natali_mis - stock.adobe.com
Die Netzwerksicherheit mit der DSGVO in Einklang bringen
Einige Artikel der DSGVO stehen inhaltlich in direktem Zusammenhang mit der Netzwerksicherheit. Das müssen Unternehmen bei ihren Abläufen und der Umsetzung berücksichtigen.
Seit Ende Mai 2018 ist die bereits im Frühjahr 2016 in Kraft getretene europäische Datenschutz-Grundverordnung (EU-DSGVO) unmittelbar wirksam. Ziel ist es unter anderem, die personenbezogenen Daten der EU-Bürger zu schützen. Aber auch mehr als ein halbes Jahr nach dem Stichtag der Wirksamkeit kämpfen viele Datenschutz-Verantwortliche mit der Konformität. Dabei müssen Unternehmen mit hohen Geldstrafen rechnen, wenn sie gegen die Vorschrift verstoßen.
Beispielsweise, wenn sie die Kundendaten nicht ausreichend vor einem Datenschutzvorfall absichern oder Vorfälle nicht innerhalb der gesetzten Fristen an die Aufsichtsbehörde melden. Angesichts der großen Herausforderungen, mit denen die Firmen noch immer kämpfen, ist es wichtig, dass sie ihre Prozesse in ihrem gesamten Netzwerk sorgfältig überdenken.
Wo EU-DSGVO auf Netzwerksicherheit trifft
Drei der in der EU-DSGVO enthaltenen Artikel stehen in direktem Zusammenhang mit der Netzwerksicherheit:
- Artikel 32 schreibt vor, dass die datenverarbeitenden Unternehmen und die dafür verantwortlichen Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risikoniveau angemessen ist.
- Artikel 35 verpflichtet Unternehmen, Folgenabschätzungen zum Datenschutz (DPIA) durchzuführen.
- Artikel 83 verlangt von den für die Datenverarbeitung Verantwortlichen und Verarbeitern, die mit der Verarbeitung von Daten verbundenen Risiken zu bewerten und anschließend Maßnahmen zur Risikominderung zu ergreifen.
Obwohl die EU-DSGVO diese Normen für die Netzsicherheit festlegt, hat die EU bisher noch kein offiziell genehmigtes Framework oder Infrastruktur dafür bereitgestellt. Infolgedessen gibt es keine offiziellen oder branchenspezifischen Richtlinien für die Durchführung von EU-DSGVO-Compliance-Audits und auch keine Hinweise auf konkrete Schritte, die eine Organisation unternehmen muss, um sich auf ein Audit nach einer Datenschutzverletzung vorzubereiten.
Vor diesem Hintergrund wird verständlich, dass die Unternehmen noch immer keine „Best Practice“ haben, um sicherzustellen, dass ihre Netzwerksicherheitsprozesse mit der EU-DSGVO in Einklang sind. Typischerweise basieren neue Vorschriften auf einen Implementierungsrahmen, die bereits von anderen Branchen genutzt werden, und wir können diese Leitlinien hier verwenden.
Der Blick über die Normen hinweg
Im Falle der EU-DSGVO ist die relevanteste Norm die ISO 27001, die ohnehin bereits weit verbreitet ist. Sie deckt viele bewährte Sicherheitsverfahren ab, ohne eine bestimmte Art der zu schützenden Informationen anzugeben. Darüber hinaus verlangt das Framework der ISO 27001 von den Unternehmen, Maßnahmen zu ergreifen, die auch für die EU-DSGVO gelten: Als erste Grundlage für den Nachweis der EU-DSGVO-Konformität empfiehlt sich daher, die Einhaltung der Netzwerksicherheitsstandards und der dort vorgeschlagene Rahmen für die Berichterstattung.
Abstimmung der Netzwerksicherheit mit der EU-DSGVO
Neben der Orientierung am ISO-27001-Framework können Unternehmen auch einen einfacheren Weg zur Einhaltung von Richtlinien durch die Automatisierung von Netzwerksicherheitsrichtlinien finden. So gibt es beispielsweise NSPM-Lösungen (Network Security Policy Management), die den Compliance-Rahmen der Vorschrift unterstützen.
„Angesichts der hohen Kosten, die durch eine Missachtung der in der EU-DSGVO festgelegten Standards entstehen, müssen Unternehmen die notwendigen Schritte unternehmen, um diese Anforderungen zu erfüllen.“
Jeffrey Starr, AlgoSec
Diese Unterstützung bedeutet, dass für alle relevanten Sicherheitskontrollen im Netzwerk auf Knopfdruck Compliance-Reports erstellt werden können. Die Unternehmen erhalten so einen aktuellen, genauen Überblick über den Status ihrer Konformität. Sicherheitsteams können Lücken in der Compliance sofort erkennen und erhalten umsetzbare Empfehlungen zur Behebung.
Das Risiko, gegen die EU-DSGVO zu verstoßen sinkt dadurch deutlich, weil die Netzwerkverantwortlichen bei jeder Änderung der Firewall-Regeln proaktiv die Compliance bewerten können. Diese Funktion geht weit über die kontinuierliche Einhaltung der Vorschriften hinaus und liefert auch einen vollständigen Audit Trail für jede Änderung.
Fazit
Angesichts der hohen Kosten, die durch eine Missachtung der in der EU-DSGVO festgelegten Standards entstehen, müssen Unternehmen die notwendigen Schritte unternehmen, um diese Anforderungen zu erfüllen.
Der Einsatz einer NSPM-Lösung kann den Teams für Netzwerksicherheit durch Automatisierung den aktuellen Netzwerkstatus mit den wichtigsten Artikeln in EU-DSGVO abgleichen und gleichzeitig automatisch den Audit Trail generieren, den sie zum Nachweis der Compliance benötigen wird. Im Falle eines Datenschutzvorfalls sinkt dadurch das Risiko für Sanktionen erheblich und Unternehmen senken ihr Risiko, dass es so weit kommt.
Über den Autor:
Jeffrey Starr ist CMO bei AlgoSec.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
