EU-DSGVO: Was man nicht sieht, kann man nicht schützen

Einsicht in alle Datenströme notwendig

Schon allein um nachvollziehen zu können, wohin welche Daten gesendet werden, benötigen Unternehmen eine umfassende Visibility-Architektur, die ihnen eine Echtzeitsicht auf alle Datenströme ermöglicht. Dabei spielt es eine Rolle, ob die Daten verschlüsselt sind oder nicht – sind sie es nicht, müssen sie gegebenenfalls auf geeignete Weise pseudonymisiert werden. Die DSGVO definiert Pseudonymisierung als „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“. Um einen Datensatz zu pseudonymisieren, müssen diese zusätzlichen Informationen „gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden“.

Die Tatsache, dass auch IP-Adressen als personenbezogene Daten gelten, macht die Angelegenheit noch komplizierter. Tatsächlich stellt sie im Prinzip alle traditionellen Ansätze für Visibility auf den Kopf. Statt das Netzwerk für tiefgehende Analysen durch leistungsfähige Tools zu öffnen, verlangt die DSGVO, den Fluss von persönlichen und vertraulichen Daten einzuschränken. Eine Visibility-Architektur muss daher auch in der Lage sein, IP-Adressen zu schützen – etwas, für dessen Gegenteil sie im Prinzip entwickelt wurde. Zum Glück gibt es jedoch Visibility Tools, die Datenmaskierung beherrschen und so dieses Problem lösen können. Sie wurden ursprünglich entwickelt, um sogenannte PII-Daten (Personally Identifiable Information) etwa bei Kreditkartentransaktionen zu schützen, eignen sich jedoch auch ideal als Werkzeuge zur Erlangung der DSGVO-Konformität. Voraussetzung ist, dass sie flexibel sind und dem Administrator erlauben, jedes beliebige Datenfeld zu maskieren, sei es die Kreditkartennummer, die Anschrift oder eben die IP-Adresse.

Die Datenmaskierung arbeitet zudem Hand in Hand mit der Entschlüsselung von SSL-Verkehr. Da immer mehr Cyberattacken sich in verschlüsseltem Verkehr verstecken, ist es notwendig, diesen zu entschlüsseln, von Sicherheits-Tools inspizieren zu lassen und wieder zu verschlüsseln, bevor er an das endgültige Ziel weitergeleitet wird. Für die Inspektion können personenbezogene Daten im nun unverschlüsselten Verkehr maskiert werden, um den Bestimmungen der DSGVO zu entsprechen.

Konform auch in der Cloud

Besondere Anforderungen stellen hybride Umgebungen, in denen das eigene Rechenzentrum durch Cloud Services ergänzt wird. Wenn eine Organisation personenbezogene Daten sowohl vor Ort als auch in einer Cloud verarbeitet, ist die Verschlüsselung zwischen den beiden Domains praktisch obligatorisch. Die Datenmaskierung muss dann über geeignete Tools auf die Cloud-Umgebung erweitert werden.

In privaten Cloud-Umgebungen wird eine Visibility-Architektur benötigt, die den gesamten Netzwerkverkehr, abgreifen, analysieren und zur Weiterleitung an einen Network Packet Broker tunneln kann. Zudem muss sie die Datenmaskierung implementieren. Für außereuropäische Unternehmen ist zudem of die Integration von Geolocation sinnvoll, um Daten aus der EU sicher identifizieren zu können.

„Arbeitet ein Unternehmen mit Public Clouds, so muss es den Cloud-Provider mit ins Boot nehmen, um DSGVO-Compliance zu erreichen.“

Christian Hirsch, Keysight Technologies

Arbeitet ein Unternehmen mit Public Clouds, so muss es den Cloud-Provider mit ins Boot nehmen, um DSGVO-Compliance zu erreichen. Ein guter Start ist hier die Zusammenarbeit mit einem der in CISPE-Initiative (Cloud Infrastructure Services Providers in Europe) zusammengeschlossenen Provider. Bei CISPE handelt es sich um eine Gruppe von gut 20 EU-basierten und globalen Cloud Service Providern, die einen Code of Conduct für den Schutz personenbezogener Daten entwickelt haben, die als Vorlage für ein Framework für DSGVO-Compliance dienen kann. Dier erleichtert die Konformität, aber letztlich bleibt natürlich das Unternehmen selbst für die Einhaltung aller Bestimmungen verantwortlich.

Neben der Visibility über physische und virtuelle Netzwerke müssen die Betreiber auch sicherstellen, dass ihr Netzwerk robust ist und die personenbezogenen Daten vor Lecks und Abhören geschützt sind. Um das zu gewährleisten, benötigt man neben der Visibility-Architektur auch eine umfassende Testumgebung, die echten Datenverkehr mit realistischem Volumen emulieren kann. Dabei müssen sowohl legitimer Verkehr mit personenbezogenen Daten als auch Cyberangriffe mit teils sehr hohen Datenraten wie etwa DDoS-Attacken berücksichtigt werden. Nur umfassende und fortlaufende Tests unter realen Lastbedingungen können gewährleisten, dass vorhandene Sicherheitslösungen illegitimen Verkehr zuverlässig unterbinden, ohne legitimen Traffic zu beeinträchtigen.

Über den Autor:
Christian Hirsch ist Systems Engineer bei Keysight Technologies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!