Der DSGVO-Countdown läuft

Fünf vorbereitende Schritte

| Autor / Redakteur: Thomas Ehrlich* / Heidemarie Schuster

(Bild: Varonis)

Am 25. Mai 2018 ist Stichtag, die Übergangsfrist vorbei und die Europäische Datenschutzgrundverordnung für alle Mitgliedsstaaten geltendes Recht. Viel Zeit bleibt also nicht mehr, um die geforderten Maßnahmen umzusetzen. Doch auch wenn die Uhr tickt, bringt es wenig, in Panik zu verfallen. Sondern die verbleibende Frist zu nutzen, um möglicherweise noch vorhandene Schwachstellen aufzuspüren und auszumerzen.

Die EU-Datenschutzgrundverordnung (DSGVO) ist kein Zustand, den man (irgendwann zu 100 Prozent) erreicht, sondern ein fortwährender Prozess und man kann innerhalb recht kurzer Zeit deutliche Fortschritte erzielen sowie den "rechten Weg" in Richtung mehr Datensicherheit einschlagen. Varonis zeigt, auf welche fünf Bereiche Sie sich dabei besonders konzentrieren sollten.

Priorisieren und bewerten Sie Ihre Risiken

Die DSGVO verändert auf signifikante Weise, wie Unternehmen künftig mit personenbezogenen Informationen umgehen müssen. Dabei ist eine der größten Herausforderungen, dass viele der sensiblen Daten mittlerweile "unstrukturiert" vorliegen. Das heißt, sie sind nicht in Datenbanken sondern auf unterschiedlichen Systemen wie File- und E-Mail-Servern verteilt gespeichert.

Der erste und wichtigste Schritt ist herauszufinden, wo sich diese Daten befinden. Wenn Sie in den nächsten zwei Monaten nur eine Sache tun können, dann sollten Sie Ihre Umgebung abbilden und ein Datenregister einrichten, in welchem Sie Ihre Bestände und die entsprechenden Speicherorte erfassen. Dies bildet die Basis für alles weitere.

Erstellen Sie einen Notfallplan

Darauf zu hoffen, dass das eigene Unternehmen nicht Opfer eines Cyberangriffs oder einer Datenschutzverletzung wird, war noch nie und ist auch jetzt keine gute Strategie. Rechnen Sie mit dem Schlimmsten und planen Sie entsprechende Gegenmaßnahmen.

Nutzen Sie die Einführung der DSGVO, um einen Notfallplan zu erstellen, der festlegt, wann was von wem zu tun und wer wie zu informieren ist (Behörden, Mitarbeiter, Betroffene). Dabei sollten Sie auch genau bestimmen, wer für den Ablauf verantwortlich ist und welche Daten priorisiert wiederhergestellt werden müssen.

Schränken Sie Zugriffsrechte ein

Eines der Grundprinzipien der DSGVO ist die Minimierung. Sie sollten deshalb den Umfang der gespeicherten Verbraucherdaten, den Personenkreis, der darauf zugreifen kann und die Aufbewahrungsdauer einschränken. Der zentrale und auch verhältnismäßig rasch umzusetzende Punkt ist dabei, Zugriffe auf das "Need-to-know"-Prinzip zu begrenzen .Diesen sollten nur die Mitarbeiter erhalten, die ihn für ihre Arbeit tatsächlich benötigen.

In der Realität sieht es bislang oftmals anders aus. So zeigt der Datenrisiko-Report 2017, dass in 47 Prozent der Unternehmen die Mehrzahl der Beschäftigten Zugriff auf über 1.000 sensible Dateien hat und durchschnittlich 20 Prozent der Ordner – und damit oftmals eben auch personenbezogene Daten – für alle zugänglich sind. Unabhängig von der DSGVO sind diese Zahlen alarmierend, da sich beispielsweise Ransomware-Infektionen so gravierend einfach und weit ausbreiten können.

Identifizieren Sie nicht mehr benötigte Daten

Wahlloses Datensammeln (Stichwort Big Data) ist nicht mehr. Die DSGVO läutet in dieser Hinsicht wahrlich einen Paradigmenwechsel ein. Sie fordert – wie oben schon erwähnt – das genaue Gegenteil. Wenngleich auf den ersten Blick mühsam erscheinend, lässt sich dies auch als Chance begreifen, um gründlich aufzuräumen und Ordnung in das Datenchaos zu bringen.

Denn Daten, die lange nicht genutzt wurden und eigentlich auch nicht mehr benötigt werden, stellen für Angreifer ein interessantes Ziel dar. Und Unternehmen haben hiervon offensichtlich mehr als genug. So zeigte der Datenrisiko-Report 2017, dass mehr als die Hälfte der gespeicherten Daten in diese Kategorie fallen. Im Hinblick auf die DSGVO sind diese je nach Branchen-Richtlinien und zuvor festgelegten Regeln zu archivieren oder zu löschen. Angesichts der zehn- bis hundertausenden von Unternehmensdateien ist dies ohne Automatisierung jedoch kaum zu stemmen.

Schulen Sie Mitarbeiter und Partner

Mitarbeiter wie auch Partner spielen eine Schlüsselrolle in der Datensicherheit. So ist Phishing nach wie vor einer der beliebtesten, weil erfolgversprechendsten Angriffsvektoren. Entsprechend müssen die Mitarbeiter immer wieder geschult und sensibilisiert werden. Übrigens gerade auch Führungskräfte. Aktuelle Studien, etwa von Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg, legen nahe, dass diese besonders gefährdet - aus IT-Sicht "gefährlich" - seien.

Zum einen liegt das an ihrer „Prominenz“: Je mehr Informationen ein Hacker über eine Person erlangen kann - LinkedIn und Xing sind hier hervorragende Quellen -, umso gezielter kann er seine Mails an die Opfer anpassen. Und je plausibler die Phishing-Mail, desto erfolgreicher ist sie. Zum anderen liegt dies auch am Charakterbild. So gelten Führungskräfte als risikobereiter und selbstsicherer als durchschnittliche Angestellte. Eine entsprechende profunde Schulung kann hierbei etwas ändern.

Respekt vor Daten

Neben all den technischen und prozessualen Änderungen verlangt die DSGVO vor allem eines: Ein anderes Verständnis für Daten zu entwickeln. Personenbezogene Daten werden nicht länger als Eigentum des Unternehmens betrachtet, welches sie erstellt, sammelt und verarbeitet, sondern sie gehören dem Bürger.

Sie sind ein überaus wertvolles Gut, das dem Unternehmen anvertraut wurde. Daher muss dieses alles in seiner Macht stehende tun, um sie zu schützen. Entsprechend respektvoll sollte der Umgang der Mitarbeiter und Partner mit diesen Daten auch sein.

Diesen Beitrag haben wir von unserem Schwesterportal IT-Business übernommen.

* Thomas Ehrlich ist Country Manager DACH bei Varonis Systems

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45203005 / Management)