Auf den letzten Drücker: IT- und Datensicherheit DSGVO-konform machen

Last-Minute-Maßnahmen, die Unternehmen ergreifen können, um ihre IT- und Datensicherheit DSGVO-konform zu gestalten, erläutert Olav Strand, Regional Vice President Central Europe bei Tanium, einem besonders in den USA etablierten Anbieter von Lösungen im Security- und Endpoint Management.

Die europäische Datenschutzgrundverordnung DSGVO beziehungsweise GDPR naht mit großen Schritten – dennoch erfüllen laut Usercentrics 70 Prozent der deutschen Online-Shops noch nicht die Anforderungen der Datenschutzgrundverordnung. DIGITAL BUSINESS hat darüber bereits berichtet. Ein kleiner Trost für Online-Shop-Betreiber ist zumindest, dass es auch in anderen Branchen kaum besser aussieht: Bei einer Umfrage der deutschsprachigen SAP-Anwendergruppe e.V. gaben Ende 2017 nur etwas mehr als die Hälfte der Befragten an, bereits eine klare Herangehensweise für die Umsetzung der DSGVO in ihrem Unternehmen zu haben.

Die Zeit jedoch drängt: Am 25. Mai tritt DSGVO in Kraft und Unternehmen müssen zu diesem Zeitpunkt valide Prozesse und Technologien für den Schutz von personenbezogenen Daten im Einsatz haben. Was also können Web-Shops im Speziellen und Unternehmen im Allgemeinen jetzt noch an Last-Minute-Vorbereitungen leisten, um die Datensicherheit zu erhöhen?

Wo überhaupt liegen personenbezogene Daten?

Die Anforderungen der DSGVO sind für alle Unternehmen, die personenbezogene Daten speichern, dieselben – und das sind weit mehr, als man annehmen würde: Gefordert wird etwa, dass diese Daten nur verschlüsselt gespeichert werden dürfen oder dass im Fall von Datenpannen oder Hackerangriffen eine Meldung an die Behörden innerhalb von 72 Stunden erfolgen muss.

Damit ein Hacker-Angriff schnell bemerkt und bekämpft werden kann, müssen IT-Verantwortliche genau wissen, auf welchen Endpoints – also zum Beispiel Servern, Desktops oder Laptops –  im Unternehmen überhaupt personenbezogene Daten liegen. Erfahrungswerte von Tanium aus der Praxis zeigen jedoch: Es gibt meist 12 bis 20 Prozent mehr Endpunkte im Unternehmensnetzwerk, als den Verantwortlichen bewusst ist. 

Herausforderungen für Webshops: Kundendaten-Management

Für Betreiber von Online-Shops oder -Plattformen ergeben sich darüber hinaus zusätzliche Herausforderungen. Die potenzielle Gefahr eines Datenklaus ist besonders groß, weil Kundendaten online verwaltet werden. Das macht den Datendiebstahl für Hacker ausgesprochen verlockend, gleichzeitig erschüttert ein solcher Datenverlust das Vertrauen der Kunden von Online-Plattformen besonders massiv. Sicherheitspannen können auch dazu führen, dass Daten unverschlüsselt und öffentlich zugänglich im Netz stehen, wie es etwa einem englischen Online-Shop für Drohnen passiert ist. Ab dem 25. Mai werden für solche Zwischenfälle die rechtlichen Konsequenzen noch härter. Die Verschlüsselungstechnologie sollte deshalb bis dahin geprüft und eventuell auf den neuesten Stand gebracht werden.

Die Kunden müssen außerdem über alle Aspekte der Datenspeicherung und -verarbeitung informiert werden und der Betreiber ist verpflichtet, ihre Einwilligung rechtssicher und in nachprüfbarer Form zu archivieren. Laut DSGVO steht ihnen das „Recht auf Vergessenwerden“ zu – Kundendaten müssen auf Wunsch auch wieder vollständig gelöscht werden.

Stichwort Web-Hosting: Wenn der Shop inklusive Kundendaten über einen Cloud-Dienst gehostet wird, spielen die Vorgaben zur Auftragsdatenverarbeitung (Artikel 28 DSGVO) eine Rolle. Der Webshop-Hoster sollte ein DSGVO-Zertifikat vorweisen können.

IT-Sicherheit: Last-Minute Vorbereitungen für alle Unternehmen

Wie können sich Unternehmen generell im Bereich IT-Sicherheit optimal für die DSGVO aufstellen? Hier konkrete Tipps:

• Information Security Framework implementieren: Gesetzlich ist kein bestimmtes Framework vorgeschrieben, aber die Anwendung eines dem Industrie-Standard entsprechenden Framework ist sinnvoll, etwa CIS Controls, NIST Cybersecurity Framework oder ISO-27000.
• Überblick über alle Geräte in der Netzwerkumgebung: Wissen, wo überhaupt schützenswerte Daten liegen – das ist der erste Schritt auf dem Weg zur DSGVO-Konformität. Mit Hilfe eines Endpoint-Management-Tools können nichtverwaltete Endpoints entdeckt werden. Außerdem sollte ein genaues Inventory-Verzeichnis solcher Online- und Offline-Assets angefertigt werden.
• Überblick über alle Datei- und Netzwerkaktivitäten auf den Endpoints: Dadurch können alle DSGVO -relevanten Datenbewegungen auf den Endpoints nachvollzogen werden. Prozesse und Aktivitäten im Bereich Registry oder DNS sollten dazu genau aufgezeichnet werden. Dadurch sind IT-Experten etwa in der Lage festzustellen, wenn Daten auf externe Speichermedien kopiert werden.
• Verwendung von Endpoint-Encryption-Software: Die DSGVO fordert eine verschlüsselte Speicherung von personenbezogenen Daten. Mit entsprechenden IT-Lösungen lässt sich etwa überprüften, ob die Verschlüsselung ordnungsgemäß zur Anwendung kam, wenn zum Beispiel ein Gerät mit sensitiven Daten gestohlen wurde.
• Ganz besonders wichtig: Effizientes Patch-Management: Das kontinuierliche und schnelle Ausrollen von Security-Patches ist unerlässlich, um die Unternehmens-Endpoints vor Angriffen zu schützen und somit DSGVO-compliant zu sein. Dazu noch ein Erfahrungswert von Tanium: Bei durchschnittlich 60 Prozent der Endgeräte fehlen sechs oder mehr kritische Patches und bei über 90 Prozent der Unternehmen fehlen Patches für Adobe Flash und/oder Oracle Java. Um notwendige Patches schnell aufspielen zu können, brauchen die IT-Profis einen detaillierten Einblick in den aktuellen Patch-Status etwa für das Betriebssystem oder für Software von anderen Herstellern.
• Systeme regelmäßig nach Schwachstellen prüfen: Und zwar mindestens wöchentlich, um potentielle neue Schwachstellen zu entdecken. Durch die Anwendung entsprechender Lösungen können solche Schwachstellen auf den Endpoints regelmäßig analysiert werden, ohne einen kompletten Netzwerk-Scan durchzuführen.

Und zum Schluss: Nochmal ein Blick aufs große Ganze

Die DSGVO umfasst insgesamt 99 Artikel. Für jeden Artikel muss ein Unternehmen den Nachweis erbringen, dass es die Vorgaben erfüllt. IT-Sicherheit und das Monitoring von Daten-Sicherheitsvorfällen sind ein wichtiger Bestandteil, aber nicht der einzige: Auch Consent Management spielt – wie erwähnt  – eine große Rolle, und besonders Verfahrensverzeichnisse. Diese, im Artikel 30 definiert als „Verzeichnis von Verarbeitungstätigkeiten“, sollten genau dokumentieren, wie im Unternehmen Daten verarbeitet werden. Das Anlegen eines solchen Verfahrensverzeichnisses ist ein guter Startpunkt für alle Last-Minute-GDPR-Vorbereitungen.

Über den Autor: Olav Strand ist Regional Vice President Central Europe bei Tanium. Das Unternehmen bietet Lösungen, um die beschriebenen Sicherheitsmaßnahmen durchzuführen, etwa Tanium Discover oder Tanium Asset, die die Verwaltung und Absicherung von Endpoints vereinfachen und beschleunigen sollen. Jeder Kunde ist für die Einhaltung der Datenschutz-Grundverordnung der Europäischen Union jedoch selbst verantwortlich.