Fachartikel aus PROTECTOR 11/2017, S. 50 bis 51

EU-Datenschutz-Grundverordnung Praxisnah umsetzen

Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie vereinheitlicht ab dann den Datenschutz personenbezogener Daten innerhalb der EU. Gleichzeitig löst sie bei vielen Unternehmen Handlungsbedarf aus.

Bild: Fotolia/oatawa
Durch Omni-Channel-Authentifizierung bekommen Kunden die Möglichkeit, egal auf welchem Gerät ein und dasselbe Angebot einer Marke sicher zu nutzen. (Bild: Fotolia/oatawa)

In vielen Unternehmen mangelt es noch an den Grundvoraus-setzungen für Datensicherheit. Es fehlt das umfassende und vollständige Wissen, an welchen Stellen im Unternehmen sensible Daten vorgehalten und von welchen Prozessen sie abgerufen werden. Eine granulare Differenzierung von Rollen und Berechtigungen für den Datenzugriff nach dem Need-to-know-Prinzip ist oft nicht durchgängig vorhanden. Diese Aufgabe ist bei Unternehmen mit vielen Niederlassungen, externen Mitarbeitenden oder Subunternehmern noch komplexer.

Strikte Einhaltung

Lückenlose Datensicherheit und Transparenz in Bezug auf Datennutzung sind künftig strikt einzuhalten. Auf die IT bezogen hat die DS- GVO verschiedene Auswirkungen, die im Folgenden skizziert werden. Haftung: Kunden haften für Datenpannen im Unternehmen mit und wollen wissen, wie die anvertrauten Informationen kon trolliert werden. Ungenügender Datenschutz hat eine Ordnungsgeldbuße zur Folge. Marktortprinzip: Die neuen Datenschutzgesetze auf Basis der DSGVO gelten für alle Datenverarbeiter auch außerhalb der EU, wenn Daten von EU-Bürgern erhoben, verarbeitet oder gespeichert werden. Datenschutz (Verlust)-Folgeabschätzungen: Ohne Risiko-Inventar geht nichts mehr. Die Rechenschaftspflicht besagt, dass Datenverarbeiter neu Folgeabschätzungen vor der Einführung einer Datenverarbeitung vorhalten müssen. Datenschutz-Managementsystem (DSMS): Ohne ein DSMS, ähnlich einem Informat ionsschutz-Managementsystem (ISMS), wird Datenschutz nur als lückenhaft in Einzelteilen vorhanden sein. Das reicht nicht. IPG kennt die Plan-Do-Check-Act (PDCA)-Zyklen seit Jahren, jetzt ist es auch im Datenschutz „angekommen“.

Durchgängig und dynamisch

Ein sicheres Benutzer- und Zugriffsmanagement gewährleistet die Einhaltung der DSGVO. Fehlt Transparenz über Berechtigungen und Zugriffsmöglichkeiten auf Daten oder ist beispielsweise nicht bekannt, welche Anwender Daten verändern können, werden Risikominderungsmaßnahmen in der Praxis nicht wirksam. Rechte müssen deshalb durchgängig in einer Identity-Management- und Identity Governance-Lösung dynamisch verwaltbar und protokollierbar sein. An dieser Stelle kann IPG, mit ihrer langjährigen Expertise und den speziellen Kompetenzen sowie dedizierten Partnerschaften, Unternehmen aller Branchen helfen. Die oben genannten Hinweise sind beispielsweise in jedem Identity-Management-System standardmäßig integriert.

Herstellerabhängig bedarf es mehr oder weniger Konfigurationsaufwand. Da die DSGVO Nachvollziehbarkeit im Umgang mit personenbezogenen Daten verlangt, besteht hoher Bedarf an einer zuverlässigen, durchgängigen Authentifizierung der Anwender. Zusätzlich müssen Anwender mit hohen Privilegien und Berechtigungen besonders geprüft werden. Eine Multi-Faktor- sowie Omni-Channel- Authentifizierung sollte genutzt werden, um den Zugriff auf die Zielsysteme auf Basis der Identität zu gewährleisten. Multi-Faktor-Authentifizierung Multi-Faktor-Authentifizierungen (MFA) kombinieren zwei oder mehr unabhängige Berechtigungsnachweise aus den Bereichen:

  • Was der Anwender kennt (Passwort)
  • Was der Anwender hat (Security Token)
  • Was der Anwender ist (biometrische Verifizierung).
Das Ziel von MFA ist es, eine mehrschichtige Absicherung zu erschaffen.

Unautorisierte Personen haben es so schwerer, auf ein Ziel, wie zum Beispiel einen physischen Standort, ein Computing-Gerät, ein Netzwerk oder eine Datenbank, Zugriff zu erlangen. Sollte ein Faktor kompromittiert oder kaputt sein, muss sich der Angreifer mit mindestens einer weiteren Barriere auseinandersetzen, um einen erfolgreichen Einbruch durchzuführen. Omni-Channel-Authentifizierung Durch die zunehmende Verbreitung von mobilen Endgeräten wurde der Begriff „Omni-Channel“ geschaffen. Kunden bekommen die Möglichkeit, egal auf welchem Gerät beispielsweise ein und dasselbe Angebot einer Marke über einen beliebigen Kanal (Online, Social Media) zu verfolgen. Im Sinne der Authentifizierung geht es somit über den Multi-Faktor hinaus – und hin zu integrierten Infrastrukturen mit einheitlicher Sicht auf alle Angebote sowie Daten. Die Akzeptanz für die eingesetzten Lösungen zur Authentifizierung steigt, wenn jederzeit berücksichtigt wird, dass Sicherheitsmechanismen von Kunden und Anwendern nicht oder kaum wahrgenommen werden sollen. Ziel ist daher neben der Verwaltung von Identitäten und dem Management von Zugriffen auch die Überwachung der Performance von Systemen und Applikationen und des gesamten Geschäftsprozesses.

Solide Basis

Identity & Access Management (IAM) findet, unter anderem aus oben genannten Gründen, immer größere Verwendung. Zeitgleich wachsen auch die Anforderungen an die Funktionalität, die inzwischen mehr leisten muss als die bloße Absicherung. Eine erfolgreiche Lösung muss auch Kundenzufriedenheit garantieren (intern wie extern) und gleich mehrere Stufen und Plattformen entsprechend bedienen, ohne dabei den Endnutzer übermäßig zu beanspruchen oder zu verschrecken. Dennoch sollten Unternehmen die Realisierung einer passenden IAM-Lösung als Top-Priorität ansehen. Identity & Access Management unterstützt in der Einhaltung der DSGVO überall dort wo, ein Risiko-Inventar erstellt wird und Schutzniveaus eine Rolle spielen (Art. 35/36), und dort, wo Zugriff und Verarbeitung auf schützenswerte Daten gesteuert und belegt werden müssen (Art. 5/32). Ferner dort, wo Verarbeitungstätigkeiten geschützt und nachvollzogen werden müssen (Art. 30) und wo Auftragsverarbeiter ihnen anvertraute Daten DSGVO-konform beherrschen und dies auch belegen müssen (Art. 28).

Unterstützende Leistungen

Um IAM als solide Basis für die DSGVO/ GDPR zu nutzen, unterstützt IPG mit verschiedenen Leistungen. Advisory: Das Advisory erarbeitet gemeinsam mit den Kunden die schrittweisen Herangehensweisen, so dass am Ende ein unternehminternes IAM-Handbuch vorliegt. Dieses kann wiederum mit dem Datenschutz zu einem Notfallhandbuch erweitert/ umformuliert werden. Integration: IPG unterstützt bei der Erarbeitung und Integration der IAM-Lösung und schafft mit dem individuellen Betriebshandbuch die Grundlage für den erfolgreichen IAM-Betrieb. Operations: Dies hilft sofort bei Vorfällen, die meldepflichtig sind – ITSM ist auch hier als Standard bereits implementiert und fundamental. Education: Diese sensibilisiert gemeinsam mit externen Datenschützern die Mitarbeitenden, so dass jeder genau weiß, warum Datenschutz für jedes Unternehmen überlebensnotwendig ist. Jeder Mitarbeitende kann und muss dazu beitragen.

Arne Vodegel, Sales Manager Germany, IPG AG