X

Neuste Trends, Tipps, Strategien &
Events rund um das Thema Cloud

  • 19. April 2018

Die richtigen Systeme ebnen den Weg zur DSGVO-Compliance

Martien Ouwens
Enterprise Architect, Architecture and Cloud Enablement EMEA

Wenn es um die DSGVO-Compliance geht, reicht Datenbank-Sicherheit allein bei Weitem nicht aus. Die Verantwortlichen in Unternehmen müssen auch Produktionssysteme unter die Lupe nehmen, denn dort sind Daten häufig deutlich anfälliger als in Data Warehouses. Ein guter erster Schritt ist der Einsatz von Systemen, die mit robusten Sicherheitsfunktionen für die DSGVO-Compliance ausgestattet sind.

Im Zusammenhang mit der neuen Datenschutz-Grundverordnung (DSGVO) denken viele von uns zuerst an die großen Datenmengen, die in Datenbanken und Data Warehouses gespeichert sind. Doch mit dem Schutz dieser Daten ist es noch längst nicht getan, denn Datenbanken enthalten nur einen relativ kleinen Teil der Daten eines Unternehmens – deutlich mehr werden in Produktionssystemen verwendet. Dort sind sie deutlich anfälliger für Hackerangriffe und Datendiebstahl.

Um sicherzustellen, dass Ihre Maßnahmen zur DSGVO-Compliance wirklich alle Daten in Ihrem Unternehmen einschließen, müssen Sie über Ihre Datenbanken hinaus blicken und die Datensicherheit auch auf Systemebene angehen. Geeignete Systeme mit der nötigen Sicherheit und Robustheit können den Ausschlag dafür geben, ob Sie lediglich das Restrisiko von Sicherheitsvorfällen managen müssen oder aber äußerst anfällig für Angriffe sind.

Dieser Blog-Artikel erläutert die vier zentralen Kriterien, die ein System für mittelgroße Unternehmen meiner Meinung nach erfüllen muss, damit die DSGVO-Compliance so einfach und effizient wie möglich erreicht werden kann.

1.Vertraulichkeit (Zugriff auf Daten wird nur Personen und Prozessen gewährt, die ihn unbedingt benötigen.)

Wenn Sie dafür sorgen, dass nur die Personen und Prozesse auf Daten zugreifen können, die diese Daten zwingend benötigen, haben Sie das Risiko eines Datenlecks im Sinne der DSGVO bereits deutlich reduziert. Je weniger Personen auf bestimmte Daten zugreifen können, desto geringer ist das Risiko, dass diese Daten in falsche Hände gelangen. Und desto leichter ist es, im Falle eines Datenlecks die Quelle ausfindig zu machen.

Strenge Sicherheitsrichtlinien sind ein Schritt in die richtige Richtung, reichen aber allein nicht aus. Damit die Daten wirklich rundum geschützt sind, muss das System sie automatisch ver- und entschlüsseln können, ohne die Prozessoren übermäßig zu beanspruchen.

Die CPUs der SPARC-Systeme von Oracle verfügen über eigene Krypto-Kerne für die Entschlüsselung, damit die Sicherheit nicht zu Lasten der Leistung geht. Sie können die Hardwareverschlüsselung mit nur einem Mausklick aktivieren. Einfacher geht es nicht.

Zusätzlich können Sie anhand der rollenbasierten Zugriffsbeschränkung steuern, wer auf welche Daten zugreifen darf, und die Zugriffe protokollieren. Dies ist von größter Wichtigkeit, um die DSGVO-Anforderungen zur Überprüfbarkeit zu erfüllen.

Eine zeitbasierte Zugriffssteuerung ermöglicht ein noch höheres Maß an Kontrolle. Darüber können Sie nicht nur festlegen, wer was bearbeiten darf, sondern auch, wann. Diese Möglichkeit ist besonders wertvoll, um das Worst-Case-Szenario eines Sicherheitsvorfalls außerhalb der Bürozeiten – wenn die Systeme besonders anfällig sind – zu verhindern.

2.Integrität (Datenkorrektheit ist überprüfbar und Änderungen sind nachvollziehbar.)

Wir generieren pausenlos neue Daten, mehr als je zuvor. Ein Großteil dieser Daten muss jederzeit abgerufen und geändert werden können, rund um die Uhr an jedem einzelnen Tag im Jahr. Herkömmliche Verfahren zur Integritätsprüfung versagen bei diesen Datenmengen.

Speichersysteme der Reihe Oracle ZFS nutzen beispielsweise Prüfsummen, um unautorisierte Datenmanipulationen zu erkennen und rückgängig zu machen. Wenn ein Datenträger vorübergehend fehlerhafte Daten liefert, erkennen die ZFS-Systeme dies und wiederholen den Lesevorgang. Wenn der Datenträger Teil eines gespiegelten Systems oder einer RAID-Z-Gruppe ist, korrigiert das ZFS-System den Fehler außerdem. Dazu ermittelt es anhand der Prüfsumme, welche der verfügbaren Kopien unbeschädigt ist, liefert diese an die Anwendung und repariert die beschädigte Kopie.

3.Verfügbarkeit (Daten sind bei Bedarf jederzeit verfügbar.)

Die DSGVO fordert, dass die personenbezogenen Daten, die Sie zu Einzelpersonen speichern, jederzeit leicht verfügbar sind. Die Erfüllung dieser Anforderung kann jedoch schwierig werden, wenn die Verfügbarkeit einiger Systeme Ihnen ohnehin Probleme bereitet.

Glücklicherweise haben moderne Systeme Vorgänge wie das Einspielen von Patches (die Systemausfälle verursachen können) erheblich vereinfacht. Bei Oracle-SPARC-Systemen mit Solaris können Sie zum Beispiel Schnappschüsse der Produktionsumgebungen anfertigen. An einem solchen Schnappschuss können Sie Patches testen und Systemänderungen ausprobieren. Wenn alles in Ordnung ist, kann der aktualisierte Schnappschuss im Handumdrehen als neue Produktionsumgebung eingesetzt werden.

Die Vorteile: keine Ausfallzeiten beim Einspielen des Patches, weniger Patch-Fehler in Produktionsumgebungen und letztlich eine bessere Verfügbarkeit von System und Daten.

4.Überprüfbarkeit (Es ist nachvollziehbar, wer wann was getan hat.)

Die Aufzeichnung aller Datenzugriffe und ‑änderungen und eine entsprechende Berichterstellung sind seit Jahren gängige Best Practices im Bereich der Datensicherheit. Mit der DSGVO werden sie nun zur Pflicht.

Angesichts der sich kontinuierlich zuspitzenden Bedrohungslage ist es zudem ratsam, Aktivitäten nicht nur aufzuzeichnen, sondern die Logdateien außerdem kontinuierlich an ein anderes Rechenzentrum zu senden und dort zu speichern. Damit verhindern Sie die Manipulation der Logdateien und machen es Eindringlingen sehr schwer, ihre Spuren im System zu verwischen.

DSGVO-Compliance sollte sich nicht von Best Practices für Datensicherheit und Datenschutz unterscheiden

Ihre Systeme sind ein wichtiger Baustein im Gefüge Ihrer Maßnahmen zur Einhaltung der DSGVO-Vorgaben. Man könnte sogar sagen, Systeme mit den richtigen Funktionen und Konfigurationen sind bereits die halbe Miete, um die Vorgaben der DSGVO zu erfüllen. Obendrein können sie viele besonders komplexe Anforderungen enorm vereinfachen. Zudem sollten die Best Practices der Datensicherheit in Unternehmen ohnehin angewendet werden, und letztlich geht es bei der DSGVO genau darum.

Beschränken Sie sich bei Ihren Vorbereitungen auf die DSGVO also nicht auf die Datenbanken, sondern prüfen Sie, wie anspruchsvollere und sicherere Systeme die ganzheitliche Umsetzung von Compliance und Datensicherheit vorantreiben könnten.

Die nächsten Schritte 

Melden Sie sich für unser Live-Webinar an: Dort erfahren Sie mehr über die hier vorgestellten Funktionen und lernen die Systeme besser kennen, die Ihrem Unternehmen die Freiheit zur Vereinfachung von Sicherheit und DSGVO-Compliance geben.

Kontakt:

Ein spannendes Thema, über das ich gerne mit Ihnen spreche, per E-Mail, LinkedIn oder TwitterMartien Ouwens, Enterprise Architect, Architecture and Cloud Enablement EMEA.

 

Kommentieren

Kommentare ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.