Data Mapping: Ein herausfordernder erster Schritt zur DSGVO / GDPR Konformität

Im April dieses Jahres begann der offizielle Ein-Jahres-Countdown zur DSGVO / GDPR Konformität. Für all diejenigen, die sich noch immer wundern, was das für sie wohl bedeuten mag: Eine neue Untersuchung im Auftrag von Centrify hat aufgedeckt, daß börsennotierte Unternehmen im Durchschnitt 5% ihres Börsenkurses nach dem Bekanntwerden eines Datendiebstahls verlieren. Die EU Datenschutz Grundverordnung (DSGVO / GDPR) wird sicherstellen, daß sich hier niemand mehr verstecken kann: Ab dem 25. Mai 2018 müssen Unternehmen, die einen Datendiebstahl verzeichnen mussten, diesen innerhalb von 72 Stunden an die Aufsichtsbehörde melden.

Um Organisationen zu helfen, einen entsprechenden Handlungsleitfaden zu entwickeln, veröffentlicht Centrify eine Folge monatlicher Blogs, die sich jeweils auf andere spezifische Teilbereiche dieser Vorgabe fokussiert. Im letzten Blog (https://blog.centrify.com/european-general-data-protection-regulation) haben wir den Geltungsbereich des neuen Gesetzes erläutert. Diesmal kümmern wir uns um die Umsetzung der Complianceanforderungen.

 

Das Problem der „Schatten IT“

Mit einer Gesetzeseinführung in solch weitreichender und komplexer Art wie der DSGVO / GDPR kann es schwierig werden, zu wissen, wo man selbst anfangen sollte. Ein grundlegender erster Schritt ist aber das „Data Mapping“. Dies kann Ihnen helfen, zu verstehen, welche Daten verarbeitet werden und wo diese gespeichert werden, mit wem die Daten geteilt werden und wie sie geschützt werden. Das Wissen über diese Informationen ist ein absolutes „Muss“. Schließlich können Sie keine Daten schützen, von denen Sie nicht wissen, wo sie liegen, was sie beinhalten und wie sie gegenwärtig kontrolliert werden.

An dieser Stelle wird es dank der „Schatten IT“ ein bißchen komplizierter. Unglücklicherweise sind Anwender in erster Linie Anwender – und viele von Ihnen haben bereits Wege gefunden, die Funktionen, die ihnen durch die IT zur Verfügung gestellt werden, mit dem Ziel einer schnelleren und höheren Produktivität zu „umgehen“. Es ist wichtig, dies im Auge zu behalten, wenn man mit dem Data Mapping beginnt. Cloud-basierte Dienste werden dabei meist favorisiert: sowohl für Endanwender- als auch für Business Plattformen können sich Unternehmensangestellte leicht registrieren und diese dann für Ihre Zwecke ohne Wissen der IT nutzen. Nichtsdestotrotz müssen auch diese Dienste „gemappt“ werden, daher ist hier besonderes Augenmerk auf Daten notwendig, die auf diese Weise aus Ihrem Netzwerk in solche Plattformen fließen.

 

Risikominderung

Sobald Sie wissen, wo sich Ihre Daten befinden, erlegt Ihnen Artikel 25 (1) der DSGVO / GDPR auf, daß Sie „geeignete technische und organisatorische Maßnahmen“ zu treffen haben, um Regelkonformität zu gewährleisten. Wie bereits in einem früheren Blog diskutiert befinden sich außer der Forderung nach Verschlüsselung und Pseudonymisierung keine Hinweise auf zu verwendende Technologien, stattdessen wird auf den „state of the art“ und anerkannte „Best Practices“ verwiesen. Das bedeutet beispielsweise für Großbritannien, daß für einige Unternehmen, die bereits jetzt mit den Anforderungen des Data Protection Act „compliant“ sind, nur wenig mehr zu tun bzw. umzusetzen ist. Wieviel und was das im Einzelnen ist, hängt vom Unternehmen ab.

Datenminimierung ist eine solche „Best Practice“. Sobald Sie klassifiziert haben, welche Daten Sie speichern und verarbeiten ist es eine gute Idee, nicht-essentielle Kundendaten zu löschen – und damit Ihr eigenes Risiko zu mindern. In DSGVO / GDPR heißt es, daß „nur personenbezogene Daten, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich ist, verarbeitet werden. Die Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit“.

 

Tue ich genug?

Es kann mitunter kompliziert sein, einzuschätzen, ob die eigenen technischen Kontrollinstrumente angebracht und ausreichend sind. Um hier weiterzukommen, sollte man einem anerkannten Zertifizierungsmechanisms wie ISO 27001 folgen. Es gibt sicherlich Bereiche der DSGVO / GDPR, die von diesem international anerkannten Standard nicht abgedeckt werden – wie beim Recht zur Datenportabilität – doch wenn es um das Thema Datensicherheit geht, dann passt es grundsätzlich schon.

Centrify hat sich umfassend mit ISO befaßt und unser Lösungsangebot kann Unternehmen dabei helfen, einige der Schlüsselanforderungen dieses Standards in Bezug auf Zugriffskontrolle zu erfüllen. In Artikel 4.12 DSGVO / GDPR findet sich folgendes:

„Verletzung des Schutzes personenbezogener Daten“ (ist) eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

Dies rückt Zugriffskontrollen in den Mittelpunkt von DSGVO / GDPR Compliance Plänen. Wir empfehlen risiko-basierende, adaptive Multi-Faktor Authentifizierung, mit welcher es möglich ist, „on the fly“ risikobehaftete Logins zu identifizieren und in diesen Fällen erweiterte Informationen zur sicheren Authentifizierung vom Benutzer abzufragen.

Unsere jüngsten Untersuchungen haben eine beunruhigende Diskrepanz zwischen den Erwartungen der Kunden und den Prioritäten der IT Experten aufgedeckt. Beispielsweise finden 73% der Endkunden, daß Unternehmen eine Verpflichtung haben, die Daten ihrer Konsumenten zu schützen, auf der anderen Seite pflichten dem nur 44% der IT Sicherheitsverantwortlichen zu. Zweifellos aber werden europäische Regulationsmechanismen all diejenigen hart bestrafen, von denen sie glauben, daß sie ihre Konsumentendaten nicht in adäquater Weise geschützt haben.

Als Schlüsselpersonen in den Compliance Teams in den nächsten sechs Monaten werden die IT Verantwortlichen eine wichtige Rolle bei der Aufgabe spielen, zu jeder Zeit zu gewährleisten, daß Daten gesichert werden und ihr Schutz den derzeit aktuellen Best Practices genügt.

Text: Barry Scott, CTO – EMEA, Centrify Corporation

Übersetzung: Bernd Knippers