X

Neuste Trends, Tipps, Strategien &
Events rund um das Thema Cloud

  • 27. February 2018

Die DSGVO – eine Weiterentwicklung der Datenschutzrichtlinie von 1995

Patrick McLaughlin
Oracle Fellow specializing in Security

Entscheidungsträger in Unternehmen sind derzeit bemüht, sich schnellstens Klarheit über die Auswirkungen der neuen Datenschutz-Grundverordnung der Europäischen Union (DSGVO) zu verschaffen. Die DSGVO wird die Datenschutzrichtlinie 95/46/EG ersetzen und soll die Datenschutzgesetze in Europa vereinheitlichen, den Datenschutz für alle EU-Bürger stärken und durchsetzen und den Datenschutzansatz von Unternehmen und Institutionen in der Region ändern. Durch ein weitreichendes Aufsichtsspektrum hat die DSGVO unter anderem folgende Auswirkungen:

» Mögliche Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes

» Überprüfung und Änderung von Prozessen, Anwendungen und Systemen innerhalb des Unternehmens

» Neue und strengere Datenschutz- und Sicherheitsanforderungen für Unternehmen, die personenbezogene Daten von EU-Bürgern erfassen und verarbeiten

Die DSGVO-Compliance erfordert eine koordinierte Strategie und die Zusammenarbeit verschiedener Unternehmensbereiche, von der Rechtsabteilung über Personalwesen, Marketing und Sicherheit bis hin zur IT-Abteilung. Eine nahtlose und sichere Informationsstrategie für alle Unternehmensbereiche ist unverzichtbar. Diese wiederum setzt gut koordinierte Leitlinien und Technologien voraus.

Unternehmen müssen eine klare Strategie und einen Aktionsplan zur Erfüllung der DSGVO-Anforderungen erarbeiten, um auf das Inkrafttreten der DSGVO am 25. Mai 2018 vorbereitet zu sein.

DSGVO und Sicherheitsanforderungen

Artikel 25 der DSGVO trägt die Überschrift „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ und fordert unter anderem „geeignete technische und organisatorische Maßnahmen … die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen“.   Dieses Abstraktionsniveau gibt den Verantwortlichen, die Hand in Hand mit ihren Auftragsverarbeitern vorgehen, die Flexibilität, die notwendigen Sicherheitsmaßnahmen im 

Kontext der jeweiligen Situation auszuwählen. Dabei wären zum Beispiel die Sensibilität und der Umfang der personenbezogenen Daten zu berücksichtigen. 

Der verwandte Artikel 32 der Datenschutz-Grundverordnung, „Sicherheit der Verarbeitung“, findet sich auch in der Datenschutzrichtlinie (Artikel 17) wieder, ist dort allerdings weniger präskriptiv formuliert und hauptsächlich auf den Verantwortlichen bezogen. In der DSGVO finden wir folgende Formulierung: „der Verantwortliche und der Auftragsverarbeiter [treffen] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Es ist klar, dass sowohl Verschlüsselung als auch Pseudonymisierung (z. B. Datenmaskierung) als offensichtliche Kandidaten für eine Implementierung präsentiert werden. Ebenso klar ist jedoch, dass die Entscheidung über deren Notwendigkeit vom Verantwortlichen und dessen Auftragsverarbeiter anhand ihrer Risikobewertung zu treffen ist. Risiken sollten in erster Linie aus Sicht der betroffenen Personen bewertet werden, aber offensichtlich gehen in die Erwägungen beider Parteien die Risiken ein, die sich für ihr eigenes Unternehmen ergeben, wenn der Risikofall für eine betroffene Person eintritt (an anderer Stelle verlangt die DSGVO von den Verantwortlichen eine Datenschutz-Folgenabschätzung – Anleitungen hierzu bietet die auch als „Artikel 29 Datenschutzgruppe“ bekannte Gruppe für den Schutz von Personen bei der Verarbeitung bezogener Daten der EU.

In Artikel 32(1) geht es um die konventionelle Sicherheit, denn der Text bezieht sich auf Vertraulichkeit, Integrität und Verfügbarkeit sowie die Notwendigkeit, den Stand der Technik und sogar die Kosten zu berücksichtigen.

Wie in Artikel 25 gibt es auch hier keine genauen Vorgaben zur Absicherung der Datenverarbeitung.  Dadurch wird sichergestellt, dass die DSGVO auf Unternehmen jeder Größe und die Verarbeitung aller Arten von personenbezogenen Daten anwendbar ist und technologieunabhängig bleibt.  Der Kunden muss jedoch entscheiden, was angemessen ist, und wenn es zu einem Problem – etwa einer Datenverletzung – kommt, muss mit hoher Wahrscheinlichkeit angenommen werden können, dass die eigene Interpretation der Angemessenheit mit der Ansicht der Aufsichtsbehörde übereinstimmt.

Artikel 83 besagt, dass die Aufsichtsbehörde bei einer Verletzung des Datenschutzes unter anderem die technischen und organisatorischen Vorkehrungen zu berücksichtigen hat, die gemäß den Artikeln 25 und 32 getroffen wurden. 

Wie tragen Oracle Lösungen zur DSGVO-Compliance bei? 

Aus unseren bisherigen Betrachtungen ergeben sich mehrere Fragen: Was ist „Stand der Technik“ im Bereich der Sicherheit? Was ist angemessen oder zumindest ein guter Ausgangspunkt für den Schutz personenbezogener Daten?

Um mit der Verschlüsselung zu beginnen: Oracle ermöglicht die Verschlüsselung beliebiger sensibler Bereiche einer Oracle Datenbank.  Kunden sollten diese Möglichkeit nutzen, um personenbezogene Daten sowohl „im Ruhezustand“ auf Datenträgern als auch während der Übertragung von und zur Datenbank zu verschlüsseln. 

Oracle Datenbanken können personenbezogene Daten maskieren oder pseudoanonymisieren. Dies kann entweder dynamisch in Echtzeit beim Abruf von Datenattributen aus der Datenbank erfolgen – z. B. Ändern des Geburtsdatums von TT.MM.JJJJ nach **.MM.JJJJ – oder aber statisch/permanent auf eine vollständige Kopie der Datenbank angewendet werden, etwa um personenbezogene Daten in einer Tabelle zu pseudoanonymisieren, bevor die Tabelle für Anwendungstests oder zur Verwendung in der Softwareentwicklung exportiert wird. 

Die Datenbank verhindert unbefugte Datenzugriffe durch Datenbankadministratoren und andere Benutzer – z. B. das Lesen oder gar Ändern von personenbezogenen Daten – und enthält Funktionen zur Erkennung und Abwehr von SQL-Injection-Angriffen sowie zur Speicherung detaillierter Auditprotokolle etwa über Änderungen von personenbezogenen Daten.

Angesichts des klaren Bezugs zu Artikel 32(a) bilden Verschlüsselung und Datenmaskierung den Startpunkt für die meisten Kunden.

Seit mehreren Jahren werden personenbezogene Daten (von Oracle und anderen Anbietern) in der Cloud gespeichert und verarbeitet.  In Public Clouds kam es bereits mehrfach zu schlagzeilenträchtigen Datenschutzverletzungen, und viele Beobachter waren überrascht, als sich herausstellte, dass diese Vorfälle nicht auf Fehlverhalten des Cloud-Serviceanbieters, sondern auf die mangelhafte Erfüllung der Sicherheitsverpflichtungen des Kunden zurückzuführen waren. Beispiele für sehr einfache Fehlern sind, dass Kunden ihre Anwendungen nicht sachgemäß konfigurieren oder die Verschlüsselung nicht aktivieren.  Im Sommer 2017 wurden in den USA drei folgenschwere Verstöße bekannt, bei denen große Mengen an personenbezogenen Daten in unbefugte Hände geraten waren.

Zum Schutz von öffentlichen Cloud-Services (IaaS, PaaS und SaaS) bietet der IT-Sektor eine eigene Lösungskategorie namens CASB (Cloud Access Security Broker) an.  Alle Unternehmen, die der DSGVO unterliegen, sollten dringend den Einsatz einer CASB-Lösung erwägen.   Die CASB-Lösung von Oracle nutzt maschinelles Lernen, um maximalen Schutz für Cloud-Services zu bieten. CASB kann sowohl zur Prävention als auch zur Erkennung eingesetzt werden.

Zusatzlösungen, die ebenfalls auf maschinellem Lernen basieren, können in einer Hybrid Cloud (Oracle und Fremdanbieter) eingesetzt werden, um die korrekte Konfiguration von Anwendungen und Services zu gewährleisten und auffälliges Benutzerverhalten zu erkennen.  Diese hochentwickelten Lösungen können CASB ergänzen, um für eine Sicherheitszentrale moderne Tools bereitzustellen, mit denen 

Cyberbedrohungen gegen personenbezogene oder sonstige vertrauliche Daten sowohl vor Ort als auch in heterogenen Clouds erkannt und abgewehrt werden können.

Kontakt:

Ein spannendes Thema, über das ich gerne mit Ihnen spreche, per E-Mail oder LinkedIn. Patrick McLaughlin, Security Architect and Oracle Fellow EMEA.

Kommentieren

Kommentare ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.Captcha