Search Icon
ConnectProfessional Logo
Search Icon

Vulnerability Management

Die IT-Infrastruktur startklar für die EU-DSGVO machen

14. Februar 2018, 13:37 Uhr | Autor: Dirk Schrader / Redaktion: Axel Pomper
Hacker
© fs-ostill-123rf - 123RF

Unternehmen aller Branchen stehen vor der Herausforderung, die in der EU-DSGVO geforderten Maßnahmen zu Daten- und IT-Sicherheit umzusetzen. An Sicherheitstools mangelt es dabei nicht. IT-Entscheider kämpfen jedoch mit der zunehmenden Komplexität. Vulnerability Management kann helfen.

Hacker haben häufig personenbezogene Daten wie Kundendaten oder Kreditkartennummern im Visier. Um diese und weitere vertrauliche Informationen ausreichend zu schützen, müssen Unternehmen für entsprechende Daten- und IT-Sicherheit sorgen. Diese Anforderungen stellen jetzt auch die Gesetzgeber: In der neuen EU General Data Protection Regulation haben sich die europäischen Länder nicht nur auf strengere Regularien zum Datenschutz geeinigt. Sie schreiben auch Maßnahmen für die technische und organisatorische Sicherheit vor. Seit 25. Mai 2016 ist die DSGVO in Kraft. Unternehmen haben allerdings noch bis zum 25. Mai 2018 Zeit, die neuen Vorschriften umzusetzen. Wer dann nicht in der Lage ist, sie einzuhalten, muss mit empfindlichen Strafen rechnen: Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes sind in Folge für Unternehmen möglich, wenn sie gegen die EU-Datenschutz-Grundverordnung verstoßen sollten.

Die EU-DSGVO unter der Lupe: Was ist konkret gefordert?

Die Regularien zur Datensicherheit finden sich in Artikel 32 der Verordnung. Der genaue Gesetzestext lautet: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Konkret bedeutet das:

  • Stand der Technik: Unternehmen sind in der Pflicht, ihre technischen Maßnahmen für die Datensicherheit zu überprüfen. Sie sollten aktuelle Lösungen einsetzen, die sich bereits in der Praxis bewährt haben. Der genaue „Stand der Technik“ ist nicht spezifiziert. Lediglich „Die Pseudonymisierung und Verschlüsselung personenbezogener Daten“ wird unter Absatz 1. a) im Gesetzestext als verpflichtende Maßnahme genannt.
  • Schwere des Risikos: Neu ist außerdem, dass Unternehmen ihre Maßnahmen auf die „Eintrittswahrscheinlichkeit und Schwere des Risikos“ abstimmen müssen. Sie sind also verpflichtet, eine Risikoanalyse durchzuführen, um mögliche Schwachstellen zu identifizieren und zu bewerten. Dabei müssen sie abschätzen, wie schwer der Schaden für die Rechte und Freiheiten von natürlichen Personen sein könnte, wenn ein Sicherheitsvorfall eintritt. Unternehmen müssen nachweisen, dass sie eine solche Risikoanalyse durchgeführt haben, indem sie das Ergebnis dokumentieren.
  • Belastbare Systeme: Als weitere Maßnahme gilt laut Artikel 32, Absatz 1. b): „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“ Unternehmen müssen also dafür sorgen, dass personenbezogene Daten nicht für Dritte zugänglich sind, die Daten nicht verfälscht werden können und bei Bedarf zur Verfügung stehen. Neu: Organisationen müssen auch darauf achten, dass ihre IT-Systeme für die Datenverarbeitung stabil laufen. Dazu gehört auch, sie gegen Angreifer abzusichern.
  • Wirksamkeit: Absatz 1. d) schreibt außerdem vor, dass Unternehmen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ haben müssen. Sie sind also in der Pflicht, ihre IT-Sicherheit kontinuierlich auf den Prüfstand zu stellen. Dies gelingt zum Beispiel mit Vulnerability Management.

Zusammengefasst könnte man sagen, dass die Politik das Thema Datenschutz mit der EU-Datenschutz-Grundverordnung aus dem Dornröschenschlaf geweckt hat. Und das in einer Weise, die Daten-sicherheit mit IT-Sicherheit verbindet.

Anbieter zum Thema

d.velop AG
G DATA CyberDefense AG
NCP engineering GmbH
Rittal GmbH & Co. KG
baramundi software AG
Matchmaker+
zu Matchmaker+
  1. Die IT-Infrastruktur startklar für die EU-DSGVO machen
  2. Viele Unternehmen sind noch nicht vorbereitet

Das könnte Sie auch interessieren

Recht

EU-DSGVO

Worauf bei Cloud-Diensten zu achten ist

Zweifaktor Authentifizierung

Kommentar von Vasco Data Security

Mit Zwei-Faktor-Authentifizierung EU-DSGVO-konform

Biometrie

Identity und Access Management

Wie CIAM die Umsetzung der EU-DSGVO unterstützt

Hacker

Managed Security Services

Können Unternehmen die DSGVO noch rechtzeitig…

Verwandte Artikel

connect professional

Geld, Geschäftsmodell

Geschäftsmodelle in der Digital Society

Wachstumstreiber Subscription Economy

Ferrari

Kundendaten gestohlen

Hackerangriff auf Ferrari

Cloud, SaaS

Datenmanagement-Software

Die Wahl zwischen On-Premises und SaaS

securityXpert

Know4Be SecurityCoach

Know4Be

Mit Echtzeit-Coaching risikoreiches Verhalten…

Eset-Hauptquartier in Bratislava (Slowakei)

Eset

Strategischer Ausbau der B2B-Service-Sparte

Kaspersky

Threat Heatmap visualisiert Bedrohungen

Matchmaker+
EPOS Germany GmbH

EPOS Germany GmbH
d.velop AG

d.velop AG
GN Audio Germany GmbH / Jabra

GN Audio Germany GmbH / Jabra

Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
AudioCodes Germany

AudioCodes Germany
sysob IT-Unternehmensgruppe GmbH & Co. KG

sysob IT-Unternehmensgruppe GmbH & Co. KG