Datenschutz-Grundverordnung, Artikel 32

DSGVO sorgt mit „Stand der Technik“ für Verwirrung

| Autor / Redakteur: Richard Werner / Peter Schmitz

Würde der Gesetzgeber in der DSGVO genaue Technologien vorschreiben, müsste er diese etwa alle zwei bis drei Jahre aktualisieren. Es erscheint also durchaus zweckmäßig, dass man sich für die allgemeine Formulierung „Stand der Technik“ entschieden hat.
Würde der Gesetzgeber in der DSGVO genaue Technologien vorschreiben, müsste er diese etwa alle zwei bis drei Jahre aktualisieren. Es erscheint also durchaus zweckmäßig, dass man sich für die allgemeine Formulierung „Stand der Technik“ entschieden hat. (Bild: Pixabay / CC0)

Die Datenschutz-Grundverordnung sorgt bei vielen Unternehmen ohnehin schon für reichlich Stress, aber eine spezielle Anforderung der DSGVO sorgt für besondere Verwirrung: Artikel 32 verpflichtet Unternehmen, ihre Daten dem „Stand der Technik“ entsprechend zu schützen. Das Problem dabei: IT-Entscheider und Hersteller sind sich in der Interpretation dieser Vorgabe alles andere als einig.

Die Formulierung „Stand der Technik“ findet sich bereits in § 8a des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) von 2015. Dieses schreibt vor, dass kritische Infrastrukturen (KRITIS) entsprechend geschützt werden. Mit Artikel 32 der DSGVO ist der Gesetzgeber nun noch einen Schritt weitergegangen und hat den „Stand der Technik“ zur allgemeinen Richtschnur für IT-Sicherheit zum Schutz personenbezogener Daten erklärt. Für viele IT-Entscheider stellt das eine enorme Herausforderung dar. Schließlich kommen Datenverluste leider noch immer regelmäßig in deutschen Unternehmen vor und können ab Mai 2018 empfindliche Strafen nach sich ziehen.

Was bedeutet also der „Stand der Technik“ für Unternehmen und warum verwendet der Gesetzgeber diesen Begriff anstatt klar zu definieren, was er sich darunter vorstellt? Hierzu muss zunächst die Natur von Sicherheitslösungen allgemein betrachtet werden.

Präzise Formulierungen schaden mehr als sie nützen

In den ersten Gesetzen im IT-Bereich verwendete der Gesetzgeber noch den Begriff „Antivirus“ und schrieb vor, dass dieses auf allen Endpunkten installiert sein müsse. Diese klare Vorgabe war für die betroffenen Unternehmen einfach einzuhalten. Das Problem an solchen präzisen Formulierungen ist allerdings, dass sie auch auf der „anderen Seite“ bekannt und dementsprechend leicht zu umgehen sind. Wenig überraschend kam die Antivirus-Technologie, die damals hauptsächlich aus Pattern-gestützten Updates bestand, schnell an Ihre Grenzen und war in puncto Sicherheit bereits nach wenigen Jahren obsolet. Daran wird deutlich, dass Sicherheit und Zuverlässigkeit einer Schutztechnologie in der Regel mindestens genauso sehr von ihrem Verbreitungsgrad abhängt wie von der Technik selbst.

Häufige Anpassungen nötig

Ein Blick auf die letzten 30 Jahre Endpunktsicherheit verdeutlicht, dass etwa alle zwei bis drei Jahre eine neue Technologie auf den Markt kommt, die wirkungsvoller ist als alles zuvor Bekannte. Vor etwa vier Jahren war das Sandboxing eine solche revolutionäre Technologie, seit etwa einem Jahr ist maschinelles Lernen das bestimmende Thema. In der Regel dauert es nicht lange bis Cyberkriminelle erste Gegenmaßnahmen entwickelt haben und auch die neueste Technik nicht mehr wirkungsvoll funktioniert. So arbeiteten bereits 2016 viele Ransomware-Varianten mit sogenannten Sandbox-Evasion-Technologien. Für rechtliche Regelungen bedeutet dies: Würde der Gesetzgeber genaue Technologien vorschreiben, müsste er diese etwa alle zwei bis drei Jahre aktualisieren.

Nicht allgemein gültig

Zudem hat jedes Unternehmen bei der IT-Sicherheit ein eigenes Anforderungs- und Gefährdungsprofil. Was in größeren Unternehmen hervorragend funktioniert, scheitert beim Mittelstand oft an den verfügbaren Ressourcen. Während eine vorgeschriebene Technologie für das eine Unternehmen nicht ausreicht, kann sie für ein anderes bereits zu komplex sein.

„Stand der Technik“ in der Praxis

Aus diesen Gründen erscheint es durchaus zweckmäßig, dass sich der Gesetzgeber für die allgemeine Formulierung „Stand der Technik“ entschieden hat. Doch was bedeutet diese Vorgabe für die Praxis? Diese Fragestellung, markiert bereits den ersten Schritt zur Erfüllung der Vorgabe. Der „Stand der Technik“ erfordert eine Auseinandersetzung mit dem Thema anstatt einfach das erstbeste Produkt zu kaufen. Damit verbunden ist das Bewusstsein, dass IT-Sicherheit kein Zustand ist, der einfach erreicht werden kann und dann für immer unveränderlich ist. Vielmehr stellt IT-Sicherheit einen ständigen Prozess dar, der eine sinnvolle Strategie erfordert, um wirksam zu sein.

Schutz von Daten ernst nehmen

IT-Sicherheit war bislang vor allem ein Kostenfaktor und wurde deshalb in vielen Firmen nur im Rahmen des vorgeschriebenen Minimums eingesetzt. Ausnahmen gab es häufig erst dann, wenn tatsächlich ernsthafte Beeinträchtigungen der Geschäftsprozesse zu beobachten waren, beispielsweise bei Ransomware-Vorfällen. Damit verbunden war oftmals die Ansicht, dass der Diebstahl personenbezogener Daten für das betroffene Unternehmen nur ein geringes Problem mit vernachlässigbaren Folgen darstellte. Mit der DSGVO hat der Gesetzgeber diesen Daten einen hohen Wert verliehen und ihren Verlust mit empfindlichen Strafen belegt. Dies soll zu einem Umdenken in den Unternehmen führen.

Schutz – Erkennung – Bereinigung

Zur Planung der IT-Sicherheit gehört nicht nur die Optimierung des Schutzes. Auch der Gesetzgeber hat erkannt, dass vollständige Sicherheit nicht erreicht werden kann. Schließlich kann heute noch niemand vorhersagen, wie die Cyberangriffe von morgen aussehen werden. Umso wichtiger ist es, eine Strategie für den Fall zu haben, dass es einem Angreifer gelingt, die Verteidigung zu überwinden. Diese sollte unter anderem folgende Fragen beantworten können: Wie kann ein erfolgreicher Angriff schnellstmöglich erkannt und auf ihn reagiert werden? Was hat der Angreifer im System gemacht? Kam es zu Datenverlust? Befindet sich der Angreifer noch immer im System? Wenn ja, wo und wie kann er wieder aus dem Netzwerk entfernt werden? Eine verbreitete Vorgehensweise in solchen Fällen ist es, externe Forensiker zu beauftragen, um diese Analysen durchzuführen. Damit werden Unternehmen zukünftig jedoch weder den kurzen Benachrichtigungsfristen noch der Forderung nach dem „Stand der Technik“ gerecht werden können. Vielmehr sind technologische Lösungen gefragt, die proaktiver sind und den Forensikern im Zweifel schnelle Antworten liefern können.

…und technologisch?

Die einzusetzenden Technologien hängen unter anderem von Unternehmensgröße und Arbeitsweise ab. Es gibt aber durchaus ein paar Grundregeln, die zu beachten sind:

Managebarkeit

Sicherheitstechnologie muss stets managebar sein. Dabei ist es unerheblich wie viele unterschiedliche Hersteller eingesetzt werden. Managebarkeit bedeutet in erster Linie, dass die produzierten Ergebnisse nicht nur einen punktuellen Einblick geben, sondern einen möglichst umfassenden Überblick über das Geschehen im gesamten System bieten. Beispielsweise kann eine ungewöhnliche Kommunikation im Netzwerk darauf hindeuten, dass einer oder mehrere Clients verseucht wurden. Ermöglicht die Sicherheitslösung nun, die Informationen beider Seiten miteinander zu kombinieren, ergibt sich ein genaueres Bild der Vorgänge, die dann effektiver bekämpft werden können. Bietet die IT-Sicherheit hingegen nur punktuellen Einblick, sind die Verantwortlichen oftmals nur damit beschäftigt, Löcher zu stopfen und übersehen wichtige Schwachstellen.

Technologischen Fortschritt einplanen

Bei der Entscheidung für einen Anbieter sollte der zu erwartende technologische Fortschritt mit eingeplant werden. Die Vergangenheit hat gezeigt, dass etwa alle zwei bis drei Jahre mit einer neuen, wirksameren Technologie zu rechnen ist. IT-Entscheider sollten sich schon heute überlegen, wie sie damit umgehen wollen: Möchten sie jede Technologie durch einen anderen, möglicherweise spezialisierten Hersteller abdecken oder entscheiden sie sich für einen Generalisten, der mit seinen Lösungen auch in einigen Jahren noch den nächsten Schritt mitgeht?

Analystenmeinungen – Fachmeinungen

Gerade im Mittelstand ist es oftmals schwer, sich selbst ein Bild zu machen und immer einen Blick auf die neuesten Entwicklungen zu haben. IT-Verantwortliche sollten sich an vertrauenswürdige Partner wenden oder die Berichte von Analysten zu Rate ziehen, die sie bei der Entscheidungsfindung unterstützen können. Analysten beurteilen Hersteller hinsichtlich ihrer Fähigkeiten. Partner bieten oft den Service, Systeme nicht nur aufzusetzen, sondern sie auch zu betreiben. Mit dieser Unterstützung fällt es meist leichter, sich für die richtigen Systeme zu entscheiden.

Mehr Datensicherheit wagen

Im direkten Gespräch mit Unternehmen ist häufig zu hören, dass die neue Datenschutzgrundverordnung als „Gängelung“ der Unternehmen verstanden wird. Man erwartet keine ernstzunehmenden Bestrafungen und wenn es doch dazu komme, werde es ohnehin zunächst die anderen treffen. Zudem werden fehlende spezifische Vorgaben bemängelt und neue erwartet, an die man sich dann halten könne. Hier ist dringend ein Umdenken nötig!

Zum einen stehen bei der DSGVO weniger die betroffenen Unternehmen, als vielmehr die ihnen anvertrauten Werte, nämlich die personenbezogenen Daten von Kunden und Mitarbeitern, im Mittelpunkt. Zum anderen tut der Gesetzgeber gut daran, eben die verkrusteten Strukturen für obsolet zu erklären, die für den bisherigen, desolaten Zustand der Datensicherheit verantwortlich sind. Diese sind – so paradox es klingen mag – vor allem in den bisherigen gesetzlichen Regelungen begründet. Denn Unternehmen neigen dazu, sich möglichst genau an diese Vorgaben zu halten und sich dabei auf das gesetzlich vorgeschriebene Minimum zu beschränken. So sollen die Kosten möglichst niedrig gehalten und dennoch der reibungslose Geschäftsbetrieb gewährleistet werden. IT-Sicherheit ist nach diesem Verständnis ein reiner Kostentreiber.

Kam es in der Vergangenheit zum Verlust personenbezogener Daten, wurde der Konsument mit den Folgen oft alleine gelassen. Die Politik wird mit der DSGVO lediglich Ihrem Auftrag gerecht, den Bürger in diesem Punkt besser zu schützen. Wenn das dazu führt, dass die IT-Sicherheit spürbar verbessert und auf den „Stand der Technik“ gebracht wird, profitieren davon nicht zuletzt die Unternehmen selbst.

Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.

* Diesen Beitrag haben wird von unserem Schwesterportal Security-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45130452 / Compliance)