Big Data Security, GDPR und der datenzentrierte Sicherheitsansatz

9 Fragen, die Sie zur GDPR Umsetzung wissen sollten

Die neue EU-DSGVO (auf Englisch: GDPR) verschärft die Spielregeln:
Datenschutz in Europa soll in diesem und im kommenden Jahr, im Eilverfahren einheitliche Rahmenbedingungen erhalten.
Die seit Mai 2016 geltende EU-DSGVO (GDPR) schreibt verpflichtende Regeln ab Mai 2018 vor,
sowie sehr hohe Strafen und einen wirksamen Mechanismus zur Durchsetzung von Interessen und Sanktionen.
Von den 99 Artikeln haben etwa 20 unmittelbare technische Auswirkung auf Ihre IT.

Sind Sie konzeptionell und technisch gewappnet dafür?
Prüfen Sie Ihre IT Bereitschaft indem Sie die nachfolgenden Fragen für sich beantworten.

Konkretere Beispiele, die hinter den Antworten stehen, würden wir gern nach einer Kontaktaufnahme mit Ihnen Teilen.

 

Ready for GDPR?

1. Sensible Daten

Wissen Sie, wo die sensiblen/personenbezogenen Daten zu finden sind? Im Unternehmen und auch außerhalb? In Anwendungen und Datenbanken?

» Die Antwort finden Sie hier

2. Daten im Unternehmensfluss

Wissen Sie, wie und warum diese Daten im Unternehmensfluss verwendet werden?

 

Die Antwort finden Sie hier

3. Risikoeinstufung

Haben Sie eine einheitliche Vorstellung über Nutzen, Verwendung und Risikoeinstufung von personenbezogenen Daten?
Diese Daten können Sie schützen! Einstufungs-abhängig und durchgängig!

 

Die Antwort finden Sie hier

4. Recht auf Vergessen und Co (GDPR)

Haben Sie alle Personenrechte, wie das Recht auf "Vergessen werden", auf Auskunft, auf "Datenübertragbarkeit"
bereits technisch abgesichert?

Die Antwort finden Sie hier

5. Durchgängiger Schutz von Daten

Können Sie wirklich alle DSGVO-relevanten Datenquellen schüzen?
ohne dabei Einiges in Ihrer IT erst mal lahm zu legen?

 

Die Antwort finden Sie hier

6. Datenzugriff

Wissen Sie, wer aktuell Zugriff auf diese sensiblen Daten hat und ob er in Zukunft diesen haben muss?

Die Antwort finden Sie hier

7. Nachhaltige Verwendung von Daten

Können Sie heute die nachhaltige Verwendung Ihrer Daten garantieren?
bei steigender Bedrohung durch Angriffe? bei 10 Mal mehr Daten als heute?

 

Die Antwort finden Sie hier

8. Daten in der Cloud

Welche dieser sensiblen Daten haben Sie in eine Cloud ausgelagert? Sind Sie immer noch deren Owner?

Die Antwort finden Sie hier

9. Anwendungsbereich der Schutzmaßnahmen

Wie spezifisch für die DSGVO sind die sich ergebenden technischen und Prozessmaßnahmen?
Können bestehende und neu aufzubauende Monitoring-, Bericht- und Schutzfunktionen auch zur Erfüllung
anderer IT-Sicherheitsanforderungen benutzt werden?

Die Antwort finden Sie hier

Ready to GDPR- die Antworten

1. Sensible Daten

Es findet regelmäßig eine Dateninventur statt, bei der automatisierte data discovery
Vorgänge alle Datenquellen innerhalb des Unternehmens überprüfen können, darauf ob
sie sensible Daten enthalten, wo und welcher Art Metadaten auf sensiblen Inhalt hinweisen.
 
Dabei werden sowohl übliche Datenverzeichnisse als auch Datenbanken und data lakes wie Hadoop oder in der Cloud untersucht. Wichtig ist die zuverlässige Zuordnung der Daten:
 

  • personenbezogene (Englisch: personally identifiable information, PII) 
  • besondere Arten von PII 
  • vertrauliche (Betriebsergebnisse, Partnerschaften, strategische Pläne, etc.)
  • Geheimnisse (betriebliche, sicherheitsrelevante, unter professioneller Schweigepflicht, etc.)

Kontaktieren Sie uns zu diesem Thema hier

Zurück

 

2. Daten im Unternehmensfluss

Zusammen mit einem durchgängigen Einsatz von data flow management Systemen (z.B. Kafka oder NiFi) sorgt regelmäßiges data discovery & monitoring für eine nachhaltige, wartbare, vertrauenswürdige data governance.
Durch Vergleich mit vorhergegangenen automatischen data discovery Vorgängen werden:
 

  • Risiken erkannt und bewertet 
  • neue Daten gefunden, die es zu schützen gilt 
  • Quellen mit sensiblen Daten, die sobald wie möglich zu löschen sind, verfolgt.

    
Ein entscheidender Bestandteil von data flow management ist die unmittelbare Zuordnung von Datensätzen zu Kategorien (und entsprechenden Datenbehältnissen) mit unterschiedlichem Grad an Schutz und unterschiedlichem Lebenszyklus.

Die data ownership von Dateien und Dateneinträgen wird bereits bei der Entstehung und auf der niedrigsten praktisch
zulässigen Detailstufe (bis hin einzelne Excel-Zellen oder Abschnitten in Word-Dokumenten festgelegt und bei Datenweitergabe auch automatisch übertragen. Dies geschieht im Zusammenspiel von IAM und Verschlüsselungssystemen, sowohl zentral angesiedelt als auch bei den einzelnen Anwendungen.

Der Lebenszyklus von Daten und deren ownership wird mithilfe von identity & access management (IAM) Systemen durchgesetzt. Darüber hinaus werden unkritische oder wiederholte Inhalte, die personenbezogene Informationen enthalten oder mit vertretbarem Aufwand einer Person zugeordnet werden könnten, gleich gelöscht.

Kontaktieren Sie uns zu diesem Thema hier

Zurück

3. Risikoeinstufung

Moderne Systeme für data discovery, für threat detection, für data loss prevention (DLP), für IAM usw. wachsen zusammen, durch Softwareintegration oder Produkterweiterung.
Für die meisten Betriebe sind Features wie die Entdeckung von Softwareschwachstellen kaum für den eigenen Einsatz sinnvoll, desto wichtiger sind aber automatisch und so aktuell/oft wie möglich erzeugte Übersichten (dashboards).

  • Moderne dicovery und IAM Tools enthalten Komponenten zur Risikoeinstufung von Daten bzw. von Nutzern.
  • Üblich sind einfache, "Ampel-artige" Modelle, sowie eine gut integrierte Funktionalität für Eskalation/Benachrichtigung und  konservative Schutzeingriffe wie z.B. Entzug von Berechtigungen auf Daten bzw. von Nutzern.

Eine entscheidend wichtige Zwischenstufe ist die automatisierte, einheitliche Verarbeitung von Log-Daten und von Ergebnissen aus discovery und ähnlichen Tools. Dabei kann auch machine learning angewendet werden, für eine schnelle DSGVO-Konformität und für eine stabile IT ist dies aber nicht unbedingt erforderlich.

Kontaktieren Sie uns zu diesem Thema hier

Zurück

4. Recht auf Vergessen und Co (GDPR)

Diese und weitere Rechte der Einzelperson gegenüber dem "Verantwortlichen" datenverarbeitenden Unternehmen
wurde in Artikel 13 bis 22 der DSGVO gesichert. Es ist eine technische Herausforderung, für jede einzelne betroffene Person, alle sie betreffende Daten im eigenen Unternehmen und bei allen aktuellen und früheren "Auftragsverarbeitern" zu kennen, dessen Zugriffsmodalitäten und Aktualität zu kontrollieren, sie gemeinsam abzurufen, umzuwandeln, oder zu löschen (bei den Auftragsverarbeitern nachweisbar löschen lassen), sowie für solche Vorgänge die betroffenen schriftlich zu informieren und die Nachweise aufzubewahren. Die ohne Vorwarnung, bezogen auf eine einzelne Person,
auditierbar und nachhaltig protokolliert, binnen enger Fristen, natürlich aber auch kosteneffizient.

Das Ausmaß dieser Anforderungen kann bei dem aktuellen technischen Stand zu gewaltigen zeitlichen,
organisatorische und ressourcen-bedingten Hürden auf den Weg zur DSGVO-Konformität führen.
Schlüssel zur Lösung dieser Problemknoten sind eine fundierte data-governance (einschl. data-lineage bzw. data provenance, s. auch Fragen 1 und 2) und ein daten-zentrierter Sicherheitsansatz
(s. Fragen 5 und 6).

Kontaktieren Sie uns zu diesem Thema hier

Zurück

5. Durchgängiger Schutz von Daten

Sensible Daten sollten grundsätzlich immer geschützt werden, ob bei der Aufbewahrung (data at rest) oder bei der Übertragung (data in motion), oder bei der programmatischen Verarbeitung (data in use).
Es gehört inzwischen zur Standardpraxis, die Übermittlungskanäle zu sichern, v.a. durch Verschlüsselung und Signierung der Dateneinheiten.

In gewerblichen Umfeld werden oft ganze Festplatten oder ganze Datenbankarchive verschlüsselt.
Bei der Speicherung und Verarbeitung von produktiven Daten dagegen, herrscht noch vorwiegend die Meinung,
dass dessen Verschlüsselung und Zugriffskontrolle nicht praktikabel ist.

Das Gegenteil wird aber über mehrere Jahre von innovativen Softwarelösungen und in unterschiedlichen, repräsentativen Anwendungsszenarien bewiesen. Die Kontrolle und Aufzeichnung von einzelnen Zugriffen ist möglich sogar auf der Ebene von einzelnen Datensätzen, ohne dass der effektive Mehraufwand für solche Zugriffe im Arbeitsalltag eine beträchtliche Größenordnung annimmt.

Dies ist Stand der Technik und somit Teil der Erwartungen, die Prüfer und Gutachter haben könnten.
Die Umsetzung einer durchgängigen (end-to-end) Verschlüsselung, nicht nur bei der Übertragung von Daten,
bedeutet einen beträchtlichen Projektaufwand. Dabei ist es sehr hilfreich, wenn man sich moderner, zertifizierter,
"format-beibehaltender" (FPE) und/oder "schlüsselverwaltungsfreier" (stateless key managemen, SKM) Verfahren bedient.

Während SKM einen zusätzlichen Daueraufwand sowie eine zusätzliche Angriffsfläche erspart,
lässt FPE die bestehenden Verarbeitungsprozesse weitgehend unverändert, bis auf die end-Komponenten,
bei denen ganz am Anfang die Daten ursprünglich gespeichert bzw. ganz am Ende zur Erstellung von Auskünften und
Statistiken unmittelbar gebraucht werden.

Der end-to-end Schutz in Zusammenspiel mit modernem IAM ist das Kernstück des daten-zentrierten Sicherheitsansatzes. Die Investition darin ermöglicht nicht nur eine DSGVO-Konformität, sondern auch ein viel risikoärmeres Agieren bei Auslagerungen und Arbeitsteilung, bei Inanspruchnahme von Cloud-Diensten, bei Datenvorfällen auch innerhalb des eigenen IT-Perimeters.

Kontaktieren Sie uns zu diesem Thema hier

Zurück

6. Datenzugriff

Durch Integration von zentralen und anwendungseigenen IAM Systemen und von Pseudonymisierung bzw. Anonymisierung wird erreicht, dass nur berechtigte Nutzer (einschl. Softwareagenten) und nur im zugelassenen Kontext (Zeit, Verarbeitungsziel, etc.) und Rahmen (z.B. Quoten) die geschützten Daten lesen und ggf. abändern können. Dies bezieht sich auch auf Daten, die zur Aufbewahrung oder Weiternutzung an Dritte weitergegeben wurden, ohne dabei die data ownership abzutreten und sie zu entschlüsseln. Die sog. "besonderen Arten von personenbezogenen Daten" werden, wie auch bisher unter dem BDSG, strengeren Zugriffseinschränkungen unterzogen.

 Es gibt aber (im BDSG und in der EU-DSGVO) Ausnahmeregelungen, welche die Weiter- bzw. Freigabe von geschützten Daten unter besonderen Umständen erlauben. Dies kann nur als Einzelvorgänge und nach ausdrücklicher Genehmigung durch data owner und andere Verantwortliche, sowie nach Überprüfung (unterstützt durch automatisierte Werkzeuge) der Auswirkung auf dritte Personen oder Einheiten, und nach entsprechender, langfristig aufbewahrter Eintragung in Protokoll-Logs und -Datenbanken erfolgen.

 Grundsätzlich werden jegliche Zugriffe auf sensible Daten geloggt. Diese Information wird automatisch analysiert (s. auch Frage 3) und es werden ggf. unmittelbare Schutzmaßnahmen ergriffen oder ein Risikobewertungs- und -Managementprozess angestoßen.

Kontaktieren Sie uns zu diesem Thema hier

Zurück

7. Nachhaltige Verwendung von Daten

Die DSGVO setzt Fristen für die Bewahrung von PII und gleichzeitig die Anforderung, diese Daten zu löschen, sobald sie nicht mehr benötigt werden. Das BDSG gibt zur Löschung maximal 1 Jahr Zeit. Die Anforderungen zur Aufbewahrung von bestimmten sensiblen Daten können aber aus anderen Normen bis auf 30 Jahren (z.B. bei KFZ Entwicklung) oder noch länger (z.B. Pharma oder Versicherungsbranche) verpflichtend sein. Solche geregelten Fristlängen sind in der DSGVO bzw. dem DSGB grundsätzlich als möglich vorgesehen. Für die betroffenen Daten gelten aber dennoch die restlichen Vorschriften der DSGVO, u.a. das Recht auf Auskunft oder auf Berichtigung.

 

Langfristige sichere Aufbewahrung und gleichzeitig die Fähigkeit zur kurzfristigen und ausführlichen Auskunft oder Änderung bedeuten, dass Archive zugänglich und somit etwas angreifbarer gehalten werden sollten, auch bei "ehemaligen Auftragsverarbeitern". Hierfür sind die technischen Lösungen aus Frage 6, insb. FPE und SKM, ein besonders geeigneter Lösungsweg.

 

Kontaktieren Sie uns zu diesem Thema hier

Zurück

8. Daten in der Cloud

Deutsche Unternehmen sind (im Vergleich zu anderen Industrieländern, immer noch) sehr vorsichtig was die Möglichkeiten angeht, kritische produktive und Archivdaten nunmehr Cloudanwendungen anzuvertrauen. Dabei gilt eine private Cloud als sicherer im Vergleich zu einer Public Cloud. Diese Vorsicht wird durch die besonders detaillierte und strenge Behandlung von Datenverarbeitung außerhalb der EU durch die EU-DSGVO bekräftigt. Auch die Datenweitergabe an Organisationen und Unternehmen in nicht-EU Ländern ist streng geregelt. Es ist in diesem Zusammenhang zwar erfreulich, dass sich die führenden Cloud-Betreiber wie Amazon, Microsoft, Apple u.a. (ähnliche Angebote von private cloud Providern können auch benannt werden) dazu entschieden haben, Rechenzentren in EU-Ländern zur betreiben bzw. in kurzer Zeit aufzubauen. Jedoch ist der Aufwand für die Prüfung des EU-Verbleibs von Daten zu hoch (für Cloud-Betreiber und für den Kunden) und insgesamt die mögliche Handhabe der Durchsetzungspflicht seitens des "Verantwortlichen" (hier der Kunde; dabei fungiert der Cloud-Betreiber als "Verarbeitungsbeauftragter") kaum praktikabel (da teuer, riskant, eingeschränkt).

 

Ein Ausweg bietet sich in der Auslegung von "Löschung" an, wofür in der DSGVO und im BDSG eine (vereinfacht formuliert) effizienten Verschlüsselung und Vernichtung der Schlüssel ausreicht. Insofern alle Daten, die "in die Cloud" gesendet werden vorab zuverlässig verschlüsselt werden, bleiben sie unter der Kontrolle des ursprünglichen data owner (Ihr Unternehmen), auch wenn sie entwendet oder weltweit repliziert werden sollten. Dann kann, durch die mehrfache Sicherung der data assets bei Cloud-Anbietern, eine hohe Nachhaltigkeitsgarantie erreicht werden, ohne die Schwierigkeiten der Bearbeitung außerhalb der EU als Regelfall behandeln zu müssen. Bei Frage 5 haben wir einige technische Kernkomponenten vorgestellt.

Kontaktieren Sie uns zu diesem Thema hier

Zurück

9. Anwendungsbereich der Schutzmaßnahmen 

Die EU-DSGVO spezifiziert konkrete Berichtsfristen, Empfänger und Inhalte, sowie konkrete Akteure, die berechtigt sind, bestimmte Auskünfte oder Tätigkeiten anzufordern, oder aber die entsprechende Bereitschaft bei Unternehmen zu überprüfen. Es werden andere, ebenfalls konkrete Berichtsarten und -Wege z.B. durch nationale Gesetzgebung vorgegeben, wie etwa durch das sog. KritIS Gesetz oder das VerkDSpG (Stichwort "Vorratsdatenspeicherung") von 2015. 

 Dennoch sind die jeweils notwendigen technischen Maßnahmen zum erheblichen Teil vergleichbar, sodass Unternehmen mit einem integrierten, zentralisierten IT-Sicherheitssystem und einem entsprechenden internen Prozessregelwerk Vorteile erzielen können. Dazu zählen nicht nur Vermeidung von Doppelinvestitionen, sondern auch die nachhaltige Erfüllung von Sicherheitsstandards (diese wird für entsprechende Zertifizierungen regelmäßig überprüft) und die Risikominimierung bezüglich Datenvorfällen. Letztere sind nicht nur teuer (im Durchschnitt bereits über 5 Mio. USD pro Vorfall), sondern gefährden das gesamte Unternehmen durch Folgekosten, Rufschädigung, Verlust von kritischen Daten z.B. an die Konkurrenz, und nunmehr auch die hohen DSGVO Strafen.

 Durch den daten-zentrierten Sicherheitsansatz kann eine entscheidende Stärkung bei dem Schutz von Informationen und eine Effizienzsteigerung durch Integration von bestehenden und neuesten Schutzmechanismen erreicht werden. Dieser Ansatz ist nicht nur richtungsweisend für den schnellsten Weg zur technischen DSGVO-Konformität, sondern auch unverzichtbar in einer globalisierten Arbeitsteilungswelt, unabhängig von   bestehenden, neuen und immer wieder erneuerten Normen, ob DSGVO oder KritIS, oder MaRisk, oder ein CoC usw.

 

Publikationen

Eine Einführung und aktuelle Übersicht zu jeweils einem der genannten Themenbereiche findet sich in einigen unserer Publikationen, insbesondere

 

 






* Pflichtfelder

bizcon Support

 bizcon Support
    Service

 Kontakt

Kontakt
Tel: +49 089 7673 69 60
Fax: +49 089 7673 69 69
support@bizcon.de

Rückrufservice



Diese Seite verwendet Cookies Weiterlesen …