Bereiten Sie sich schon 2017 auf die Datenschutz-Grundverordnung vor: Wichtige Fragen

Die neue Datenschutz-Grundverordnung wird in diesem Jahr in vielen Branchen bei Entscheidungen zu Sicherheitslösungen eine wichtige Rolle spielen. Die Höhe der möglichen Geldbußen und die drohende Rufschädigung durch gemeldete Verstöße können sich negativ auf Unternehmensinitiativen zur digitalen Transformation auswirken. In vielen Unternehmen werden Fragen aufgeworfen wie „Wo sollen wir beginnen?“ oder „Worauf sollen wir besonders achten?“. Die Unternehmensführung sowie Sicherheitsverantwortlichen sollten ihr bestehendes Datensicherheitsprogramm anhand der hier gestellten Fragen einer genauen Prüfung unterziehen.

 

Ist in Ihrem Unternehmen eine Kultur der Datensicherheit und des Sicherheitsbewusstseins etabliert?

Warum ist das wichtig? Alle Personen im Unternehmen – von den Führungskräften bis zu den Anwendern, Administratoren und Entwicklern – müssen geschult, zertifiziert und darauf vorbereitet werden, eine Unternehmenskultur zu entwickeln, in der Datensicherheit und Privatsphäre standardmäßig eine große Rolle spielen. In vielen Fällen muss zur Vorbereitung auf die neue Verordnung zunächst ein Datenschutzbeauftragter ernannt werden, der für die Einhaltung der Vorschriften und die Kommunikation mit den Aufsichtsbehörden verantwortlich ist. In Anbetracht der hohen Geldbußen bei Verstößen müssen wahrscheinlich neue interne Berichtsstrukturen geschaffen und eine Kultur der kontinuierlichen Compliance entwickelt werden.

Wissen wir, wo unsere sensiblen sowie privatsphärenrelevanten Daten gespeichert werden?

Warum ist das wichtig? Sie können den Schutz der Daten nicht gewährleisten, wenn Sie die wichtigen Repositorys, Anwendungen und geschäftlichen Abläufe nicht kennen. Viele Programme zum Schutz vor Datenverlusten versagen aus genau diesem Grund. Heute sind Daten überall verteilt, zunehmend auch auf Mobilgeräten und in Cloud-Systemen, wo sie noch stärker durch Angriffe oder Missbrauch gefährdet sind. Daher wäre es wichtig, die Implementierung eines Programms zur kontinuierlichen Datenerkennung und -klassifizierung in Betracht zu ziehen. Zu diesem Programm sollte auch ein funktionsübergreifendes Team aus Geschäftsdaten-Eigentümern, Sicherheitsprozess-Verantwortlichen und Datensicherheitsexperten gehören.

Verwenden wir Verschlüsselung zum Schutz der Daten?

Warum ist das wichtig? Verschlüsselung ist eine wichtige Maßnahme zur Minimierung der Folgen von Datenlecks und sollte überall dort angewendet werden, wo Daten gespeichert oder übertragen (insbesondere bei mobilen Geräten wie Notebooks) bzw. in Cloud-Dienste hochgeladen werden. Aktuelle Umfragen ergaben, dass es sich bei fast 20 % der in Cloud-Speicher hochgeladenen Daten um vertrauliche Daten handelt. Hier besteht immer die Gefahr eines Verstoßes gegen die Datenschutz-Grundverordnung. Unternehmen sollten außerdem einen Überblick über den Verschlüsselungsstatus haben und unverschlüsselte Geräte oder Datenflüsse mit automatisierten Korrekturmaßnahmen schützen.

Ist bereits ein aktuelles Projekt zum Schutz vor Datenverlusten vorhanden oder zumindest für dieses Jahr geplant?

Warum ist das wichtig? Ein Programm zum Schutz vor Datenverlusten, das Host- und Netzwerk-basierte Kontrollpunkte umfasst, ist dringend erforderlich, um versehentliche sowie anhand von Richtlinien erkannte Datenlecks zu verhindern bzw. zu erkennen. Laut aktuellen Umfragen enthalten fast 10 % aller Daten, die an externe Personen weitergegeben werden, personenbezogene und andere sensible Daten. Zudem stellen Unternehmen pro Tag durchschnittlich 20 Datensicherheitsvorfälle fest. Jeder dieser Vorfälle kann zu einem Verstoß gegen die Datenschutz-Grundverordnung führen.

Wissen wir, wo sich alle unsere Datenbanken befinden und welche Daten darin gespeichert werden?

Warum ist das wichtig? Datenbanken enthalten häufig die wertvollsten Informationen eines Unternehmens und insbesondere solche Daten, die sich auf die Kunden beziehen. Dennoch setzen viele Unternehmen ausschließlich auf grundlegende Sicherheitskontrollen, sie installieren Patches aufgrund der Ausfallzeiten für die Anwendungen nur unregelmäßig und vertrauen die Aktivitätsüberwachung komplett den Administratoren an. Zudem werden in für Test und Entwicklung bereitgestellten Datenbanken häufig Produktionsdaten verwendet, sodass ein weiteres Risiko für den Verlust sensibler Daten entsteht. Zur Vorbereitung auf die Datenschutz-Grundverordnung sollten Unternehmen erwägen, die Datenbank-Sicherheitsprozesse zu überprüfen, zusätzliche Maßnahmen zum Schutz vor Schwachstellenausnutzungen zu implementieren sowie in den Sicherheitsprozessen konkrete Anwendungsszenarien für Datenbankkompromittierungen zu definieren.

Es gibt viele weitere Fragen, die gestellt werden sollten. Wie gehen wir mit Cloud-Software-as-a-Service-Anwendungen um, in denen private Daten verarbeitet oder gespeichert werden? Wie kontrollieren wir Berechtigungen und die Aktivitäten von Benutzern mit umfangreichen Zugriffsrechten, insbesondere im Zusammenhang mit Cloud-Diensten? Sind in den Sicherheitsprozessen Anwendungsszenarien zur Erkennung von Datenkompromittierungen definiert? Diese und ähnliche Fragen müssen sich Unternehmen stellen und beantworten können, um sich auf die Datenschutz-Grundverordnung vorzubereiten.

Beteiligen Sie sich an unserer Unterhaltung unter @McAfee.

Leave a Comment

two × 3 =