DSGVO erfordert angepasste Arbeitsweise

Ab Ende Mai gilt die EU-Datenschutz-Grundverordnung (DSGVO). Doch viele Unternehmen sind immer noch unzureichend vorbereitet. Warum sie sich beim Thema DSGVO so schwertun und auf was sie jetzt in Sachen Sicherheit achten müssen, erklärt Gerald Beuchelt, Chief Information Security Officer beim Sicherheits-Software-An­bieter LogMeIn.

Gerald Beuchelt: Viele größere Unternehmen setzen funktionsübergreifende Teams ein und kümmern sich aktiv darum, dass sie die Anforderungen der DSGVO genau kennen und verstehen, einschließlich der Änderungen, die mit dem Erheben, Verarbeiten, Speichern und Löschen personenbezogener Daten zusammenhängen.

Beuchelt: Die DSGVO betrifft viele juristische und betriebswirtschaftliche Aspekte. Eine erfolgreiche Umsetzung setzt voraus, dass sowohl die Unternehmensführung als auch so gut wie alle Abteilungen involviert sind. Im Gegensatz zu anderen Technologie- und Compliance-Richtlinien können Unternehmen die Umsetzung der Verordnung nicht einfach der IT- oder Rechtsabteilung überlassen.

Beuchelt: Die neuen Regeln für das Einholen der Zustimmung zur Datenerhebung bedeuten für viele Unternehmen, dass sie ihre Arbeitsweise anpassen müssen, um die neuen Vorschriften einhalten zu können. In der Vergangenheit wurden die Datenverarbeitungsprozesse nicht unbedingt auf dem von der DSGVO geforderten Niveau dokumentiert. Das hat in einigen Fällen zu einem schlecht definierten Managementprozess und zur Einführung problematischer Praktiken im Zusammenhang mit personenbezogenen Daten geführt.

Beuchelt: Unternehmen sind mit Inkrafttreten der Verordnung beispielsweise verpflichtet, Verstöße zu melden, die zu einer Gefährdung der Rechte und Freiheiten natürlicher Personen führen können. Diese reichen von finanziellen Verlusten bis hin zu Rufschädigung. Die zuständige Behörde muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes benachrichtigt werden. Wenn der Verstoß hinreichend schwerwiegend ist, muss die Organisation auch die Öffentlichkeit darüber informieren.

Beuchelt: Das wird Unternehmen ganz neue Türen öffnen – aber nur die, die sich für eine ordnungsgemäße Umsetzung einsetzen, werden von den Vorteilen tatsächlich profitieren.

Beuchelt: Neben der ethisch korrekten Datenverarbeitung erfordert die DSGVO ein dem Risiko angemessenes Sicherheitsprogramm, um die personenbezogenen Daten zu schützen. Zwar gibt es kein Patentrezept für gute Sicherheit, aber es gibt eine Reihe von Elementen, die jedes Sicherheitsprogramm prüfen muss: Neben der grundlegenden Betriebs­hygiene wie Schwachstellenmanagement werden Passwörter – insbesondere für Dienste von Drittanbietern – oft übersehen. Und das, obwohl Tools wie LastPass zur Verfügung stehen, um das Passwortmanagement zu verbessern und zu messen.

Beuchelt: Viel zu oft entstehen Sicherheitslücken durch ein wiederverwendetes oder sehr schwaches Passwort für Unternehmensdienste. Das muss nicht immer das Administrator-Kennwort sein. Die Angreifer werden immer besser darin, ein Unternehmen quasi von unten zu durchsetzen: Wird eine anfängliche, kleine Lücke im System identifiziert, ist es oft einfach, von einem Server auf den nächsten zu gelangen, bis der Zugriff auf wichtige Systeme gewonnen ist.

com! professional: … aber ganz ohne Passwörter geht es halt auch nicht …

Beuchelt: Passwörter sind die am häufigsten verwendeten Berechtigungsnachweise, um Anwender gegenüber Systemen zu authentifizieren. Sie sind viel einfacher zu implementieren als viele andere Authentifizierungsmechanismen, sodass sie eigentlich überall genutzt werden. Während es große Fortschritte bei der Einführung alternativer oder zusätzlicher Authentifizierungsfaktoren wie Tokens oder Biometrie gibt, ist die Anmeldung über Passwörter immer noch die am häufigsten verwendete Authentifizierungsform.

Vor einigen Jahren galt Federation als die Lösung: Ein einziges Passwort und ein Single Sign-on sollten den Zugriff auf viele Systeme ermöglichen. Aber Federations sind immer noch schwierig einzurichten und zu verwalten und zudem manchmal nicht kompatibel. Daher ist die grundlegende Passwortverwaltung immer noch eines der größten Probleme für diejenigen, die Zugang zu Hunderten von Systemen und Accounts haben.

Beuchelt: Die Bereitstellung eines Passwortmanagers der Enterprise-Klasse sollte einer der ersten Schritte sein – ohne ein geeignetes, sicheres und plattformübergreifendes Tool kann von den Mitarbeitern nicht erwartet werden, dass sie Hunderte von hochkomplexen Passwörtern verwalten und regelmäßig ändern. Außerdem sollten die Tools, mit denen Unternehmen ihre Passwörter verwalten, Metriken und Dashboards bereitstellen, um die Effektivität des Rollouts zu messen. Es ist wichtig, die Nutzungsrate und die Gesamtqualität der Passwörter im Blick zu haben, um eine gute Ausgangslage zu haben und die Passwortsicherheit kontinuierlich zu verbessern.

Beuchelt: Skalierbarkeit ist natürlich wichtig, da größere Unternehmen oft komplexere IT-Ökosysteme haben und anderen Herausforderungen gegenüberstehen. Das grundlegende Problem der Passwortsicherheit ist aber eigentlich identisch.

com! professional: Bei allen Sicherheitsvorkehrungen – können Unternehmen den Angreifern überhaupt jemals auf Augenhöhe begegnen, oder werden Cyberkriminelle ihnen immer einen Schritt voraus sein?

Beuchelt: Es wird immer ein Wettlauf sein. Wenn die Sicherheitssysteme besser werden und die Unternehmen gewisse Sicherheitsstandards anwenden, werden auch die Angreifer raffinierter.