Den einen treibt er Angstschweiß auf die Stirn, andere blicken ihm optimistischer entgegen, doch nur wenige fühlen sich wirklich vorbereitet – auf den Tag, an dem die EU-Datenschutzgrundverordnung offiziell in Kraft tritt. Der 25. Mai 2018 ist ein Datum, das für Unternehmen wie für Verbraucher von großer Tragweite ist. Mit der Gesetzesänderung wird ein Wandel in der IT-Infrastruktur einhergehen: Sicherheitsmaßnahmen müssen überdacht und angepasst werden, um Daten gesetzeskonform zu erfassen und zu nutzen.
Nach einer Studie von CA Technologies haben allerdings noch immer 88 Prozent der befragten Unternehmen in den USA und Großbritannien Schwierigkeiten, IT-Sicherheit richtig umzusetzen. In Deutschland dürfte das ähnlich sein. Dabei können bereits wenige, gezielt eingesetzte, Technologien Unternehmen bei der Umsetzung der Richtlinie helfen.
Was ändert sich durch die EU-DSGVO?
Im Wesentlichen geht es bei der EU-DSGVO darum, dem Einzelnen mehr Rechte bei der Kontrolle seiner personenbezogenen Daten – wie Kontaktdaten, Fotos, IP-Adressen sowie biologischen, wirtschaftlichen oder sozialen Angaben – zu geben. Individuen entscheiden nun selbst über Zugriffsrechte und heben sie auf, wenn sie den Nutzern ihrer Daten nicht mehr vertrauen.
Für Unternehmen und Organisationen bedeutet das ein Umdenken in der Art und Weise, wie sie persönliche Daten erfassen und speichern. Sie müssen sicherstellen, dass Daten nicht ohne die Zustimmung des Einzelnen genutzt und weitergegeben werden – und sie müssen dafür sorgen, dass die Daten im internen wie externen Umlauf end-to-end geschützt sind.
Der große Vorteil der EU-DSGVO: Europaweit werden ab dem kommenden Jahr dieselben Datenschutzbestimmungen gelten. Eine Erleichterung nicht nur für Verbraucher, sondern auch für die Wirtschaft, in der Regularien und Prozesse vereinfacht werden. Denn betroffen sein werden alle Unternehmen, die Daten europäischer Bürger verarbeiten – egal, ob sie sich innerhalb oder außerhalb Europas befinden. Gehen Unternehmen das Risiko ein und verweigern sich den Bedingungen der Richtlinie, kann ihnen das teuer zu stehen kommen. Mitunter müssen Verantwortliche mit bis zu 20 Millionen Euro oder 4 Prozent des Umsatzes an Strafzahlungen rechnen.
Die richtige Vorbereitung: Fokussieren und Ruhe bewahren
Führungskräfte geraten schnell in Panik, wenn sie das Ausmaß der von EU-DSGVO geforderten Standards überblicken. Ein Fokussieren auf zentrale Maßnahmen kann helfen, Ruhe zu bewahren und die Anforderungen der Richtlinie nach und nach zu erfüllen.
Den ersten entscheidenden Schritt gehen Unternehmen bereits, indem sie das Thema Datenschutz bei allen Informationsprozessen in den Mittelpunkt rücken. Greifen bestehende Sicherheitslösungen noch ausreichend? Ist die Nutzung und Verarbeitung von Daten durchweg
transparent? Weist das System auch keine Schlupflöcher auf, in denen sich Hacker unbehelligt bewegen können? Lautet die Antwort auf eine dieser Fragen “Nein”, gilt es, den Datenschutz im Unternehmen zu überdenken. Für das Ausrollen neuer Maßnahmen können Datenschutzbeauftragte ernannt werden, die sich allein um die IT-Sicherheit im Unternehmen kümmern.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
Grundsätzlich gilt: Wer nicht weiß, welche Daten wo gespeichert oder im Umlauf sind, weiß sie noch weniger zu schützen. Transparenz wird in der EU-DSGVO groß geschrieben: Unternehmen müssen ab dem 25. Mai 2018 präzise dokumentieren können, wo sich Daten befinden, wie sie erfasst und gespeichert werden und wer darauf zugreifen kann – aus dem einfachen Grund, dass Verbraucher ihr Mitspracherecht in Zukunft verstärkt einfordern werden und selbst auf ihre im Unternehmensnetzwerk gespeicherten Daten zugreifen können.
Mit dem “Right to be forgotten” können sie von Unternehmen etwa das Löschen ihrer Daten anfordern und fehlerhafte Angaben korrigieren. Verbraucher wollen entscheiden können und wissen, was mit ihren Daten passiert. Wenn Daten also etwa für Testing-Zwecke genutzt oder, im schlimmsten Fall, Zielscheibe eines Hackerangriffs geworden sind, muss das Unternehmen stets darüber informieren.
Fünf moderne Technologien für mehr Compliance
Die Notwendigkeit effizienten Datenschutzes und vollumfänglicher Transparenz haben die meisten Unternehmen erkannt. Doch wie setzen Führungskräfte diese Anforderungen konkret um? Moderne Technologien helfen, sich für die EU-DSGVO zu wappnen und Compliance über das gesamte Unternehmen hinweg zu schaffen.
1. Discovery und Management von Daten
Bevor eine neue Sicherheitsstrategie ausgerollt werden kann, müssen Unternehmen und Organisationen wissen, wie sich persönliche Daten überhaupt über ihr Netzwerk verteilen – wo sie gespeichert, wo überall sie im Umlauf sind und wer sie nutzt. Erst wenn Kontrolle über diese Daten herrscht, können moderne Sicherheitslösungen ansetzen und die Daten vor unrechtmäßigem Zugriff schützen. Eine Discovery-Lösung unterstützt dabei, sensible Daten ausfindig zu machen.
2. Identitäts- und Zugriffsmanagement
Unternehmen müssen nicht nur ihre Daten, sondern auch Identitäten und Zugriffsrechte im Blick behalten, um für einen ausreichenden Schutz zu sorgen. Ein besonderes Augenmerk sollte dabei auf privilegierte Nutzerkonten gelegt werden, die Einblicke in sensible Daten gewähren und für Hacker damit ein besonders attraktives Ziel darstellen.
3. Management privilegierter Zugriffe und Gefahrenanalyse
Gerade einmal 72 Stunden haben IT-Verantwortliche Zeit, um einen Datenhack zu melden – dieses enge Zeitfenster schreibt die EU-DSGVO vor. Um entsprechend schnell reagieren zu können, müssen Datenschutzbeauftragte immer und überall im Blick haben, was im Unternehmen vor sich geht. Mit dem Management und der Analyse von Risiken können sie Gefahren frühzeitig erkennen und verorten und damit in Kürze reagieren, wenn etwa privilegierte Accounts angegriffen werden.
4. Testdatenmanagement und synthetische Datenerzeugung
Ein solides und effizientes Testdatenmanagement ist ganz entscheidend, wenn es um IT-Sicherheit und Datenschutz im eigenen Unternehmen geht. Werden Testdaten an Entwicklerteams weitergeleitet und verwaltet, sollte stets für deren Schutz gesorgt sein. Die einfachste und sicherste Lösung besteht für Unternehmen darin, auf synthetische Daten zu setzen. Damit können Risiken, die normalerweise mit der Verschlüsselung von Produktionsdaten einhergehen, vermieden werden.
5. API Management
Sichere APIs und deren effizientes Management sind der Kern einer jeden IT-Architektur, die den Anforderungen der neuen Datenschutzrichtlinie entspricht. Sind APIs nicht ausreichend geschützt, werden sie schnell zu Einfallstoren für Hacker. Sie integrieren Anwendungen und stellen einen Datenfluss über Unternehmensgrenzen hinweg her. Im Falle eines Cyberangriffs haben Hacker damit volle Sicht auf Strukturen und Informationen im Unternehmen.
Fazit
Die EU-DSGVO bedeutet Vereinfachung und Herausforderung gleichermaßen: Sie schafft ein einheitliches, regulatorisches Umfeld und baut damit internationale Hürden ab. Und sie erleichtert Bürgern die Kontrolle über die eigenen, persönlichen Daten, indem sie Transparenz erzeugt. Ihre Umsetzung dagegen stellt Organisationen vor Herausforderungen.
Es gilt, den gesamten Datenzyklus im Unternehmen zu überprüfen, Zugriffsrechte zu überdenken und neu zu verteilen und an jedem Punkt im Unternehmen für den Schutz persönlicher Daten zu sorgen. Mit modernen Technologien und Sicherheitslösungen lässt sich diese Herausforderung aber meistern. Noch ist Zeit, sich auf die EU-DSGVO vorzubereiten. Und trotzdem fangen Unternehmen besser heute als morgen damit an.