X

Neuste Trends, Tipps, Strategien &
Events rund um das Thema Cloud

  • 15. June 2018

5 Tipps für die DSGVO-Compliance: So schließen Sie Lücken bei der Datensicherheit

Martien Ouwens
Enterprise Architect, Architecture and Cloud Enablement EMEA

Die DSGVO ist jetzt geltendes Recht. Haben Sie die geforderten Sicherheits- und Datenschutzmaßnahmen implementiert? Wir haben fünf Top-Tipps zusammengestellt, um Ihnen den Nachweis der DSGVO-Compliance zu erleichtern.

Die lang erwartete Datenschutz-Grundverordnung (DSGVO) ist nun in Kraft getreten. Mit dieser Regelung reagiert die Europäische Union auf die Forderung nach mehr Konsistenz und besserem Schutz bei der Verarbeitung personenbezogener Daten.

Mit Sicherheit haben Sie von den potenziellen Bußgeldern im Falle der Nichteinhaltung gehört. Doch es steht noch viel mehr auf dem Spiel. Die Liste der Konsequenzen der DSGVO ist lang und reicht von einem möglichen Verbot der Datenverarbeitung über neue Rechte betroffener Personen bis hin zum Anspruch auf Schadensersatz bei einem Verstoß. Somit gibt es eine Menge guter Gründe, das Thema Compliance ernst zu nehmen.

Vor diesem Hintergrund haben Sie wahrscheinlich schon Einwilligungserklärungen verschickt, Ihre Datenerfassungsprozesse überprüft und sichergestellt, dass die betroffenen Personen ihr Recht auf Auskunft, Berichtigung, Datenübertragbarkeit und Löschung wahrnehmen können.  Doch selbst optimal vorbereitete Unternehmen müssen über die aktuellen Trends in Sachen Datenschutz und Sicherheitstechnologie informiert sein. Das ergibt sich aus Artikel 32 (Sicherheit der Verarbeitung), der verlangt, dass Auftragsverarbeiter die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer durch geeignete technische Maßnahmen sicherstellen.

Um Ihnen die praktische Umsetzung der DSGVO zu erleichtern, haben wir eine Liste der fünf wichtigsten Compliance-Maßnahmen für Sie zusammengestellt:

1. Sorgen Sie für umfassende Transparenz

Ab sofort ist Transparenz bei der Datenverarbeitung wichtiger als je zuvor. Die Protokollierung sämtlicher Datenverarbeitungsprozesse und der Nachweis der eigenen Fähigkeit, die Vertraulichkeit, Integrität und Verfügbarkeit der Datenverarbeitung sicherzustellen, zählen zu den Kernforderungen der DSGVO.

Darüber hinaus schließt die Erfüllung der Rechenschaftspflicht auch die Dokumentation technologiebezogener Entscheidungen ein. Unter anderem müssen Sie überzeugend darlegen können, warum Sie sich für eine bestimmte Technologie entschieden haben – beispielsweise, weil dadurch die Wahrscheinlichkeit einer Sicherheitsverletzung reduziert oder die Untersuchung eines Verstoßes erleichtert wird.

2. Ziehen Sie den Einsatz von Verschlüsselungs- und Anonymisierungs-Tools in Betracht

Es gibt eine ganze Reihe von Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen. Allerdings wird keine Technologie explizit vorgeschrieben. Die Entscheidung ist Ihnen überlassen und wird durch viele Faktoren beeinflusst: verfügbare Technologien, Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung und natürlich die Rechte der Dateneigentümer.

Zugleich ist klar, dass die in der DSGVO erwähnten technischen Maßnahmen mit Bedacht ausgewählt wurden. Denn es handelt sich dabei um leistungsstarke Tools, die für jedes Unternehmen eine Überlegung wert sind, wie etwa die Verschlüsselungs- und Pseudonymisierungstechnologien, auf die in Artikel 32 und 34 verwiesen wird.

Sich über diese Technologien zu informieren und herauszufinden, welchen Nutzen sie Ihrem Unternehmen und den von der DSGVO geschützten Privatpersonen bieten, ist auf jeden Fall lohnend. Datenbankverschlüsselung und Datenmaskierung sind beispielsweise unkomplizierte Verfahren zur Verschlüsselung und Anonymisierung von Daten, die sich relativ einfach implementieren lassen. 

3. Richten Sie angemessene Zugriffskontrollen ein

Selbst die besten und innovativsten Schutzmaßnahmen sind ohne angemessene Richtlinien und Vorkehrungen in Bezug auf den Datenzugriff praktisch wertlos.

Folgende Funktionen sind unentbehrlich:

  1. Autorisierung – Indem Sie genau festlegen, wer auf welche Daten zugreifen kann, und zugleich sicherstellen, dass stets nur die Berechtigungen zugewiesen werden, die für jede spezifische Aufgabe notwendig sind, minimieren Sie Ihre Angriffsfläche. Wichtig ist die Verwendung von Richtlinien, um Fehler zu verhindern und Umgehungsversuche zu vereiteln.
  2. Authentifizierung – Ihr System muss in der Lage sein, die Identität von Personen, Konten, Objekten, Systemen und Prozessen zu prüfen, die Zugriff anfordern.

Durch die Implementierung der richtigen Sicherheitsmaßnahmen schützen Sie nicht nur Ihre Daten, sondern Sie können, wenn etwas schief geht, auch schnell und einfach die Quelle des Problems ausfindig machen. Das ist wichtig, um Ihre Compliance-Bemühungen nachweisen und detaillierte Angaben zu Datenlecks machen zu können.

4. Stellen Sie eine lückenlose Erfassung aller IT-Prozesse sicher 

Protokolle und Logdateien spielen eine wesentliche Rolle bei der Verhinderung von Datenlecks und ermöglichen im Fall eines Sicherheitsverstoßes den Nachweis des Wie, Wer und Warum.

Anhand von Protokollen können Sie ...

  1. Sicherheitsvorfälle analysieren und passende Präventivmaßnahmen entwickeln,
  2. nachvollziehen, was passiert ist und wie sich ein solcher Vorfall in Zukunft verhindern lässt,
  3. nachweisen, welche Abläufe aus welchen Gründen zu dem Vorfall geführt haben.

Und im Fall eines schwerwiegenden Datenlecks können Sie mithilfe der Protokolle zumindest die Einhaltung der Vorschriften nachweisen und so den Strafrahmen für den Datenschutzverstoß mindern.

Deshalb sollten Sie sicherstellen, dass Protokollierungsprozesse und Audit-Trails sämtliche unternehmensinternen und Cloud-basierten IT-Ressourcen abdecken, darunter Datenbanken, Anwendungen, Firewalls, Middleware-Komponenten sowie Geräte und Appliances.

5. Halten Sie Ihre Systeme auf dem neuesten Stand – durch zuverlässige Konfigurations- und Patching-Prozesse

Eine der häufigsten Ursachen für Datenschutzverletzungen sind veraltete Software und fehlende Patches. Viele Unternehmen tun sich schwer damit, ihre Systeme auf dem aktuellen Stand zu halten, da das Einspielen von Updates und Patches mit Ausfallzeiten verbunden sein kann.

Doch moderne Lösungen schaffen hier Abhilfe. Beispielsweise können Tools für die Schwachstellensuche und das Patch-Management Unternehmen helfen, Betriebsstörungen auf ein Minimum zu reduzieren und gleichzeitig kompromisslosen Datenschutz sicherzustellen.

Oracle bietet eine Reihe von Technologien an, mit denen sich die in diesem Beitrag erwähnten Herausforderungen leichter meistern lassen, wie beispielsweise Oracle Database Security, Identity SOC (Security Operation Centre) und die Oracle Management Cloud. Ausführliche Informationen zu diesen Lösungen finden Sie unter: www.oracle.com/goto/gdpr

Wie geht es weiter?

Sie sollten sich bewusst machen, dass die DSGVO nicht darauf abzielt, Unternehmen aufgrund von Compliance-Verstößen zu bestrafen, sondern einzig dem besseren Schutz personenbezogener Daten dient.

Mit unseren fünf Top-Tipps können Sie einen wichtigen Schritt in Richtung Compliance tun. Aber letztlich geht es bei der DSGVO einfach um sicheres Datenmanagement und ein stabiles Vertrauensverhältnis zwischen den betroffenen Einzelpersonen und denen, die ihre personenbezogenen Daten speichern und verarbeiten.

Um hier langfristige Erfolge zu erzielen, müssen Sie in puncto Datensicherheit stets auf dem neuesten Stand sein. Dazu gehört die ständige Verbesserung und Weiterentwicklung des Datenschutzes in Ihrem Unternehmen mit innovativen Technologien.

Kontakt:

Ein spannendes Thema, über das ich gerne mit Ihnen spreche, per E-MailLinkedIn oder Twitter, Martien Ouwens, Enterprise Architect, Architecture and Cloud Enablement EMEA.

 

Kommentieren

Kommentare ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.Captcha