Datenschutz und Datensicherheit im WandelMängel in der Datensicherheit können mit der DVU im Bußgeldrahmen von 10 Millionen € oder 2 % des Jahresumsatzes beanstandet werden. Die DS-GVO schreibt künftig den Schutz personenbezogener Daten Technologie neutral vor. Sie soll nicht von den verwendeten Techniken abhängen. Konkrete Sicherheitsverfahren wie §9 BDSG Anlage (technisch organisatorische Maßnahmen) die Sie alle kennen, werden bewusst nicht mehr genannt. Ihre Sicherheitsmaßnahmen müssen sich künftig am Stand der Technik orientieren und das Risiko der Verarbeitung aus Sicht des Betroffenen berücksichtigen. Aber wie sieht denn dieser Passus Ihrer derzeitigen Datenschutzerklärung aus? „ … Der Schutz Ihrer Daten ist uns wichtig. Daher haben wir unter Berücksichtigung des Stands der Technik nach Risikobewertung und Kosten technische und organisatorische Maßnahmen zum Schutz Ihrer Daten getroffen. …“ Derartige Aussagen in Datenschutzerklärungen dürften künftig nicht mehr ausreichen. Es gilt nach vorheriger Prüfung und Bewertung, konkrete Aussagen zu den Schutzmaßnahmen zu treffen. In vielen Fällen dürfte das zuvor aber mit einer Prüfung und Anpassung der vorhandenen technischen und organisatorischen Maßnahmen einhergehen müssen. Unternehmen müssen dies im Rahmen ihrer Rechenschaftspflicht umzusetzen, dokumentieren, die Einhaltung kontinuierlich überwachen und ggfs. immer wieder anpassen. Nicht nur im eigenen Unternehmen, sondern bei den eingesetzten Dienstleistern. Nichts gewusst? Zählt nicht!Gehen Sie nicht davon aus, dass Sie bei einer Prüfung durch die Aufsichtsbehörde sagen können, Sie wüssten nicht, was Stand der Technik ist und hätten daher weder ein Datensicherheits-Konzept noch Risikobewertungen oder entsprechende technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten ergriffen. Auch wenn noch nichts passiert ist, Sie müssen im Vorfeld die Vorgaben der DS-GVO umsetzen. Oder kaufen Sie die Feuerlöscher erst wenn es schon brennt und machen im Echtbetrieb ihre erste Notfallübung zusammen mit der eintreffenden Feuerwehr? Rechtemanagement überprüfen - eine PflichtNeed to know statt nice to have - ob diese Grundregel in allen Unternehmen inzwischen konsequent umgesetzt ist, sollten Sie für Ihr Unternehmen genau wissen. Rechtevergabe ohne die Kontrolle, ob der neue Mitarbeiter denn alle diese Rechte, die sein Vorgänger hatte, tatsächlich benötigt oder sie einfach nur bekommt, weil eine ähnliche Stellenbeschreibung vorliegt, sollten Sie jetzt prüfen. Schlechtes Rechtemanagement macht Unternehmen angreifbar. Das haben nicht nur Unternehmen sondern auch schon viele Privatpersonen zu spüren bekommen. Private Nutzer richten ihre Rechner - aus Bequemlichkeit oder weil sie es nicht besser wissen - mit Administrator-Rechten ein. Besser: Rechner zwar mit Administratorprofil einrichten, ein Benutzerprofil mit „nur Benutzer – nicht Administrator“ anlegen und mit diesem arbeiten. Kapert dann ein Hacker den Rechner unter dem Benutzeraccount, hat er keine administrativen Rechte und kann nur eingeschränkt Schaden anrichten. Das gilt natürlich auch in Unternehmen. Werden beispielsweise durch manipulierte Dokumente, E-Mail, Würmer oder Trojaner, die Computer eines Mitarbeiters übernommen, sind Angreifer schwer aufzuhalten. Wie die Presse aktuell berichtet, erleben das derzeit sogar Bundesministerien. In vielen Fällen sind die Rechte der Mitarbeiter wesentlich umfassender, als sie tatsächlich benötigt werden. Schon aus diesem Grund sollten auch Systemadministratoren ihre besonderen Rechte und den damit verbundenen Zugang nur dann benutzen, wenn sie tatsächlich Administratoren-Aufgaben wahrnehmen. Solange sie als „normale Mitarbeiter“ tätig sind sollten Sie immer auch Benutzerkonten mit eingeschränkten Rechten verwenden. Aus Bequemlichkeit (oder weil eine differenzierte Rechtevergabe mit Planung und Aufwand verbunden ist), haben Mitarbeiter immer noch zu viele Rechte, die sie für Ihre Aufgaben gar nicht benötigen. Umso schlimmer, wenn diese nicht einmal sorgfältig und aktuell dokumentiert sind oder automatisiert geprüft werden können. Hohes Risiko: privilegierte ZugriffsberechtigteSystemadministratoren, Supportmitarbeiter, Datenbank-Administratoren und oft auch Geschäftsführer glauben, aufgrund ihres Jobs, Zugang mit uneingeschränkten privilegierten Ressourcen zu benötigen. Gerade bei diesem Personenkreis tut man sich schwer, den Bedarf genau zu prüfen oder Rechte zu beschränken. Ein besonderes Risiko entsteht, wenn sich mehrere Administratoren privilegierte Benutzerkonten teilen. Damit ist eine Rechenschaftspflicht und die eindeutige Zuordnung nicht mehr möglich. Prüfen Sie also, wer tatsächlich privilegierte Benutzerkonten hat und benötigt. Schränken Sie diese Accounts ein. Nicht jeder Administrator benötigt Domänenkonten oder Super-User-Privilegien. Alle Aktivitäten, die über privilegierte Accounts erfolgen, sind zu dokumentieren. Protokolldaten und Logs sollten revisionssicher sein, damit sie nicht gelöscht und geändert werden können. Richten Sie Multifaktor- Authentifizierung für privilegierte Systeme ein. Passwörter für Administratoren müssen der direkten Kontrolle des Unternehmens unterliegen. Ihre Sicherheitsvorgaben sollten über Gruppenrichtlinien und Regeln erzwungen werden! Gute Chance für eine NeubeginnDie Verordnung ist eine gute Gelegenheit, reinen Tisch zu machen. Überprüfen Sie alle Zugriffsrechte ihrer Mitarbeiter. Im Zweifel reduzieren Sie die Zugriffsrechte auf die niedrigste Stufe und erweitern diese dann bei Bedarfsanforderungen, dokumentiert und sukzessive im Rahmen der tatsächlichen Erfordernisse. Unternehmen müssen erkennen, dass sie Zugriffs- und Adminrechte für jeden einzelnen Computer und jede Anwendung einschränken und managen müssen. Nur so kontrollieren Sie ihre Systeme und Anwendungen und damit die Daten. Selbstverständlich gilt dies nicht nur für die personenbezogenen Daten, die dem besonderen Schutz von BDSG, DS-GVO oder weiteren Spezialgesetzen unterliegen. Genauso wichtig ist es, die vertraulichen Unternehmensinformationen zu schützen. Ein entsprechendes Rechtemanagement sollte also alle Unternehmensinformationen bewerten, klassifizieren und danach Schutzmaßnahmen und Zugriffsrechte installieren. Datenverlust und MeldepflichtSich darauf zu verlassen, dass Datenlecks wirklich geheim bleiben und sie deswegen „unter den Teppich zu kehren“ dürfte ein erhebliches Risiko darstellen. Die Daten können vom Angreifer öffentlich gemacht werden, aber auch durch andere Quellen nach außen gelangen. Neben der Verpflichtung, unzulässige Zugriffe auf personenbezogene Daten der Aufsichtsbehörde anzuzeigen und für die Konsequenzen einstehen zu müssen, ist der mögliche Vertrauensschaden bei Kunden in vielen Fällen erheblich oder sogar massiv geschäftsschädigend. Künftig muss der Verlust personenbezogener Daten von Unternehmen bereits innerhalb von 72 Stunden ab Bekanntwerden bei der verantwortlichen Stelle, der zuständigen Aufsichtsbehörde, gemeldet werden. Einige bieten dazu bereits vorbereitete Meldeformulare auf ihren Webseiten an. Entgegen der bisherigen Meldepflicht, die eine nahezu gleichzeitige Information der Aufsichtsbehörde und der Betroffenen vorsieht, ist in der DS-GVO eine zweistufige Vorgehensweise vorgesehen. Die Meldung an die Aufsichtsbehörde hat künftig auch schon bei einfachen Datenpannen zu erfolgen, es sei denn, ein Risiko für Betroffene kann sicher ausgeschlossen werden. Im zweiten Schritt sind, wenn die Datenpanne zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen können, auch die Betroffenen durch das Unternehmen zu informieren. Schon aus diesem Grund soll im Rahmen der Verfahrensdokumentationen eine Bewertung der Datenverarbeitung, immer mit dem Blick auf das Risiko für den Betroffenen, durchgeführt werden. Die klassischen technisch-organisatorischen Maßnahmen zum Schutz der Daten, von der Zutrittskontrolle über die Auftragsbearbeitung bis zum Trennungsgebot, nach dem heutigen §9 Anlage BDSG, reichen dafür nicht aus. Künftig sind weitere Kriterien wie Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit sicherzustellen, um nur einige Punkte zu nennen. Die Art und Weise der Umsetzung ist zu gewährleisten und nachzuweisen. Nicht nur beim eigenen Unternehmen sondern auch bei gegebenenfalls beauftragten Dienstleistern. Verschlüsselung ist eine der Möglichkeiten Daten zu sichernWelche technischen Maßnahmen hierzu ergriffen werden, ist regelmäßig von einer Bewertung des Risikos für den Betroffenen abhängig zu machen. Für einfache Namenslisten kann eine angemessene sichere 256Bit ZIP-Verschlüsselung ausreichen. Für besonders sensible Daten, wie Gesundheitsdaten oder Daten von Berufsgeheimnisträgern, ist dies nicht ausreichend. Dazu können Ende zu Ende Verschlüsselungen mittels PGP oder S/Mime Zertifikate anerkannter Trust Center verwendet werden. Immer mehr Unternehmen greifen auf sichere Datenaustausch-Plattformen zurück. Gerade hierbei ist allerdings auf eine sichere Ausgestaltung der Auftragsdatenverarbeitung zu achten. Die technisch- organisatorischen Maßnahmen sind festzulegen und zu prüfen. Die Auswahl eines derartigen Dienstleisters sollte sich an den Vorgaben der DS-GVO orientieren. Privacy by Design und Default sollten selbstverständlich sein. Personenbezogene oder vertrauliche Unternehmensdaten und Informationen ohne Verschlüsselung in der Dropbox abzulegen, ist wohl als fahrlässig zu betrachteten. Leider wird selbst dies aus Kostengründen immer noch praktiziert. Drum prüfe ....Prüfen Sie also welche Verschlüsselungsmaßnahmen die Anbieter Ihrer Personalinformations- oder CRM-Systeme anbieten. Verzichten Sie auf vorhandene Sicherheitsmaßnahmen nicht aus Bequemlichkeit. Verantwortliche sind verpflichtet, nach Art. 24 DS-GVO geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen. Sie müssen sicherstellen und nachweisen können, dass die Vorgaben eingehalten werden. Bei der Festlegung von Maßnahmen sind Eintrittswahrscheinlichkeiten und Risikoschwere zu berücksichtigen. Die DS-GVO hat im Gegensatz zum BDSG auch Vorgaben und Regeln für genehmigte Verhaltensregeln und Zertifizierungen festgelegt. Daher werden künftig nach DS-GVO zertifizierte Unternehmen nach Art. 40 ,42 DS-GVO bei der Auftragsvergabe vermutlich eher berücksichtigt. Zertifizierte Audits und genehmigte Verhaltensregen können bei der Wahl eines Auftragnehmers hilfreich sein. So wird Datenschutz zum Wettbewerbsfaktor Sicherheit - kleine Fragen, große WirkungWas haben Sie zuletzt getan, um ihre Daten- und Informationssicherheit auf den Prüfstand zu stellen? Haben Sie innerhalb der letzten Zeit die Zugriffsrechte und Rollen der Mitarbeiter überprüft? Ihre Webseiten und die über das Internet erreichbaren Plattformen einem SSL-Test unterzogen? So wie es beispielsweise die bayerische Aufsichtsbehörde automatisiert durchführt. (https://www.ssllabs.com/ssltest/). Haben Sie Ihre eingesetzten Systeme, Plattformen, Software einem internen oder externen Audit unterzogen? Prüfen Sie Ihre eigenen und die Systeme ihrer Dienstleister regelmäßig durch eigene oder externe Penetrationstest-Tests? (Achtung, nicht vereinbarte Pen-Tests auf die Systeme Dritter könnten einen Angriff darstellen und Schäden verursachen. Beachten Sie die rechtlichen Grundlagen!). Gibt es schriftliche Konzepte für Ihr Unternehmen und Ihre Dienstleister wie Datenschutz-, IT Sicherheit, Back-Up- und Wiederanlaufverfahren, Systemwiederherstellung und schriftliche Vorgaben und Dokumentationen von Updates und System Patches? Und mal ganz nebenbei: Sind Sie auf einen Shitstorm vorbereitet? Auch wenn ein derartiger Angriff vermutlich nicht unter die Meldepflicht des BDSG fällt, kann der Imageschaden erheblich sein. Gibt es dafür einen Plan und ein Interventionsteam? Wenn ja, verschwindet das Interventions-Team am Freitagmittag ins verdiente Wochenende? Ist der Notfallplan im Zweifel einfach, den Stecker aus ihren Systemen und Webauftritten zu ziehen? Dann ist es ein sehr schlechter Plan. In diesem Fall wird er sich auf Systeme verlagern, auf die Sie weder Zugriff noch Einfluss haben. Aber natürlich haben Sie für alle diese Szenarien (und die sind sicher nicht vollständig) bereits umfassende Vorbereitungen getroffen. Wenn nicht – fangen Sie jetzt damit an.
Dieser Artikel wird Ihne in Zusammenarbeit von Raz-Lee Security GmbH und dem Datenschutzbeauftragten Jürgen Hartz präsentiert. Raz-Lee Security ist führender internationaler Anbieter von Sicherheits-, Auditing-und Compliance (SOX, PCI, HIPAA, etc.) Lösungen für die IBM i. Zu Raz-Lee-Kunden zählen Unternehmen aller Größen, von KMUs bis zu Unternehmen mit Hunderten von Systemen, in allen vertikalen Märkten und Branchen. Finanzinstitute wie Banken und Versicherungen sind besonders zahlreich unter der Raz-Lee Klientel vertreten. Jürgen Hartz ist als externer Datenschutzbeauftragter für verschiedene mittelständige Unternehmen bestellt. Er war viele Jahre im Kundendienst in leitenden Funktionen bei internationalen Unternehmen tätig. Zuletzt über 10 Jahre Alleingesellschafter und Geschäftsführer eines Kundendienstunternehmens für Consumerelektronik mit über 120 Mitarbeitern. Seit 2005 berät er Unternehmen in den Fragen des Datenschutzes. Betriebliche Belange und Anforderungen mit den gesetzlichen Vorschriften in Einklang zu bringen ist die besondere Herausforderung dieser Aufgabe. Dabei kommt ihm die eigene unternehmerische Tätigkeit der vergangenen Jahre zu Gute. Als Referent und Moderator ist er bei zahlreichen Datenschutzveranstaltungen aktiv. Er ist stellv. Vorstandvorsitzender des BvD e.V. (Berufsverband der Datenschutzbeauftragten) und in verschieden Gremien tätig. Jürgen Hartz ist per E-Mail über info@jhartz.de erreichbar.
|