Sie sind hier: HomeTelekommunikation

Vulnerability Management: Die IT-Infrastruktur startklar für die EU-DSGVO machen

Unternehmen aller Branchen stehen vor der Herausforderung, die in der EU-DSGVO geforderten Maßnahmen zu Daten- und IT-Sicherheit umzusetzen. An Sicherheitstools mangelt es dabei nicht. IT-Entscheider kämpfen jedoch mit der zunehmenden Komplexität. Vulnerability Management kann helfen.

Hacker Bildquelle: © fs-ostill-123rf - 123RF

Hacker haben häufig personenbezogene Daten wie Kundendaten oder Kreditkartennummern im Visier. Um diese und weitere vertrauliche Informationen ausreichend zu schützen, müssen Unternehmen für entsprechende Daten- und IT-Sicherheit sorgen. Diese Anforderungen stellen jetzt auch die Gesetzgeber: In der neuen EU General Data Protection Regulation haben sich die europäischen Länder nicht nur auf strengere Regularien zum Datenschutz geeinigt. Sie schreiben auch Maßnahmen für die technische und organisatorische Sicherheit vor. Seit 25. Mai 2016 ist die DSGVO in Kraft. Unternehmen haben allerdings noch bis zum 25. Mai 2018 Zeit, die neuen Vorschriften umzusetzen. Wer dann nicht in der Lage ist, sie einzuhalten, muss mit empfindlichen Strafen rechnen: Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes sind in Folge für Unternehmen möglich, wenn sie gegen die EU-Datenschutz-Grundverordnung verstoßen sollten.

Die EU-DSGVO unter der Lupe: Was ist konkret gefordert?

Die Regularien zur Datensicherheit finden sich in Artikel 32 der Verordnung. Der genaue Gesetzestext lautet: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Konkret bedeutet das:

  • Stand der Technik: Unternehmen sind in der Pflicht, ihre technischen Maßnahmen für die Datensicherheit zu überprüfen. Sie sollten aktuelle Lösungen einsetzen, die sich bereits in der Praxis bewährt haben. Der genaue „Stand der Technik“ ist nicht spezifiziert. Lediglich „Die Pseudonymisierung und Verschlüsselung personenbezogener Daten“ wird unter Absatz 1. a) im Gesetzestext als verpflichtende Maßnahme genannt.
  • Schwere des Risikos: Neu ist außerdem, dass Unternehmen ihre Maßnahmen auf die „Eintrittswahrscheinlichkeit und Schwere des Risikos“ abstimmen müssen. Sie sind also verpflichtet, eine Risikoanalyse durchzuführen, um mögliche Schwachstellen zu identifizieren und zu bewerten. Dabei müssen sie abschätzen, wie schwer der Schaden für die Rechte und Freiheiten von natürlichen Personen sein könnte, wenn ein Sicherheitsvorfall eintritt. Unternehmen müssen nachweisen, dass sie eine solche Risikoanalyse durchgeführt haben, indem sie das Ergebnis dokumentieren.
  • Belastbare Systeme: Als weitere Maßnahme gilt laut Artikel 32, Absatz 1. b): „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.“ Unternehmen müssen also dafür sorgen, dass personenbezogene Daten nicht für Dritte zugänglich sind, die Daten nicht verfälscht werden können und bei Bedarf zur Verfügung stehen. Neu: Organisationen müssen auch darauf achten, dass ihre IT-Systeme für die Datenverarbeitung stabil laufen. Dazu gehört auch, sie gegen Angreifer abzusichern.
  • Wirksamkeit: Absatz 1. d) schreibt außerdem vor, dass Unternehmen „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ haben müssen. Sie sind also in der Pflicht, ihre IT-Sicherheit kontinuierlich auf den Prüfstand zu stellen. Dies gelingt zum Beispiel mit Vulnerability Management.

Zusammengefasst könnte man sagen, dass die Politik das Thema Datenschutz mit der EU-Datenschutz-Grundverordnung aus dem Dornröschenschlaf geweckt hat. Und das in einer Weise, die Daten-sicherheit mit IT-Sicherheit verbindet.