Security Services für die EU-DSGVO
Der MSSP als Datenschutzhelfer für KMU
Fortsetzung des Artikels von Teil 1
Welcher MSSP passt zu mir?
Der Budgetrahmen spielt vor allem bei KMU eine entscheidende Rolle. Das Angebot sollte nicht nur preislich passen, sondern auch skalierbar sein. Je nach Projekt oder Organisation können auch Mietmodelle von Vorteil sein. Die sind im Idealfall anpassbar und bieten einen kalkulierbaren Kostenrahmen. Außerdem entfallen die hohen Investitionskosten für teure Hardware. Sollten sich die Anforderungen im Unternehmen ändern, kann ein Mietvertrag eventuell sogar monatlich gekündigt werden.
Wer auf einen MSSP setzt, um die eigene IT-Abteilung zu entlasten, der sollte darauf achten, dass das Angebot keinen unnötigen Aufwand für die Administratoren verursacht und gleichzeitig den höchstmöglichen Mehrwert bietet. Sollte das Einspielen von Updates nicht automatisiert sein, kann man davon ausgehen das aufgrund der personellen Auslastung diese nur sehr unregelmäßig eingespielt werden. Diese Gefahr besteht nicht bei Push Updates, die täglich mehrere tausend neue Virensignaturen automatisch und nahezu in Echtzeit auf die Sicherheitslösungen übertragen können. Das hält die Sicherheitslösungen aktuell und bringt einen riesigen Zeitgewinn für die Mitarbeiter in den IT-Abteilungen.
Worauf ist noch zu achten? Datenschutz im Sinne der EU-DSGVO bedeutet für Unternehmen und Organisationen vor allem mehr Dokumentation. Sie müssen den betroffenen Personen und den Aufsichtsbehörden gegenüber jederzeit Auskunft darüber geben können, welche Daten sie erheben, wie sie sie verarbeiten und mit welchen Maßnahmen sie sie schützen. Kommt es zu einem Datenschutzvorfall hat eine Organisation, nachdem ihr der Vorfall bekannt wurde, 72 Stunden Zeit, eine Meldung bei der zuständigen Aufsichtsbehörde zu machen. Diese Meldung umfasst mindestens die Art der Datenschutzverletzung (u.a. welche Daten und wie viele Personen betroffen sind), die Kontaktdaten des Datenschutzbeauftragten, eine Folgenabschätzung des Datenschutzverstoßes und eine Beschreibung von Maßnahmen zur Behebung des Datenschutzverstoßes (oder gegebenenfalls zur Abmilderung der möglichen Schäden für die Betroffenen). Hier wäre es für eine Organisation extrem hilfreich, wenn sie für die rasche Zusammenstellung der Meldung auf entsprechende Informationen zurückgreifen kann. Ein MSSP, der nach dem Privacy by Default-Verfahren alle unerlaubten Aktivitäten im Netzwerk dokumentiert, kann diese Informationen auf Anfrage liefern und die Administratoren mit transparenten Reports unterstützen. Sollte es trotz aller Sicherheitsvorkehrungen zu einem Vorfall kommen, dann informiert ein MSSP seinen Kunden umgehend. Das erleichtert Gegenmaßnahmen, verhindert unnötigen Schaden und unterstützt bei der vorgeschriebenen Meldung an die Aufsichtsbehörden. Im Idealfall verfügt der MSSP zusätzlich über ein Expertennetzwerk von Datenschützern, Penetrationstestern, -Forensikern, Rechtsanwälten usw. Diese kann er bei Bedarf in entsprechende Projekte integrieren und auf ihre Unterstützung zurückgreifen. Die größte Stärke eines solchen Netzwerkes ist es nicht, bei Datenschutzverstößen reaktiv zu unterstützen. Vielmehr kann es bereits bei der Planung von Projekten hinzugezogen werden, um mögliche Gefahren abzuschätzen und nach Möglichkeit schon vor der Umsetzung abzuwenden. Natürlich können auf die gleiche Weise auch bestehende Infrastrukturen auf Schwachstellen untersucht werden, um Maßnahmen zur Verbesserung der Sicherheit oder ähnlicher Faktoren zu evaluieren.
Wettbewerbsvorteil durch Sicherheit
Die verschärften Datenschutzregeln der EU-DSGVO zwingen Unternehmen dazu, ihre allgemeine IT-Sicherheit zu verbessern. Vor allem KMU können sich aber häufig keine eigene IT-Sicherheitsabteilung leisten. Sie profitieren umso mehr von der Unterstützung eines erfahrenen MSSP. Bei der Auswahl eines passenden MSSP sollten wirtschaftliche Aspekte ebenso berücksichtigt werden wie technische. Idealerweise verfügt der MSSP über ein Expertennetzwerk von Partnern aus verschiedenen Bereichen, die bei Bedarf unterstützend tätig werden können. Flexibel skalierbare Mietmodelle mit kurzen Kündigungsfristen gehen besonders auf die Bedürfnisse kleiner und mittlerer Betriebe ein. Mit transparenten Reports, vor allem über unerlaubte Aktivitäten im Netzwerk, sowie Warnungen und guter Unterstützung bei einem Sicherheitsvorfall im Netzwerk sind fristgerechte Meldungen nach den DSGVO-Regeln an die Datenschutzbehörden kein Problem. Letztendlich werden Unternehmen, die nachweislich über einen gut funktionierenden Datenschutz verfügen, diesen als Wettbewerbsvorteil sogar erleben können.
Dariush Ansari ist Geschäftsleiter von Network Box Deutschland
- Der MSSP als Datenschutzhelfer für KMU
- Welcher MSSP passt zu mir?
Lesen Sie mehr zum Thema
