Europäischer Datenschutz – nur mit IT-Sicherheit!

Europäischer Datenschutz – nur mit IT-Sicherheit!

Mit der Europäischen Datenschutz-Grundverordnung erfolgt künftig eine deutlichere Angleichung der Datenschutzregeln auf dem digitalen Binnenmarkt. Wie IT-Sicherheit und der Schutz personenbezogener Daten unmittelbar zusammenhängen, erklärt Marc Tesch, Geschäftsführer von genua.

Ab 25. Mai 2018 gilt die neue Europäische Datenschutz-Grundverordnung, DSGVO, Verordnung (EU) 2016/679, unmittelbar in allen EU-Mitgliedstaaten. Ausgehend von dem bestehenden nationalen Regelwerk, dem Bundesdatenschutzgesetz (BDSG) sowie der bisher gültigen EU-Datenschutzrichtlinie (95/46/EG), erfolgt mit der DSGVO künftig eine deutlichere Angleichung der Datenschutzregeln auf dem europaweiten digitalen Binnenmarkt.

In Zeiten zunehmender Vernetzung, Digitalisierung und der Forderung nach Informationssicherheit, in die Bürger ihr Vertrauen setzen können, bekommen mit der DSGVO folgerichtig auch die IT-Sicherheitsarchitekturen einen noch höheren Stellenwert. Aus diesem Grund sind Behörden und Unternehmen aufgefordert, ihre IT-Sicherheit nicht nur organisatorisch sondern insbesondere technisch zu hinterfragen.

Neben der Wahrung von Grundrechten, wie dem Schutz personenbezogener Daten und deren Verarbeitung, geht es insbesondere um Rechte der Datenportabilität, der Datenlöschung sowie der aktiven Informationspflichten bei Datendiebstahl. Konkreter: Es gilt ganzheitlich technisch wie organisatorisch Sicherheitsmaßnahmen zu ergreifen, die insbesondere den Schutz der Daten und darüber hinaus die systemische Sicherheit gewährleisten.

Schutz vor unberechtigten Zugriffen sicherstellen

Neben Zugangskontrollen müssen laut DSGVO vor allem jegliche Zugriffe auf die Systeme durch unberechtigte Dritte ausgeschlossen werden. Bei der Übertragung von Daten gilt es, neben Vertraulichkeit und Integrität auch die Authentiziät und deren Unversehrtheit sicherzustellen und sie zudem gegen Verlust und Zerstörung zu schützen. Das bedeutet, die Systeme benötigen – heute mehr denn je – eine hohe Resistenz gegen jegliche Form von Cyber-Attacken. Zertifizierte und je nach Einsatzzweck für den deutschen Markt zugelassene intelligente Systeme, die mit Verschlüsselung arbeiten und einen hohen Selbstschutz aufweisen, sollten folglich den Standard definieren und Gegenstand einer hochmodernen IT-Sicherheitsarchitektur sein.

Vier Schritte zu mehr Informationssicherheit

Eine ganzheitliche IT- und Informationssicherheitsstrategie sollte sich an einem Sicherheitsmodell orientieren, das im Wesentlichen vier Schritte umfasst. Dabei geht es nicht allein um technische Maßnahmen, diese sind aber eine wichtige Ergänzung organisatorischer Vorkehrungen:

  1. Vorbereiten: Die personenbezogenen Daten entlang der Unternehmensprozesse kennen und einer Risikobewertung unterziehen.
  2. Schützen: Den Schutz der persönlichen Daten vor Angriffen von außen und Missbrauch von innen sicherstellen – durch Data Loss Prevention, nachvollziehbar starke Verschlüsselung, Absicherung von Datenbanken durch Segmentierung sowie ein klares Berechtigungsmanagement.
  3. Erkennen: SIEM-Systeme und auch auswertbare Logging-Systeme stellen die Erkennung von Datenschutzvorfällen sicher.
  4. Reagieren: Skalierbare Sicherheitssysteme mit 24/7-Support und ständigem Update Service geben der Organisation die Möglichkeit, auf festgestellte Incidents zu reagieren.

Die zu beachtenden Standards sind für die meisten IT-Sicherheitsexperten bereits heute selbstverständlich, doch sie bekommen durch die Anforderungen des Art. 32 der DSGVO eine neue Bindungswirkung.

Marc Tesch, Geschäftsführer von genuaMarc Tesch, Geschäftsführer von genua: Richtig umgesetzter Datenschutz stellt einen wesentlichen Wettbewerbsvorteil dar

Folgen unzureichender IT-Sicherheit

Wie ist es um das Informations- und Datenschutzniveau in den Organisationen bestellt, wenn die IT-Infrastrukturen beim Zugriff, beim Transport und bei der Speicherung nicht ausreichenden Schutz vor Angriffen bieten?

Aktuell, so scheint es, bleiben gerade bei kleineren und mittleren Unternehmen in diesem Punkt Zweifel, ob die von ihnen getätigten Maßnahmen dem IT-Sicherheitsaspekt, den die DSGVO zum Schutz der Daten von EU-Bürgern an "Privacy by Design" und "Privacy by Default" fordert, wirklich ausreichend Rechnung tragen. Es sind nicht nur die gezielten Angriffe, die beträchtliche Schäden verursachen: Sind Systeme nicht ausreichend vor inzwischen alltäglichen Risiken wie Phishing, Drive by Attacken oder Ransomware geschützt, kann die Sicherheit personenbezogener Daten nicht gewährleistet werden.

IT-Sicherheit als wesentlicher Wettbewerbsvorteil

Es wäre jedoch eine verengte Sichtweise, nur aufgrund deutlich schärferer Sanktionen der DSGVO die eigenen technischen und organisatorischen Maßnahmen kritisch zu prüfen. Vielmehr genießen Unternehmen, die Datenschutz richtig umsetzen, das Vertrauen von Mitarbeitern und Kunden. In einer immer stärker digital vernetzten Gesellschaft stellt Datenschutz daher einen ganz wesentlichen Wettbewerbsvorteil dar.

Sie haben Fragen zu den Themen IT-Sicherheit und Datenschutz? Wir beraten Sie gern!

 

Bildquelle: ©  Jan Engel - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.