Like-Button

Axians erläutert Facebook-Urteil und gibt Tipps für einen wirkungsvollen Datenschutz

, München, Axians | Autor: Karl-Heinz Wonsak

Axians erläutert Facebook-Urteil und gibt Tipps für einen wirkungsvollen Datenschutz

Datenschutzlücken zuverlässig aufdecken und schließen

Statement von Karl-Heinz Wonsak, Security Solution Manager bei Axians IT Solutions

Karl-Heinz Wonsak, Security Solution Manager bei Axians IT Solutions

Aufmerksame Nutzer, die ihr Recht auf informationelle Selbstbestimmung einfordern, sorgen dafür, dass Datensicherheit und Datenschutz in der Öffentlichkeit breit diskutiert werden. Ein prominenter Fall ist die Entscheidung des Europäischen Gerichtshofs, welches Webseiten-Betreiber daran hindert, die Daten ihrer Nutzer über Social-Plugins wie etwa den Facebook-Like-Button ungefragt an Dritte zu übertragen. Der Abfluss von Daten an Dienste wie Facebook, Google & Co. ist ein Paradebeispiel für gefährliche Lücken im IT-Security- und Datenschutz-Managementsystem. Unternehmen sollten das Urteil zum Anlass nehmen, ihre eigenen Prozesse und Strukturen auf Herz und Nieren zu prüfen.

Selbst kleine Organisationen verfügen heute über Hunderte Schnittstellen zu ihren Kunden, Lieferanten, Partnern und zu sozialen Medien. Das macht die Überwachung und Ordnung von Datenflüssen zu einer hochkomplexen Aufgabe, welche Datenschutzbeauftragte und IT-Administratoren gemeinsam bewältigen müssen. Der Datenschutzbeauftragte muss wissen, welche personenbezogenen Daten in der Organisation vorhanden sind – es liegt an der IT, diese Informationen bereitzustellen. Die folgenden Tipps helfen Organisationen und Unternehmen dabei, Datenschutz-Lücken zuverlässig aufzudecken und zu schließen:

1. Regelmäßige Scans sind Pflicht

Zunächst gilt es, sich einen Überblick über die Daten zu verschaffen, die in der Vielzahl der Datenbanken und File-Systemen vorhanden sind. Ein gut organisierter Scan aller Datenhaltungssysteme – etwa mit Guardium Analyzer von IBM – bringt die gewünschten Informationen ans Licht. Für die anschließende Auswertung und Analyse des Dateninventars arbeiten Datenschutzbeauftragte eng mit den IT-Security-Spezialisten zusammen. Die lückenlose Dokumentation der gewonnenen Erkenntnisse im Managementsystem bildet die Basis für alle weiteren Maßnahmen.

2. Daten effektiv klassifizieren

Aus der Datenbank lässt sich ein Katalog von Daten ableiten, die einen besonderen Schutzbedarf haben und nicht weiterverarbeitet werden dürfen. Dabei ist das richtige Datenbank-Design essenziell für eine eindeutige Typisierung und Klassifizierung von Daten. Bei unstrukturierten Daten oder Freitexten ist es schwieriger und aufwendiger, den Schutzbedarf festzustellen. Je nach Datenmenge lässt sich eine solche Untersuchung manuell, automatisiert oder mit dem Einsatz von künstlicher Intelligenz (KI) bewältigen. Anschließend kann der Datenschutzbeauftragte in Zusammenarbeit mit der IT veranlassen, dass die kritischen Daten ordentlich verarbeitet oder gelöscht werden.

3. Datenverarbeitung optimieren

Datenbanken, die optimal konfiguriert sind und betrieben werden, bieten weniger Fehlerquellen und erhöhen die Qualität der Datenverarbeitung. Dazu gehört beispielsweise, dass Datenbankadministratoren und Nutzer nur Zugriff auf die Daten haben, die sie wirklich benötigen. Ein effizientes Zugriffsmanagement schützt privilegierte Konten und bewahrt manchen Nutzer davor, Daten inkorrekt zu verarbeiten. Es gibt eine Vielzahl von Tools, die das Identity Management von privilegierten Nutzern und das Datenbank-Monitoring erleichtern.

4. Risiken abwägen

Die Analyse von Daten und Verarbeitungsprozessen bringt eine Vielzahl an möglichen Maßnahmen und technischen Hilfsmitteln mit sich. Wo anfangen? Es empfiehlt sich, eine Risikoanalyse durchzuführen und die möglichen Folgen dieser Risiken abzuschätzen. Basierend darauf können Organisationen entscheiden, welche Maßnahmen unbedingt und unmittelbar erforderlich sind – und welche eher nicht. Priorität genießen kritische Daten, die verschlüsselt oder maskiert werden müssen. Beispielsweise sollten Administratoren zwar Fehler beheben, aber nicht die Namen, Bankverbindungen oder Kreditkartennummern von Kunden oder Mitarbeitern sehen können. Wichtige Daten lassen sich zusätzlich durch einen automatisierten Alarm absichern, der anzeigt, wenn Daten abnormal verarbeitet werden oder Nutzer versuchen, auf Daten außerhalb ihrer Zuständigkeit zuzugreifen.

5. Sicherheitskalender führen

Der effektive Schutz von Daten ist kein einmaliges Projekt, sondern eine immerwährende Aufgabe. Das Aufspüren und Klassifizieren von Daten sowie die Risikoabwägung müssen turnusmäßig erfolgen und gehören in den Sicherheitskalender jeder Organisation. Alle Maßnahmen, Prozesse und Managementsysteme gehören regelmäßig auf den Prüfstand – ebenso wie bis dato erzielte Ergebnisse. Anpassungen an neue Vorschriften wie etwa DSGVO, PCI-DSS und andere industriespezifische Standards gehören zu internen Audits dazu.

Um den hohen Anforderungen der geltenden Datenschutz-Bestimmungen gerecht zu werden, müssen Organisationen viel Zeit und Ressourcen aufwenden – was sie nicht selten vor große Herausforderungen stellt. Erfahrene Berater bieten wertvolle Unterstützung bei der Ausarbeitung eines Datenschutzkonzeptes sowie der Auswahl zeitsparender Tools. Die Mühe wert ist es allemal: Denn prominente Fälle wie das Urteil zum Like-Button von Facebook zeigen, dass die Datenschutz-Diskussion weiter Fahrt aufnimmt. Organisationen müssen daher kontinuierlich kritisch prüfen, wo Handlungsbedarf besteht, und notwendige Maßnahmen möglichst zügig vorantreiben.