den Stand von Digitalisierung und Vernetzung sowie die digitale Wettbewerbsfähigkeit der EU weiter erhöhen. Neben der Kontrolle personenbezogener Daten und dem Datenschutz im Europäischen Binnenmarkt regelt die Verordnung auch die Befugnisse von Strafverfolgungsbehörden und den rechtlichen Rahmen für den Datenverkehr mit dem außereuropäischen Raum. Aus 99 Artikeln und 173 Erwägungsgründen setzt sich die neue Grundverordnung zusammen. In ihnen werden Vorgaben, wie das Recht auf Datenportabilität, auf Datenlöschung und die aktive Informationspflicht von Unternehmen bei Datendiebstahl geregelt. Sämtliche personenbezogenen Daten eines Unternehmens, von den Mitarbeiter-, über die Kunden-, bis hin zu den Lieferanten- und Kooperationspartnerdaten sind betroffen. Namen und Anschriften fallen ebenso unter die neue Regelung, wie Verhaltens- oder auch Standortdaten. Und selbst Maschinendaten von Produktionsanlagen müssen, sofern sie beispielsweise einem Maschinenführer zugeordnet werden können, berücksichtigt werden. Entsprechend umfassend gestaltet sich die Heranführung der Unternehmen an die neuen Bestimmungen.

Stichtag 25. Mai – Unternehmen hinken hinterher

Der mit der Umstellung verbundene Arbeitsaufwand ist enorm. Bereits im letzten Frühjahr äußerten 70 Prozent der von NetApp in einer Studie befragten IT-Entscheider die Befürchtung, dass es ihrem Unternehmen nicht gelingen werde, die Umstellung bis zum Stichtag abzuschließen. [1] Ein halbes Jahr später gaben in einer IDC-Umfrage 44 Prozent der IT-Entscheider an, dass in ihrem Unternehmen bislang noch überhaupt keine, 41 Prozent, dass in ihrem Unternehmen lediglich einzelne Maßnahmen ergriffen worden seien. Nur 15 Prozent der Umfrageteilnehmer gab damals an, das Unternehmen bereits vollständig auf die neuen Richtlinien umgestellt zu haben. [2] Nicht ohne Grund hat die EU-Kommission deshalb kürzlich nochmals Regierungen, Behörden und Unternehmen aufgefordert, sich zügig an die Neuerungen anzupassen. [3] Denn Toleranzschwellen für Unternehmen, die den Stichtag überschreiten, sind nicht vorgesehen. Verstöße gegen die neue Regelung werden mit Geldstrafen von bis zu 10 Millionen Euro beziehungsweise bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres, Verstöße gegen Betroffenenrechte sogar mit dem Doppelten geahndet. Zwar hinken außer Deutschland und Österreich bislang alle EU-Staaten mit der Überführung der Verordnung in ihr nationales Recht hinterher, [4] doch ändert dies nichts am verbindlichen Charakter der Verordnung. Denn bei der EU-DSGVO handelt es sich um eine Verordnung, die in allen EU-Mitgliedstaaten direkt rechtlich bindend sein wird.

Umfassende Umstellungen sind erforderlich

Dass viele Unternehmen mit der Umsetzung der neuen Rechtsordnung noch weit zurückliegen, ist verständlich. In der bereits erwähnten NetApp-Umfrage erklärten lediglich 37 Prozent der Umfrageteilnehmer, in ihrem Unternehmen zusätzliche Ressourcen für die Umstellung zur Verfügung gestellt bekommen zu haben. [5] Auch der Datenschutzbeauftragte Martin Esken weist darauf hin, dass gerade mittelständische Industrieunternehmen und Dienstleister auf der Suche nach Unterstützung sind, um das Thema Datenschutz mit möglichst wenig Aufwand entsprechend der geltenden Gesetze in den eigenen Prozessen zu verankern. Im Gegensatz zu Großunternehmen haben KMUs meist keine gut aufgestellte IT-Sicherheitsabteilungen. Das spezialisierte Fachpersonal fehlt. Auch mangelt es an Erfahrungen und fehlenden Maßnahmenkatalogen für solch grundsätzliche Anpassungsmaßnahmen. Entsprechend groß stellt sich für sie die Herausforderung dar, denn es reicht längst nicht aus, lediglich den Umgang mit personenbezogenen Daten im Arbeitsalltag den neuen Datenschutzrichtlinien anzupassen. Dennoch unterstützen geeignete Security-Lösungen, die etwa über Verschlüsselung und eine Auditfunktion verfügen sowie die Sensibilisierung der Mitarbeiter, was mit erfahrener Hilfe schnell umsetzbar ist.

Einrichtung eines Dokumentationssystems wichtig

Wichtig ist, dass Unternehmen ein Dokumentationssystem einrichten, in dem der datenschutzkonforme Umgang mit den personenbezogenen Daten festgehalten wird. Denn mit der Datenschutzgrundverordnung sind Betriebe künftig rechenschaftspflichtig, und das kontinuierlich. Im Streitfall werden sie gegenüber Aufsichtsbehörden nachweisen müssen, dass sie sich an sämtliche Vorgaben gehalten haben. Und schließlich bedarf auch die Sicherheitsinfrastruktur einer Anpassung an die neuen Richtlinien. Das heißt, einerseits müssen Datenverluste nachgewiesen werden können, andererseits darf dies aber nicht dazu führen, dass die Persönlichkeitsrechte der Mitarbeiter, die personenbezogene Daten verarbeiten, verletzt werden. Eine Überwachung der Mitarbeiter darf also nicht stattfinden. Eine Lösung ist ein 4-6 Augenprinzip beim Zugang zu den Verarbeitungsdaten, das moderne Auditlösungen bieten. Nur dann, wenn tatsächlich ein Datenverlust entstanden ist, bei dessen Identifizierung die Protokollierungsdaten benötigt werden, kann unter Zustimmung des Betriebsrates und/oder des Datenschutzbeauftragten, die jeweils ein eigenes Passwort haben, auf entsprechende Daten zugegriffen werden, so Esken.

Sicherungsmaßnahmen, wie die Verhinderung von Angriffen durch Datenverschlüsselung, die Überwachung von Datenverletzungen ohne Verschlüsselung, die privilegierte Zugriffskontrolle sowie die Erstellung von Audit-Daten und die Verwaltung der Datenübertragung in Echtzeit, sind künftig im Umgang mit personenbezogenen Daten vorgeschrieben.

Insbesondere bei der Verschlüsselung sieht Esken das Problem, dass viele Lösungen einfach zu kompliziert sind – wie etwa die Container-Verschlüsselung. Hier sind umfangreiche Schulungen der Mitarbeiter nötig, um diese korrekt anzuwenden. Dabei sollte Verschlüsselung nicht nur im Hinblick auf das Datenschutzgesetz eine Rolle spielen, sondern auch zum Schutz vor Wirtschaftsspionage eine Selbstverständlichkeit sein.

Unternehmen werden sich entsprechend nach einer neuen Sicherheitssoftware umsehen müssen, welche den Netzwerkschutz EU-DSGVO-konform managen, die datenschutzrelevante Situation im Netzwerk überwachen und über automatische Audit-Verfahren verifizieren kann. All diese Dinge werden IT-Entscheider im Auge behalten müssen, wollen sie ihr Unternehmen bis zum 25. Mai noch fit für die neue Datenschutzgrundverordnung machen.

Weitere Informationen zum Thema:

[1] https://www.netapp.com/de/company/news/press-releases/news-rel-20170508-842365.aspx
[2] https://www.computerwoche.de/a/unternehmen-nehmen-dsgvo-auf-die-leichte-schulter,3331825
[3] http://www.handelsblatt.com/politik/international/datenschutzgrundverordnung-zaehe-vorbereitung-auf-neue-eu-datenschutzregeln/20881966.html
[4] http://www.handelsblatt.com/politik/international/datenschutzgrundverordnung-zaehe-vorbereitung-auf-neue-eu-datenschutzregeln/20881966.html
[5] https://www.netapp.com/de/company/news/press-releases/news-rel-20170508-842365.aspx

datensicherheit.de, 11.02.2018
DSGVO-Umsetzung: Methodisches Handeln, bevor Hektik aufkommt!

datensicherheit.de, 06.09.2017
DSGVO-Vorbereitungen: Deutsche Unternehmen überschätzen sich

[datensicherheit.de, 03.08.2015] Um Unternehmen eine praktikable und rechtssichere Handhabung der Datenschutzregeln bei der Nutzung personenbezogener Geodaten zu ermöglichen, hat die Kommission für Geoinformationswirtschaft (GIW-Kommission) beim Bundesministerium für Wirtschaft und Energie die Bestimmungen der Datenschutzgesetze des Bundes und der Länder zu einem bundesweit einheitlichen Regelwerk zusammengefasst, dem „GeoBusiness Code of Conduct (CoC)“.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, hat den GeoBusiness CoC nun offiziell anerkannt.

„Ich freue mich, dass wir mit dem GeoBusiness Code of Conduct nun eine bundesweit datenschutzrechtlich anerkannte Selbstverpflichtungserklärung für den Umgang mit personenbezogenen Geodaten in der Wirtschaft haben. Unternehmen können über das zugehörige Online-Zertifizierungsportal mit wenigen Klicks ihren datenschutzkonformen Umgang mit personenbezogenen Daten gegenüber öffentlichen Stellen und Datenanbietern nachweisen. Das erleichtert gerade für kleine und mittelständische Unternehmen den Bezug und die Nutzung von Geodaten und stärkt die Anwendung der Datenschutzgesetze. Das ist ein positives Signal für die Wirtschaft“ erklärt Brigitte Zypries, Parlamentarische Staatssekretärin beim Bundesminister für Wirtschaft und Energie.

Die wirtschaftliche Nutzung von Geodaten öffentlicher Stellen birgt erhebliches wirtschaftliches Potenzial. Dies gilt insbesondere für hochauflösende und genaue Geodaten. Solche Daten weisen allerdings häufig einen Personenbezug auf und sind somit datenschutzrelevant. Konkret geht es dabei zum Beispiel um Eigentümerinformationen in Grundstücksdaten, die von der Rohstoffwirtschaft genutzt werden können, um ihre Betriebsplanung weiter zu verbessern, oder Angaben zu denkmalgeschützten Gebäuden, die für die Versicherungswirtschaft relevant sind.

Der GeoBusiness CoC wird von der Kommission für Geoinformationswirtschaft (GIW-Kommission) beim Bundesministerium für Wirtschaft und Energie in Kooperation mit dem Verein Selbstregulierung Informationswirtschaft e.V. (SRIW) umgesetzt. SRIW Vorstandschef Harald Lemke erklärt: „Durch die Kooperation zwischen Wirtschaft und Behörden ist es gelungen, eine praktikable Lösung zu entwickeln, die Geodaten besser zugänglich macht und zugleich den Datenschutz sichert. Das hat Vorbildcharakter.“

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, betont: „Mit dem GeoBusiness CoC ist für einen wichtigen Wirtschaftszweig ein angemessener Ausgleich zwischen Datenschutz und Informationsfreiheit gefunden worden, der dem Bundesdatenschutzgesetz entspricht.“

Unternehmen haben durch den GeoBusiness CoC die Möglichkeit, der Selbstverpflichtungserklärung beizutreten und aufzuzeigen, dass sie verantwortungsbewusst mit datenschutzrelevanten Daten umgehen. Ferner können sie nachweisen, dass Geschäftsprozesse, bei denen Geodaten zum Einsatz kommen, den Vorschriften von §38a Bundesdatenschutzgesetz (BDSG) genügen.

Dazu kann man den Service www.geodatenschutz.org nutzen. Dieser fragt bestimmte technische und organisatorische Regelungen des Unternehmens in Bezug auf den Datenschutz ab, zum Beispiel wie ein betrieblicher Datenschutzbeauftragter erreichbar ist oder welche Maßnahmen zum Schutz vor unbefugten Zugriffen auf personenbezogene Daten getroffen werden. „Dieses zu harmonisieren haben wir 2010 begonnen, ohne einheitlich geregelten Datenschutz kein wirtschaftlicher Mehrwert“, sagt Dr. Jörg Reichling, Verhandlungsführer für die GIW-Kommission.

Die Selbstverpflichtungserklärung ist gemeinsam von Mitgliedern der Kommission für Geoinformationswirtschaft, Unternehmern, Rechtsanwälten und Datenschützern ausgearbeitet worden.

Weitere Informationen zum Thema:

GeoBusiness
GeoDatenschutz / Verantwortungsbewusster Umgang mit Geodaten

[datensicherheit.de, 04.03.2014] Personenbezogene Daten sind in ausreichendem Maße vor Manipulation, Verlust und Zugriff Unbefugter zu schützen. Das schreibt das Bundesdatenschutzgesetz (BDSG) ausdrücklich vor. Was jedoch als „ausreichend“ zu verstehen ist, war bisher unklar und mehr oder weniger jedem selbst überlassen. Denn eine zertifizierte Lösung gab es bisher nicht. Darauf macht die DIGITTRADE GmbH anlässlich der diesjährigen CeBIT aufmerksam, die mit ihrem Top-Thema „Datability“ den Umgang mit Daten in den Fokus rückt. Der IT-Security-Spezialist aus Sachsen-Anhalt habe an diesem Missstand nun etwas geändert und biete nach eingenen Angaben mit seiner staatlich zertifizierten Hochsicherheitsfestplatte HS256S öffentlichen Stellen, Ärzte und Anwälte sowie allen Berufsgruppen, die personenbezogene Daten erheben und verarbeiten, erstmals Rechtssicherheit bei deren Aufbewahrung.

© DIGITRADE

DIGITRADE Hochsicherheitsfestplatte

Die HS256S – basierend auf IT Sicherheit made in Germany – ist das erste externe Speichermedium, das von staatlichen Datenschützern nach umfangreicher Prüfung mit den zertifizierenden „ULD-Datenschutzgütesiegel“ und „European Privacy Seal“ bedacht worden ist. „Dies gelang uns, da wir uns schon bei der Entwicklung der Hochsicherheitsfestplatte streng an den Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientiert haben“, führt Manuela Gimbut, Geschäftsführerin bei DIGITTRADE, aus. Sie beschreiben die Kriterien, die ein mobiler Datenträger erfüllen muss, um sowohl mit dem BDSG als auch mit den EU-Datenschutzrichtlinien konform zu sein und entsprechend zertifiziert werden zu können.

Hierzu zählt insbesondere, dass vertraulichen Daten im Speicher auch bei Verlust der Festplatte nicht an 
unberechtigte Personen gelangen dürfen. Die Daten sollen zudem vor Manipulationen, logischen und physikalischen Angriffen geschützt sein, wobei diese Vertraulichkeit durch ein Zusammenspiel von effektiver Zugriffskontrolle
und ausreichender Verschlüsselung zu gewährleisten ist. Alle Sicherheitsfunktionen sollen außerdem vollständig innerhalb der Festplatte implementiert sein und die Verschlüsselung auf Hardwarebasis erfolgen sowie transparent im Hintergrund
verlaufen. Der Verschlüsselungsschlüssel sollte darüber hinaus sicher und möglichst extern gespeichert und vom Anwender selbst generiert, geändert und bei Bedarf zerstört werden können. „All diese Anforderungen erfüllt die DIGITTRADE HS256S und erhielt daher im März 2013 die entsprechenden Zertifizierungen“, so die DIGITTRADE-Geschäftsführerin.

Für Behörden, Unternehmen und Selbstständige gilt seitdem: Es ist nicht mehr ihnen selbst überlassen, wie sie einen „ausreichenden“ Datenschutz im Sinne des BDSG sicherstellen. Zumal ihnen die Empfehlung des staatlichen Unabhängigen Landeszentrums für Datenschutz (ULD) des Bundeslandes Schleswig-Holstein vorliegt. „Sollte es nun also zum Datenverlust kommen und es wurde nicht die staatlich empfohlene HS256S zur Speicherung verwendet, machen sich die betroffenen Behörden, Unternehmen oder Personen strafbar, da die Bestimmungen des BDSG trotz vorhandener, staatlich zertifizierter Lösung nicht hinreichend erfüllt wurden“, informiert Manuela Gimbut. Auf der CeBIT werden die IT-Security-Spezialisten den Fachbesuchern daher an ihrem Stand D46 in Halle 12 zu diesem Thema Rede und Antwort stehen und ihnen die HS256S, ihre Funktionsweise und Vorteile umfassend vorstellen.

Weitere Infiormationen zum Thema:

datensicherheit.de,  05.02.2014
RSA Conference 2014 in San Francisco

Von unserem Gastautor Ales Zeman, Dell Software

[datensicherheit.de, 29.08.2013] Bei der Entwicklung und bei der Umsetzung von Big-Data-Projekten spielt der Datenschutz insbesondere dann eine wichtige Rolle, wenn personenbezogene Daten verwendet werden sollen. Personenbezogen sind solche Angaben, die persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person betreffen. Im aktuellen BITKOM-Leitfaden zum „Management von Big-Data-Projekten“ wird ein Thema in den Mittelpunkt gerückt, das für Big Data eine besonders große Bedeutung hat – Privacy Impact Assessments. Dieser Artikel fasst die wichtigsten Erkenntnisse zusammen.
Wenn die Verarbeitung von Daten besondere Risiken für die betroffenen Personen mit sich bringt, will der EU-Gesetzgeber künftig eine Pflicht zur Datenschutz-Folgenabschätzung oder Privacy Impact Assessment schaffen. Die Datenschutz-Folgenabschätzung dient dem präventiven Schutz personenbezogener Daten, also z. B. Name, E-Mail-Adresse oder Bankdaten einer Person. Unternehmen sollen dann verpflichtet sein, eine Folgenabschätzung vorzunehmen, wenn die Verarbeitung der Daten auf Grund ihres Wesens, ihres Umfangs und ihrer Zwecke konkrete Risiken für Rechte und Freiheiten betroffener Personen birgt.

Der Entwurf der Datenschutzverordnung nennt auch konkrete Anwendungsfälle: Die systematische und umfassende Auswertung persönlicher Aspekte, beispielsweise die Analyse der wirtschaftlichen Lage, des Aufenthaltsorts, des Gesundheitszustands, der persönlichen Vorlieben, der Zuverlässigkeit und des Verhaltens einer Person, wenn dies als Grundlage für Maßnahmen mit Rechtswirkung dient oder sonst erhebliche Auswirkungen haben kann. Als zweiten Anwendungsfall sieht der Entwurf die Verarbeitung von Gesundheits- oder anderen sensitiven Daten in großem Umfang vor, wenn damit Maßnahmen mit Bezug auf einzelne Personen vorbereitet werden. Gleiches soll gelten, wenn umfangreiche Dateien mit Daten über Kinder, genetischen oder biometrischen Daten verarbeitet werden. Außerdem will der Gesetzgeber den Datenschutzbehörden gestatten, selbst eine Liste von Verarbeitungsvorgängen aufzustellen, bei denen eine Datenschutz-Folgenabschätzung stattfinden soll.

Vorgehen bei einem Privacy Impact Assessment

Was den Inhalt betrifft, so enthält der Verordnungsentwurf nur allgemeine Vorgaben für die Datenschutz-Folgenabschätzung. Sie muss eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge enthalten sowie eine Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen und der geplanten Abhilfemaßnahmen und der Vorkehrungen, um den Datenschutz sicherzustellen und die Nachweise dafür zu erbringen. Die Verordnung sieht außerdem vor, dass das verantwortliche Unternehmen die Zustimmung der betroffenen Personen zu der beabsichtigten Verarbeitung einholt. Gerade bei Big-Data-Verfahren, die eine Vielzahl von Daten verarbeiten, dürfte dies in der Praxis schwierig sein, ganz abgesehen davon, dass zunächst festzulegen sein wird, wie eine solche Meinung einzuholen ist und welchen qualitativen und quantitativen Umfang diese haben muss.

Rechtsfolgen beim Datenschutz

Die Datenschutz-Folgenabschätzung hat unterschiedliche Rechtsfolgen – die Konsultationspflicht, Vorlagepflicht und Genehmigungspflicht. Die wichtigste Rechtsfolge ist die Pflicht des Unternehmens, vor Beginn der Datenverarbeitung die zuständige Aufsichtsbehörde zu Rate zu ziehen, damit die rechtlichen Vorgaben eingehalten und bestehende Risiken gemindert werden. Diese Konsultationspflicht besteht dann, wenn sich aus Folgenabschätzung hohe konkrete Risiken für die Rechte der Betroffenen ergeben oder wenn die Datenschutzbehörde in der obengenannten Liste der Verarbeitungsvorgänge eine solche Konsultation vorsieht. Im Gesetzgebungsverfahren ist an dieser Pflicht zur Konsultation erhebliche Kritik geübt worden. Der Innenausschuss des Europaparlaments hat vorgeschlagen, dass Unternehmen auch ihren betrieblichen Datenschutzbeauftragten konsultieren können, entsprechend der bisherigen Regelung im deutschen Recht in § 4 d Abs. 5 BDSG. Während die Konsultationspflicht nur besteht, wenn hohe Risiken für die Betroffenen drohen, sollen die Unternehmen in allen Fällen verpflichtet sein, die Datenschutz-Folgenabschätzung der zuständigen Aufsichtsbehörde vorzulegen und ihr Informationen zu erteilen. In bestimmten Fällen im Zusammenhang mit dem Export von Daten aus dem Europäischen Wirtschaftsraum heraus sieht der Entwurf der Verordnung vor, dass zunächst die Genehmigung der Datenschutzbehörde eingeholt wird.

Fazit

Im Moment befindet sich der Entwurf der EU-Datenschutzverordnung noch in der Diskussionsphase, und die Regelungen zur Datenschutz-Folgenabschätzung werden sich in dem einen oder anderen Punkt sicher noch ändern. Man kann aber davon ausgehen, dass die Datenschutz-Folgenabschätzung zur Pflicht wird. Gerade im Bereich von Big-Data-Anwendungen werden solche Privacy Impact Assessments bald große Bedeutung erlangen. Bei Verstößen gegen die Pflicht, eine Folgenabschätzung durchzuführen oder fehlender Konsultation der Datenschutzbehörde drohen dann Bußgelder bis zu einer Million Euro oder 2 Prozent des Unternehmensumsatzes.

Quelle: BITKOM

© Dell

Diplominformatiker Ales Zeman ist  Manager Presales bei Dell Software in München. Zuvor war er fast zwei Jahre Team Lead Systems Consulting bei Quest Software und verfügt dort über eine mehr als 11 jährige Erfahrungen als Consultant.

Weitere Informationen zum Thema:

BITKOM
Leitfaden Management von Big-Data-Projekten

[datensicherheit.de, 14.05.2013] Für Verbraucher ist Datenschutz von hoher Bedeutung. Doch ist Unternehmen auch ein wirksamer Schutz der personenbezogenen Daten wichtig? Um dieser Frage auf den Grund zu gehen, hat TÜV SÜD in Zusammenarbeit mit der Ludwig-Maximilians-Universität (LMU) München die Studie „Datenschutz 2012“ durchgeführt. Wie bei der vorangegangenen Studie im Jahr 2011 wurden überwiegend mittelständische Unternehmen zu ihrer Einstellung zum Schutz personenbezogener Daten, zu ihrem Informationsstand und zur tatsächlichen Umsetzung befragt. Für einen Großteil der Teilnehmer nimmt der Datenschutz zwar einen hohen Stellenwert ein, dennoch ist hier ein leichter Rückgang gegenüber dem Vorjahr festzustellen.
Unter der Schirmherrschaft des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) realisierte die TÜV SÜD Management Service GmbH gemeinsam mit der Fakultät für Psychologie und Pädagogik der LMU München die Studie mit dem Titel „Datenschutz 2012“. „Die Studie zeigt ein gutes Bild über die Verankerung des Datenschutzes in den Unternehmen und leider auch, dass noch einige Luft nach oben ist. Anlass für Unternehmen und Aufsichtsbehörden, sich entspannt zurückzulehnen, besteht noch lange nicht“, äußert sich dazu Thomas Kranig, Präsident des BayLDA. Ein Großteil der von März bis Juli 2012 befragten Unternehmen sind wie bereits im Vorjahr Mittelständler mit bis zu 499 Mitarbeitern. 60 Prozent aller Teilnehmer kommen dabei aus den Bundesländern Bayern, Nordrhein-Westfalen und Baden-Württemberg.

© TÜV SÜD

TÜV SÜD – Studie „Datenschutz 2012“

Die Studie stellte Fragen nach dem Stellenwert des Datenschutzes in Unternehmen und deren Selbsteinschätzung dazu. Außerdem wurden der Umgang von Mitarbeiter, Kunden und Partner mit Datenschutzthemen und Management des Datenschutzes sowie Qualität des Datenschutzes eruiert. Allgemein lässt sich festhalten, dass die Kernergebnisse aus der Studie des vergangenen Jahres bestätigt werden. So ist der Stellenwert des Themas Datenschutz bei den Befragten zwar leicht zurückgegangen, dennoch ist er für knapp zwei Drittel (58 Prozent) noch immer hoch bis sehr hoch.

Defizite bei der Information von Kunden und bei Verpflichtung von Partnern

Dagegen gibt es im Bereich „Kunden und Datenschutz“ wie im Vorjahr weiterhin Potenzial für Verbesserungen. Bei knapp einem Viertel der Unternehmen werden Kunden noch immer nicht über die mögliche Verwendung ihrer Daten informiert, was gegen geltendes Recht verstößt. Der größte Handlungsdarf ergibt sich gemäß der Studie im Bereich „Partner und Datenschutz“. Eine regelmäßige Überprüfung von Partnern, die mit personenbezogenen Daten des Unternehmens in Berührung kommen wie beispielsweise externe Service-Center, wird in fast 60 Prozent der Fälle nicht vorgenommen. Mangelhafter Datenschutz des Partners kann jedoch leicht auf das eigene Unternehmen zurückfallen.

Datenschutz kann nicht nebenher erledigt werden

„Der Schutz personenbezogener Daten ist ein so wichtiges Thema, dass es nicht nebenbei erledigt werden kann, sondern ein gutes Datenschutzmanagement erfordert“, erklärt Rainer Seidlitz, Leiter IT- Security bei der TÜV SÜD Management Service GmbH. Dadurch verändert sich auch die Rolle des Datenschutzbeauftragten. Die schriftliche Bestellung einer für diese Rolle fachlich und persönlich geeigneten Person erfüllt zwar die entsprechende gesetzliche Vorschrift, aber noch längst nicht alle Anforderungen für den wirksamen Schutz personenbezogener Daten. Um ein gutes Schutzniveau zu gewährleisten, sollte der Datenschutzbeauftragte daher die Rolle eines Auditors und Datenschutz-Managers übernehmen. Dafür braucht er jedoch einen unmittelbaren Zugang zum Management und dessen Unterstützung, fundiertes Wissen über die Managementsysteme des Unternehmens und eine entsprechend umfassende fachliche Ausbildung.
Hat ein Unternehmen nicht die nötigen Ressourcen oder das richtige Know-how für einen professionellen Datenschutz, sollte es in Betracht ziehen, das Angebot eines externen Dienstleisters zu nutzen. Dieser stellt sowohl das Personal als auch das Wissen zur Verfügung, um die Anforderungen an den Datenschutz zu erfüllen, was wiederum die Grundlage für einen hohen Vertrauensfaktor bei bestehenden und potenziellen Kunden ist.

Weitere Informationen zum Thema:

TÜV SÜD Gruppe
IT Security und Datenschutz

[datensicherheit.de, 13.07.201] Die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) stuft Apples neue „iCloud“ als „bedenklich“ ein:
Diese jüngste Innovation von Apple-Boss Steve Jobs ziele wie auch die „Google Cloud“ maßgeblich darauf, personenbezogene Daten wie Adressbuch- und Kalendereinträge in die globale Datenwolke zu verlagern. Genau dies sei nach deutschem Recht Unternehmen jedoch nur gestattet, wenn zuvor eine ausdrückliche Genehmigung jeder einzelnen davon betroffenen Person eingeholt werde, warnt Rechtsanwalt Dr. Thomas Lapp, Vorstandsvorsitzender der NIFIS. Das Problem liegt demnach nicht bei Apple oder Google, sondern bei Unternehmen, die den neuen Apple-Dienst in Anspruch nehmen und dabei möglicherweise personenbezogene Daten in die „iCloud“ auslagerten. Die rechtliche Verantwortung für den eigenen Datenbestand und den eigenen Datenschutz liege immer beim Unternehmen selbst und nicht etwa beim Cloud-Anbieter, so Dr. Lapp. Damit seien Cloud-Dienste wie Apples „iCloud“ sowie „Google Cloud“ in der Praxis eigentlich nur für Privatpersonen geeignet, die nicht den strengen Richtlinien des Datenschutzgesetzes unterliegen.
Das habe im Übrigen schon für den „iCloud“-Vorgängerservice „MobileMe“ gegolten, der heute noch millionenfach im Einsatz sei. Unternehmen, die über „MobileMe“ oder künftig „iCloud“ personenbezogene Daten in die Wolke schieben, verstießen gegen die Datenschutzgesetzgebung in Deutschland. Bei diesen Verstößen drohten den Firmen Sanktionen wie erhebliche Bußgelder, eine Untersagung der Datenverarbeitung sowie schwerwiegende Reputationsschäden.
Durch nachlässigen Umgang mit personenbezogenen Daten könnten massive Gefahren für die Persönlichkeitsrechte der Kunden verursacht werden. Der Super-GAU für ein Unternehmen sei gegeben, wenn die ohnehin schon illegal in die Wolke verschobenen Personendaten der Kunden von Hackern gestohlen und etwa für Kreditkartenbetrug verwendet würden. Der Geschäftsführer oder Vorstand dieses betroffenen Unternehmens möchte er nicht sein, warnt NIFIS-Chef Dr. Lapp vor den möglicherweise fatalen Folgen einer Auslagerung personenbezogener Daten in Apples „iCloud“ oder andere Cloud-Dienste.

Weitere Informationen zum Thema:

NIFIS
Nationale Initiative für Informations- und Internet-Sicherheit e.V.