Fachartikel vom 04/17/2018

EU-Datenschutz-Grundverordnung Last-Minute-Maßnahmen für die IT-Sicherheit

Die europäische Datenschutzgrundverordnung DSGVO beziehungsweise GDPR (General Data Protection Regulation) rückt immer näher: Am 25. Mai ist sozusagen Day Zero – ab diesem Zeitpunkt müssen Unternehmen die Richtlinien umsetzen und zum Beispiel kundenbezogene Daten bei Aufforderung schnell löschen. Bis dahin gibt es bei vielen Unternehmen noch einiges zu tun.

Bild: Tim Reckmann/ Pixelio.de
Um Datenbewegungen nachzuvollziehen, benötigen IT-Verantwortliche einen detaillierten Überblick über alle Datei- und Netzwerkaktivitäten auf den Endpoints, denn so kann festgestellt werden, wenn Daten auf externe Speichermedien kopiert werden. (Bild: Tim Reckmann/ Pixelio.de)

Bei einer Umfrage der deutschsprachigen SAP-Anwendergruppe e.V. (DSAG) gaben Ende 2017 nur etwas mehr als die Hälfte der Befragten an, bereits eine klare Herangehensweise für die Umsetzung von GDPR in ihrem Unternehmen zu haben. Aber woran liegt es, dass Unternehmen bei der Umsetzung der EU-Datenschutz-grundverordnung solche Schwierigkeiten haben?

Die DSGVO erfordert einen ganzheitlichen Blick auf die Daten im Unternehmen. „Ganzheitlich“ und „Daten“ ist hierbei die Herausforderung. Man könnte auch sagen, es hakt sowohl auf menschlicher als auch auf technischer Ebene: Die Umsetzung von GDPR muss sehr interdisziplinär stattfinden. Neben dem Datenschutzbeauftragten ist dabei auch die HR-Abteilung gefragt, genauso wie die verschiedenen IT-Teams und nicht zuletzt der CEO.

Wo liegen überall personenbezogene Daten?

Selbst innerhalb des Fachbereichs IT wird jedoch nicht immer an einem Strang gezogen: Oft arbeiten die IT-Operations- und Security-Teams getrennt voneinander an ihren jeweiligen Projekten. Um die Datenschutzgrundverordnung im Unternehmen umzusetzen, müssen jedoch zwei Fragen zusammenhängend beantwortet werden: Wo liegen eigentlich überhaupt überall personenbezogene Daten im Netzwerk? Und wie ist es um die Sicherheit dieser Daten bestellt?

Silos aufbrechen und die Sicherheitsstrategie überdenken

Im Rahmen der DSGVO müssen eventuelle Hacker-Angriffe oder Sicherheitsvorfälle innerhalb von 72 Stunden an die Behörden und die Betroffenen gemeldet werden. Um deshalb beim Datenschutz schnell und effizient zusammenzuarbeiten, müssen bestehende Silos zwischen den IT-Teams aufgebrochen werden, beispielsweise in der Zusammenarbeit beim Sicherheits- und Patch-Management.

Wobei wir schon bei der technischen Ebene wären: Dass die Speicherung von personenbezogenen Daten das große Thema bei GDPR ist, dürfte jedem klar sein. Was manchem Verantwortlichen im Unternehmen jedoch nicht in dem Ausmaß bewusst ist: Um dies ganzheitlich betrachten und sichern zu können, muss erstmal eine Bestandsaufnahme anderer Art erfolgen – und zwar die aller IT-Assets im Netzwerk.

Auf welchen Geräten liegen GDPR-relevante Daten?

Wenn die IT-Abteilung schließlich nicht einmal weiß, welche Endgeräte sich im Netzwerk befinden, wie soll sie dann feststellen, auf welchen Geräten GDPR-relevante Daten liegen, um diese im nächsten Schritt effektiv zu verwalten und vor Angriffen zu schützen? Erfahrungswerte von Tanium aus der Praxis zeigen: Es gibt meist zwölf bis 20 Prozent mehr Endpunkte im Unternehmensnetzwerk, als den Verantwortlichen bewusst ist. Diese Zahl wird einige IT-Verantwortliche überraschen, die denken, doch alles in allem einen guten Überblick über die vorhandenen Endpoints zu haben. Das Unternehmen Tanium bietet entsprechende Lösungen an, etwa um nicht-verwaltete Endpoints zu entdecken und abzusichern, und um ein genaues Inventory-Verzeichnis solcher Online- und Offline-Assets zu erhalten.

Daten auf externen Speichermedien

Um die Datenbewegungen von GDPR-relevanten Daten auf den Endpoints nachzuvollziehen, benötigen IT-Verantwortliche außerdem einen detaillierten Überblick über alle Datei- und Netzwerkaktivitäten auf den Endpoints. Deshalb sollten Prozesse und Aktivitäten im Bereich Registry oder DNS genau aufgezeichnet werden. Dadurch kann etwa festgestellt werden, wenn Daten auf externe Speichermedien kopiert werden. Auch machen es entsprechende Lösungen etwa von Tanium möglich, nach einzelnen Dateien im kompletten Netzwerk zu suchen, um im Fall der Fälle das Ausmaß eines Daten-Hacks einzuschätzen.

Den Hackern einen Schritt voraus mit Patch-Management

Die Entdeckung und Bekämpfung von Angriffen ist ein wichtiger Baustein für eine Sicherheitsstrategie im Rahmen der EU-DSGVO. Aber nicht die einzige. Das kontinuierliche und schnelle Ausrollen von Patches ist ebenfalls unerlässlich – und ein weiteres wichtiges Arbeitsfeld, auf dem IT-Operations und -Security-Teams zusammenarbeiten müssen. Dazu noch ein Erfahrungswert von Tanium: Bei 60 Prozent der Endgeräte fehlen sechs oder mehr kritische Patches und sogar bei über 90 Prozent der Unternehmen fehlen Patches für Adobe Flash und/oder Oracle Java.

Durch mangelhaftes Patch-Management stehen für Hacker die Tore zum Unternehmensnetzwerk weit offen und der Weg bis zum Datenklau ist dann nicht mehr weit. Wenn ein Unternehmen also nicht das erste sein möchte, das in der DSGVO-Ära mit einem Daten-Hack in den Medien auftaucht, sollte ein ganz großes Augenmerk der Last-Minute-GDPR-Vorbereitungen auf der zeitnahen Installation von eventuell fehlenden und sicherheitskritischen Updates liegen. In diesem Bereich ermöglicht eine Tanium-Lösung den schnellen Einblick in den aktuellen Patch-Status etwa für das Betriebssystem oder für Software von anderen Herstellern. Direkt aus derselben Anwendung heraus kann auch der Update-Vorgang gestartet werden.

Eine optimale Vorbereitung auf die europäische Datenschutzgrundverordnung beinhaltet viele Bereiche, von Compliance und Datenschutz über Customer Relations bis hin zur IT-Sicherheit. Wenn Unternehmen ein genaues Prozedere für das Endpoint- und Patch-Management festlegen, ist in puncto IT-Sicherheit schon viel gewonnen, auf den letzten Metern bis GDPR kommt.

Olav Strand, Regional Vice President Central Europe, Tanium

Kontakt- und Firmen-Infos im Branchenverzeichnis