Die europäische Datenschutzgrundverordnung DSGVO (beziehungsweise GDPR) naht mit großen Schritten – Sie wird zum 25.05.2018 verbindlich!
Trotzdem erfüllen ca. 70 Prozent der deutschen Online-Shops noch nicht die Anforderungen der Datenschutz-Grundverordnung und es ist auch nur ein schwacher Trost für Online-Shop-Betreiber, dass es auch in anderen Branchen kaum besser aussieht. Viele Unternehmen haben auch ca. 3 Wochen vor Inkrafttreten der neuen Verordnung noch immer keine klare Vorstellung- geschweige denn eine strukturierte Herangehensweise – für die Umsetzung der DSGVO in ihrem Unternehmen.
Am 25. Mai tritt die DSGVO in Kraft und Unternehmen müssen zu diesem Zeitpunkt valide Prozesse und Technologien für den Schutz von personenbezogenen Daten im Einsatz haben. Die Zeit drängt also! Was also können Web-Shops im Speziellen und Unternehmen im Allgemeinen jetzt noch an Last-Minute-Vorbereitungen leisten, um die Datensicherheit zu erhöhen?
Wo liegen personenbezogene Daten?
Die Anforderungen der DSGVO sind für alle Unternehmen, welche personenbezogene Daten verarbeiten und speichern, identisch: gefordert wird z.B., dass diese Daten nur verschlüsselt gespeichert werden dürfen oder dass im Falle von Datenpannen oder Hackerangriffen innerhalb von max. 72 Stunden eine Meldung an die zuständigen Behörden erfolgen muss.
Damit z.B. ein Hacker-Angriff schnell bemerkt und bekämpft werden kann, müssen IT-Verantwortliche daher zunächst einmal genau wissen, auf welchen Geräten im Unternehmen – also zum Beispiel Servern, Desktops oder Laptops – überhaupt personenbezogene Daten liegen.
Customer-Data-Management – eine Herausforderungen für Webshops
Für Betreiber von Online-Plattformen wie z.B. Shops ergeben sich darüber hinaus zusätzliche Herausforderungen, denn logischer Weise ist die potentielle Gefahr eines Datenklaus besonders groß, wenn Kundendaten online verwaltet werden.
Dies macht den Datendiebstahl für Hacker nicht nur sehr verlockend – noch viel mehr erschüttert ein solcher Datenverlust das Vertrauen der Kunden von Online-Plattformen ganz besonders. So können Fehler oder Unzulänglichkeiten auch dazu führen, dass Daten unverschlüsselt und öffentlich zugänglich im Netz stehen.
Ab dem 25. Mai ist damit allerdings in der Tat „Schluß mit Lustig“, denn die die rechtlichen Konsequenzen für solche Zwischenfälle werden deutlich härter.
hahninfotec empfiehlt Ihnen, Ihre Verschlüsselungstechnologie und die eingesetzten Produkte bis dahin genau zu prüfen und wenn nötig auf den neuesten Stand zu bringen.
Die Kunden eines Betreibers müssen außerdem über alle Aspekte der Datenspeicherung und -verarbeitung informiert werden und der Betreiber ist verpflichtet, deren Einwilligung rechtssicher und in nachprüfbarer Form zu archivieren. Laut DSGVO steht jeder natürlichen Person das „Recht auf Vergessenwerden“ zu – d.h. Kundendaten müssen auf Wunsch auch wieder vollständig gelöscht werden.
Sofern das Online-Angebot inklusive Kundendaten über einen Cloud-Dienst gehostet wird, spielen die Vorgaben zur Auftragsdatenverarbeitung gem. Artikel 28 DSGVO eine Rolle. Ihr Webshop-Hoster sollte ein DSGVO-Zertifikat vorweisen können.
Jetzt brennt es! Vorbereitungen für alle Unternehmen
Wie können sich Unternehmen im Bereich IT-Sicherheit optimal für die DSGVO aufstellen? Wir haben für Sie folgende konkrete Tipps:
Information Security Framework implementieren:
Gesetzlich ist kein bestimmtes Framework vorgeschrieben, aber die Anwendung eines dem Industrie-Standard entsprechenden Framework ist sinnvoll, etwa CIS Controls, NIST Cybersecurity Framework oder ISO-27000.
Überblick über alle Geräte in der Netzwerkumgebung:
Zu wissen, wo überhaupt schützenswerte Daten liegen ist der erste Schritt auf dem Weg zur DSGVO-Konformität. Mit Hilfe eines Endpoint-Management-Tools können bisher unbekannte oder nichtverwaletete Endpoints entdeckt werden. Zudem sollte ein genaues IBestands-Verzeichnis solcher Online- und Offline-Assets angefertigt werden.
Überblick über Datei- und Netzwerkaktivitäten auf den Endpoints:
Dadurch können alle DSGVO-bezogenen Datenbewegungen auf den Endpoints nachvollzogen werden. Wir empfehlen zudem, Prozesse und Aktivitäten im Bereich Registry oder DNS genau aufzuzeichnen, worduch IT-Experten etwa in die Lage versetzt werden festzustellen, wenn und ggfls. wann und wie Daten auf externe Speichermedien kopiert werden.
Verwendung von Endpoint-Encryption-Software:
Die DSGVO fordert eindeutig eine verschlüsselte Speicherung von personenbezogenen Daten. Überprüfen Sie, ob die Verschlüsselung ordnungsgemäß zur Anwendung kommt. Spezielle Software kann hierbei unterstützen und macht es nachverfolgbar, wenn zum Beispiel ein Gerät mit sensitiven Daten gestohlen wird.
Imminent wichtig: Patch-Management!
Um DSGVO-compliant zu sein, ist das kontinuierliche und schnelle Ausrollen von Security-Patches unerlässlich. Nur so ist der Schutz Ihrer Unternehmens-Endpoints vor Angriffen sicherzustellen.
Systeme regelmäßig nach Schwachstellen prüfen:
Mindestens wöchentliche Prüfläufe sind empfohlen, um potentielle neue Schwachstellen zu entdecken. Mithilfe entsprechender Software-Lösungen können Schwachstellen auf den Endpoints regelmäßig analysiert werden, ohne jedes Mal einen kompletten Netzwerk-Scan durchzuführen.
Der Blick aufs große Ganze
Die DSGVO umfasst insgesamt 99 Artikel. Und Für jeden dieser Artikel muss ein Unternehmen den Nachweis erbringen können, dass die Vorgaben erfüllt werden. Unzweifelhaft sind IT-Sicherheit und das Monitoring von Sicherheitsvorfällen ein wichtiger Bestandteil, jedoch spielen auch Content-Management und Verfahrensverzeichnisse eine bedeutende Rolle. Artikel 30 der DSGVO definiert das„Verzeichnis von Verarbeitungstätigkeiten“: es sollte genau dokumentiert werden, wie in einem Unternehmen Daten verarbeitet werden. Insofern ist das Anlegen eines Verfahrensverzeichnisses ein hervorragender Startpunkt für alle Last-Minute-Aktionen in Sachen DSGVO.
hahninfotec bietet Ihnen Lösungen, um die beschriebenen Sicherheitsmaßnahmen durchzuführen, welche die Verwaltung und Absicherung von Endpoints ermöglichen und Ihrer Verpflichtung zur Einhaltung der Datenschutz-Grundverordnung der Europäischen Union unterstützen.
0 Comments Leave a comment