Kommentar von Tenable Network Security
Security-Herausforderungen der EU-DSGVO/GDPR
Essentielle Schritte, um die Security-Herausforderungen der DSGVO zu bewältigen – Teil 1
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit längerem in aller Munde. Sie zielt darauf ab, den Datenschutz innerhalb der EU zu stärken und regelt auch den Transfer von Daten über die EU hinaus. Wenn sie am 18. Mai 2018 in Kraft tritt und von den Behörden durchgesetzt werden kann, hat sie Auswirkungen für jedes Unternehmen, das Daten in irgendeiner Weise in der EU verarbeitet. Tenable stellt im ersten Teil seiner Serie zur Datenschutz-Grundverordnung drei essentielle Schritte vor, um die sicherheitstechnischen Herausforderungen der EU-DSGVO zu bewältigen.
1. Informationssicherheits-Framework verwenden
Artikel 32 der Verordnung schreibt vor, dass Verantwortliche und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Informationssicherheits-Frameworks beinhalten eine Sammlung bewährter Verfahren, die im Laufe der Zeit von Fachleuten verschiedener Industrien zusammengetragen wurden. Sie stellen als solche die ideale Grundlage für die Entwicklung geeigneter Maßnahmen dar. Frameworks wie das NIST Cybersecurity Framework (2014)6 und ISO/IEC 270017/270028 bieten akzeptierte Industriestandards für den Datenschutz. Zwar schreibt die EU kein Framework vor, doch lässt sich mit den Standards einfacher nachweisen, dass die Anforderungen des Artikels 32 erfüllt wurden.
2. Personenbezogene Daten, einschließlich „besonderer“ Daten erkennen
Neben den personenbezogenen Daten müssen auch die sogenannten „besonderen“ Daten geschützt werden. Deren Definition umfasst in der Verordnung genetische, biometrische und klinische Daten. Biometrische Daten gelten beispielsweise als „besondere“ Daten, da sie auch für logische und physische Zugangskontrollen genutzt werden. Überraschender ist vielleicht die Tatsache, dass auch folgende Daten zu dieser Kategorie gehören:
- Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
Um diese Anforderungen umzusetzen, empfehlen sich Discovery-Technologien. Am besten eignet sich zur Suche nach unverschlüsselten sensiblen Daten im Informationsökosystem eines Unternehmens eine Kombination aus aktiven System-Scans und passiver Netzwerküberwachung. Anschließend können die Mitarbeiter des Discovery-Teams bestimmen, ob diese Daten entfernt oder Kontrollen dafür eingerichtet werden sollen.
3. Unbekannte Bestände und Schatten-IT in die Suche einbeziehen
Zwei Phänomene – unbekannte Bestände und Schatten-IT – können die Aufsichtsbehörden unter Umständen zu einer besonders genauen Untersuchung veranlassen, falls personenbezogene Daten verletzt oder missbraucht werden. Mitarbeiter oder Auftragnehmer, die ohne Genehmigung personenbezogene Daten anderer Personen auf mobilen Geräten oder auf den Servern von Cloud-Diensten speichern, bieten eine enorme Angriffsfläche für Eindringlinge. Diese mobilen Geräte oder Dienste sind häufig nicht geschützt, können Sicherheitslücken aufweisen oder sind nicht geeignet, um solche Daten zu speichern. Darum ist ein kompletter Überblick zu allen Geräten im Netzwerk entscheidend. Nur dann können sie auf Sicherheitslücken überprüft und gesichert werden.
Essentielle Schritte, um die Security-Herausforderungen der DSGVO zu bewältigen – Teil 2
Teil 1 der Serie behandelte Fragen rund um Frameworks, personenbezogene Daten und Schatten-IT. Doch die DSGVO hält in vielen Bereichen täglicher Geschäftsabläufe weitere Herausforderungen bereit. Die Vorgaben einzuhalten ist für Unternehmen jedoch geschäftskritisch. Das gilt aus zwei Gründen: Zum einen ist es schnell mit dem Vertrauen von Partnern und Kunden vorbei, wenn es eine erfolgreiche Attacke, ein Datenleck oder Ähnliches gibt – das Geschäft nimmt Schaden. Zum anderen können Verstöße gegen die Vorgaben bestraft werden, auch wenn sich kein Zwischenfall ereignet. Die möglichen Geldbußen sind schmerzhaft und betragen bis zu vier Prozent des weltweiten Jahresumsatzes.
Teil 2 der Serie beleuchtet und erklärt deshalb drei weitere essentielle Schritte, um die Security-Herausforderungen der DSGVO zu bewältigen.
1. Unternehmen sollten feststellen, ob die Art und Weise, wie sie Daten verarbeiten, als „hohes Risiko“ gilt.
Laut Erwägungsgrund 89 der Verordnung sind Verarbeitungsvorgänge, die ein „hohes Risiko“ für personenbezogene Daten mit sich bringen, „insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist”. Demnach können Verarbeitungsvorgänge mit hohem Risiko praktisch überall im Unternehmen stattfinden. Sicherheitshalber sollten die Verantwortlichen grundsätzlich davon ausgehen, dass eine bestehende oder geplante Verarbeitung ein hohes Risiko darstellt. Dann können sie entsprechende Maßnahmen treffen.
2.Es ist wichtig, eine Datenschutz-Folgenabschätzung durchzuführen.
Laut US-Bundesgesetz müssen alle amerikanischen Bundesbehörden eine so genannte Privacy Impact Assessment (PIA) durchführen. Erst dann können sie eine neue Erfassung personenbezogener Daten einleiten und IT entwickeln oder beschaffen, mit der sie Daten erfassen, verwalten und verbreiten können. In Kanada gelten eigene PIA-Anforderungen und auch in UK sind PIAs – wenngleich nicht vorgeschrieben – durchaus üblich. Die entsprechende EU-Verordnung schreibt in Artikel 35, Datenschutz-Folgenabschätzung, eine Abschätzung vor, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, … voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Informationssicherheitsmanager, die das NIST Cybersecurity Framework nutzen, können die Kategorien in dessen Identifizierungsfunktion anwenden, um die Folgenabschätzung zu unterstützen. In ähnlicher Weise können Informationssicherheitsmanager, die ISO/IEC 27002 nutzen, zur Unterstützung der Abschätzung die Informationsklassifizierung und Sicherheit der Richtlinie in Entwicklungs- und Support-Prozessen anwenden.
3. Maßnahmen zur Eindämmung von Risiken treffen und dokumentieren.
Die Möglichkeiten einer Organisation, die Risiken bei der Verarbeitung personenbezogener Daten einzudämmen und diese Eindämmung zu dokumentieren, ist in mehrfacher Hinsicht entscheidend. Laut Erwägungsgrund 83 müssen Verantwortliche und Auftragsverarbeiter die Risiken der Verarbeitung beurteilen und dann geeignete Maßnahmen zu ihrer Eindämmung treffen. Falls die Verarbeitung ein „hohes Risiko“ mit sich bringt, das nicht ausreichend eingedämmt werden kann, empfiehlt die Verordnung dem Verantwortlichen, die Aufsichtsbehörde zu konsultieren (Erwägungsgründe 84 und 90). Falls der Schutz personenbezogener Daten verletzt wurde, muss der Verantwortliche angesichts einer geplanten Geldbuße ebenfalls die getroffenen Eindämmungsmaßnahmen dokumentieren (Art. 33(3)(d)), die Aufsichtsbehörde konsultieren (Art. 36) und zudem die Wirksamkeit dieser Maßnahmen nachweisen (Art. 83(2)(c)). Auftragsverarbeiter sind in einem solchen Fall ebenfalls aufgefordert, ihre technischen und organisatorischen Maßnahmen zur Risikominderung (Art. 28(1)) und zur Schadensminderung (Art. 83(2)(c)) zu dokumentieren.
