1. Zurück

Security Special

Fokus auf IT-Security: Fit für DSGVO und Co?

Cybersicherheit ist 2018 wichtiger denn je

Im Hinblick auf Cybersecurity würden viele das Jahr 2017 gerne aus dem Kalender streichen. IT-Sicherheit – oder eher gesagt deren Mangel daran – hat im letzten Jahr weltweit einige Schlagzeilen und Schweißausbrüche produziert. Es gab Fälle, die nicht nur Auswirkungen auf Millionen User hatten, sondern auch finanzielle Rückschläge für große multinationale Unternehmen und Regierungsbehörden zur Folge hatten.

Zwei Attacken, die besonders viel Ruhm genossen, waren die weitverbreiteten Ransomware-Infektionen Wannacry und Petya. Die „wurmartigen“ Fähigkeiten dieser Threats hatten zur Folge, dass Tausende Endpoints und Server in beispiellosem Ausmaß und enormer Geschwindigkeit angegriffen wurden. Einen positiven Neben­effekt hatte das Ganze trotzdem: Durch diese Angriffe ist eine breite Masse von Menschen auf die Notwendigkeit von IT-Sicherheit aufmerksam geworden. Dass persönliche Daten besonderen Schutz wert sind, ist endlich angekommen. Im Jahr 2018 werden sich Cybersicherheitsvorfälle wohl auf ein noch breiteres und vielfältigeres Spektrum der Weltbevölkerung auswirken und uns im täglichen Leben beeinflussen.

Höchste Zeit zu handeln, besonders für Unternehmen!

Die Datenschutzkarten werden ab Mai neu gemischt

Ab Mai 2018 muss unter der neuen EU-DSGVO jeder noch so kleine Cyberangriff bekannt gemacht werden, sonst hagelt es Strafen. Jede Daten verarbeitende Stelle hat ab sofort eine Menge neuer und erweiterter Pflichten zu stemmen. Eine Datenschutz-Folgenabschätzung, die bereits erwähnte umfassende Informationspflicht sowie die Einführung eines Datenschutzmanagementsystems sind nur Einzelteile davon. On top kommen „Privacy by Default“- und „Privacy by Design“- Konzepte, die zum Inkrafttreten auch gesetzlich verankert sind.

Wie sieht die Umsetzung in einzelnen Unternehmen aus?

Die Verstärkung der Schutzmaßnahmen, die Unternehmen künftig bieten müssen, spiegelt unter Experten den wichtigsten Faktor der DSGVO wider. Doch viele Unternehmen hinken mit der Implementierung der entscheidenden Neuerungen noch hinterher. Besonders KMUs scheinen häufig überfordert, den richtigen Weg entlang der neuen Regelungen zu finden. Malware-Schutz, 2-Faktor-­Authentifizierung und Verschlüsselungen lassen das Sicherheitslevel maßgeblich steigen. Doch wie ist das Thema anzugehen?

Ein universelles Rezept existiert leider nicht. Als komplexer Ablauf und dem Zusammenspiel verschiedener Faktoren ist IT-Security schon allgemein betrachtet eine Herausforderung. Die nackte Wahrheit: Die größte Schwachstelle ist am Ende meistens sowieso der Mensch. Gerade wegen der vielseitigen Gesichter moderner Angriffe ist im Security-Sektor ein ganzheitlicher Ansatz immer von Vorteil. Bei der Umsetzung solcher umfassenden und maßgeschneiderten Sicherheitskonzepte steht ALSO samt diversen Herstellerpartnern aus den Sparten Technology, Mobile und Printing zur Seite. Der eigens entwickelte ALSO Security Circle fasst alle wichtigen IT-Security-Bereiche zusammen – Sicherheitslücken sind so kein Thema mehr.

Der Kreislauf umfasst:

Hersteller wie Sophos, VDS, Netatwork, Thycotic, Solarwinds, Samsung Knox, Xerox, Papercut und viele mehr tragen zum reibungslosen Zusammenspiel des Circles bei und versorgen ALSO sowie Reseller jederzeit mit neuesten Techno­logien und Softwarelösungen.

Diese Punkte sollten Sie bis zum 25. Mai dringend als Teil der Compliance abgehakt oder bearbeitet haben:

  • Verstärkte Einbindung eines Datenschutzbeauftragten, ­Verantwortlichkeiten festlegen
  • Datenschutz-Folgenabschätzung/Privacy ­Impact Assessment als Prozess etablieren
  • Prozesse entwickeln: Meldepflichten bei Datenlecks
  • Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.
  • Alle Prozesse dokumentieren

  • ADV-Verträge anpassen
  • Verfahrensverzeichnis überprüfen
  • Neues Verzeichnis der Verarbeitungstätigkeiten erstellen (gilt für Auftragsverarbeiter)
  • TOMs (Technische und Organisatorische Maßnahmen) dokumentieren (lassen) und bewerten, Verantwortlichkeiten bestimmen
  • Schulungsplanung aufstellen

  • Wirksamkeit der TOMs prüfen, Penetrationstests und Infosicherheitsmanagement planen
  • Ggf. technische Umsetzung der Betroffenenrechte planen (Auskunft, Datenübertragbarkeit etc.)
  • Formulare und Einwilligungen überprüfen
  • Datenschutzerklärung anpassen, ggf. Webtracking anpassen (ePrivacy-Richtlinie)
  • Regelmäßige Überprüfung der genannten Maßnahmen

Die Reichweite der neuen Regelungen bloSS nicht unterschätzen!

Der Irrglaube, dass kleine Firmen von dem Trubel der Neuerungen verschont bleiben, ist gefährlich, hält sich bei dem ein oder anderen Unternehmer jedoch noch immer. Kleine Firmen mit überschaubarem Tagesgeschäft sind genauso betroffen wie Konzerne, die Daten im großen Stil verarbeiten. Aussagen à la „Solange ich die Daten meiner Kunden nicht an Dritte weitergebe, passiert mir schon nichts“ sind schlichtweg unwahr. Sich drücken bringt nichts und hat im schlimmsten Fall unbequeme Konsequenzen.

Ausnahmslos jedes Unternehmen, das personenbezogene Daten voll- oder teil­automatisch verarbeitet, ist von der neuen DSVGO betroffen. Personenbezogene Daten sind alle Informationen, die sich auf eine klar identifizierte oder identifizierbare Person beziehen. Konkret sprechen wir von: Namen, Adressen inklusive E-Mail, Telefonnummern, Standortdaten, IP-Adressen, Cookies oder Kontodaten. Auch die nicht-automatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, hat Einfluss auf die Erfüllung der gesetzlichen DSGVO-­Vorgaben. Bereits bei der Erhebung von Kundendaten zwecks Vertragserfüllung greift also die DSGVO.

Für kleinere Unternehmen gibt es eine Erleichterung

Die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten entfällt für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Das ist tatsächlich die einzige Erleichterung für kleinere Unternehmen. Allerdings muss bei unter 250 Mitarbeiten ein solches Verzeichnis dennoch erstellt werden, wenn eine vorgenommene Verarbeitung beispielsweise ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt oder die Verarbeitung nicht nur gelegentlich erfolgt. Diese Ausnahme greift zugegebenermaßen nur in äußerst seltenen Fällen, da schon durch regelmäßige Online-Aktivitäten besagte personenbezogene Daten erhoben werden.

Mit Wissen und Weitsicht auf der sicheren Seite

Nicht nur, um für die neue EU-Datenschutz-Grundverordnung gewappnet zu sein, sondern auch, um im Generellen Angriffen zu entgehen, schreibt ALSO den Bereich IT-Security schon seit Jahren groß. Der ganzheitliche Ansatz ist hierbei ausschlaggebend für eine erfolgreiche Absicherung. Der erste Schritt in die richtige Richtung: Awareness schüren, um Kunden und Mitarbeiter für das Thema zu sensibilisieren, und sich bei ALSO über geeignete Lösungen informieren.