BLOG: So können Sie die Anforderungen der DSGVO mit Fidelis Elevate umsetzen

25.04.2019

Im Mai 2016 veröffentlichte die Europäische Union (EU) die Datenschutz-Grundverordnung (DSGVO), die im Jahr 2018 in allen Mitgliedstaaten der EU in Kraft trat. Für US-amerikanische Unternehmen, die in der EU tätig sind oder sich an EU-Bürger wenden, erweitert die DSGVO ...

Im Mai 2016 veröffentlichte die Europäische Union (EU) die Datenschutz-Grundverordnung (DSGVO), die im Jahr 2018 in allen Mitgliedstaaten der EU in Kraft trat. Für US-amerikanische Unternehmen, die in der EU tätig sind oder sich an EU-Bürger wenden, erweitert die DSGVO das Konzept der schützenswerten personenbezogenen Daten. Hierzu zählen auch geschäftliche Kontaktdaten und andere Informationen wie beispielsweise E-Mail- und IP-Adressen, mit deren Hilfe eine natürliche Person identifiziert werden kann. Darüber hinaus gibt es strengere Anforderungen an die Netzwerk- und Informationssicherheit.

Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau gewährleisten zu können. Diese Sicherheitsvorkehrungen müssen sie auch belegen können. Für viele Unternehmen bedeutet dies, dass ihre Sicherheitsmaßnahmen jetzt auch die Pseudonymisierung und Verschlüsselung von Daten, die Möglichkeit der zeitnahen Wiederherstellung personenbezogener Daten sowie regelmäßige Überprüfungen und Begutachtungen umfassen müssen. Alle Anforderungen sollten in einem Vorfallreaktionsplan festgelegt werden, der regelmäßig überprüft werden muss, damit ein Unternehmen mögliche Sicherheitsverletzungen erkennen kann.

Ist ein sicherheitsrelevanter Vorfall eingetreten, der einer Datenschutzverletzung gleichkommt, fordert die DSGVO von Unternehmen, den Verstoß innerhalb von 72 Stunden nach Bekanntwerden zu melden. Das bedeutet jedoch auch, dass ein Unternehmen sein Netzwerk sehr genau kennen und die Bedeutung und das Ausmaß sicherheitsrelevanter Ereignisse einordnen können muss:

1. Art & Speicherort der Daten – Können Sie genau darlegen, wo welche Daten in Ihrem Unternehmen gespeichert sind? Dies ist eine der umfassendsten Anforderungen der DSGVO. Ein Unternehmen muss wissen, (a) welche Daten es vorhält und wie diese Daten klassifiziert sind – sind es beispielsweise gemäß der Verordnung „personenbezogene Daten“?; und (b) wo diese Daten im Unternehmensnetzwerk liegen.

2. Art des sicherheitsrelevanten Ereignisses – Sind die Daten einmal klassifiziert und korrekt abgebildet, gilt es, die Form eines sicherheitsrelevanten Ereignisses einzuordnen – im Falle eines Eintritts. Die Taktiken, Techniken und Verfahren, die Angreifer nutzen, um Zugang zu Ihrer IT-Umgebung zu erhalten, können nützliche Informationen liefern. Die Art der Daten, die ein Angreifer entwenden möchte, kann im Zusammenspiel mit der Art des sicherheitsrelevanten Ereignisses nützliche Informationen darüber liefern, wie der Zugriff erfolgt ist, welche Wege der Angreifer zur Datenausschleusung genutzt und welche Taktiken, Techniken und Verfahren er für den Zugriff auf die IT-Umgebung eingesetzt hat. Die Art des sicherheitsrelevanten Ereignisses ist entscheidend, denn sie unterstützt Unternehmen dabei, ihrer Berichtspflicht nachzukommen.

3. Zeitrahmen – Sie sollten wissen, wann ein sicherheitsrelevanter Vorfall aufgetreten ist. Die Bestimmung des Zeitfensters, in dem sich der Sicherheitsverstoß ereignet hat, kann eine große Herausforderung darstellen. Oft sind diese Bemühungen forensischer Natur. Es bedarf umfangreicher Recherchen, um genau festzustellen, wann eine Sicherheitsverletzung stattgefunden haben könnte. Die Kombination von Informationen aus verschiedenen Quellen mit eventuell unterschiedlichen Zeitstempeln ermöglicht es, die Zeitspanne zu bestimmen, in der die Sicherheitsverletzung aller Wahrscheinlichkeit nach aufgetreten ist. Die schnelle und einfache Bestimmung des Zeitfensters stellt hohe Anforderungen an Unternehmen – ebenso wie die vorausschauende Verhinderung sicherheitsrelevanter Ereignisse.

4. Lokalisierung – Sie sollten wissen, wo das sicherheitsrelevante Ereignis aufgetreten ist und die Gesetze welchen Landes damit Anwendung finden – oder handelt es sich um einen globalen Sicherheitsverstoß? Die geographischen Merkmale müssen die Pfade aufzeigen, wie ein Angreifer Zugriff auf die Unternehmensinfrastruktur erhalten hat und wie er diese wieder verlassen konnte. Diese Abbildung liefert nützliche Informationen zu den Vorgehensweisen von Angreifern. Zudem können diese Informationen in die forensische Analyse einfließen, um ein besseres Verständnis für sicherheitsrelevante Ereignisse zu entwickeln.

5. Risikominimierung – Unterbinden Sie sicherheitsrelevante Ereignisse und Sicherheitsverstöße. Die Eindämmung sicherheitsrelevanter Ereignisse kann eine Herausforderung darstellen, wenn Angreifer ihre Spuren gut verwischen. Ist ein Sicherheitsverfall eingetreten, ist es jedoch möglich, forensische Analysen durchzuführen. Hat ein Angreifer jedoch die Kontrolle über Ihre IT-Umgebung erlangt und agiert unentdeckt in Ihrem Netzwerk (Lateral Movement), kann dies Ihre Maßnahmen zur Risikobegrenzung erheblich beeinträchtigen.

6. Auswirkungen – Stellen Sie fest, ob es sich bei einem sicherheitsrelevanten Vorfall um einen Verstoß gegen personenbezogene Daten handelt, der meldepflichtig ist, und melden Sie diesen innerhalb der von den geltenden Gesetzen vorgeschriebenen Frist mit allen erforderlichen Angaben. Die Art der Information, der Verwendungszweck sowie die Dauer und der Ort der Speicherung unterstützen Sie dabei festzustellen, ob personenbezogene Daten gefährdet oder kompromittiert wurden. Forensische Analysen erfordern in der Regel all diese oder zumindest einige dieser Informationen, um eine korrekte Schlussfolgerung liefern zu können.

Empfindliche Geldstrafen für Unternehmen

Es gibt zwei Arten von Geldstrafen, die bei Verstößen gegen die DSGVO verhängt werden können. Die niedrigere, erste Geldbuße beträgt bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen Artikel 83 Absatz 4 der DSGVO, der unter anderem die Sicherheit der Datenverarbeitung behandelt. Die zweite Geldbuße beträgt bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag höher ist. Dies gilt für Verstöße gegen Artikel 83 Absatz 5, der unter anderem die grundlegende Verarbeitung von Daten und die Zustimmung zur Datenverarbeitung beschreibt. Bei der Entscheidung, ob eine Geldstrafe zu verhängen ist, werden die technischen und organisatorischen Maßnahmen eines Unternehmens geprüft – dies kann auch die Überprüfung der im Unternehmen eingesetzten Sicherheitslösungen sowie die Reaktionsmaßnahmen auf sicherheitsrelevante Vorfälle umfassen.

Die Geldbußen für die Nichteinhaltung der oben genannten gesetzlichen Vorgaben basieren auf zehn allgemeinen Kriterien, wobei Unternehmen auch mildernde Umstände geltend machen können, wenn sie: (a) Maßnahmen ergriffen haben, um den Schaden für die betroffenen Personen zu begrenzen; und (b) Maßnahmen ergriffen haben, um den Schaden zu verhindern. Letzteres umfasst sowohl die technischen als auch die betrieblichen Maßnahmen für die Gewährleistung der DSGVO-Konformität. Dies erfordert zwangsläufig, dass der Datenbestand eines Unternehmens zu jedem Zeitpunkt akkurat ist und das Unternehmen über Richtlinien und Pläne verfügt, wie auf sicherheitsrelevante Vorfälle und Verstöße zu reagieren ist. Deshalb ist es auch so wichtig, Produkte und Services zu nutzen, die eine sofortige Erkennung von Cyberbedrohungen ermöglichen und eine angemessene Reaktionszeit auf Vorfälle gewährleisten, sodass ein Unternehmen sich keiner Gefahr aussetzen muss.

Der Einsatz von Fidelis, die Identifizierung und Klassifizierung der Daten und die Abbildung der IT-Umgebung

Die DSGVO fordert von Unternehmen, sich damit zu befassen, welche Daten sie sammeln, wie sie diese Daten nutzen und wie sie übermittelt werden. Dies wird auch als Data Mapping bezeichnet. Data Mapping ist auch für die Netzwerksicherheit unerlässlich: Wenn Sie nicht wissen, welche Daten Sie vorhalten und wo sie sich befinden, ist es unmöglich, sie zu schützen. Der erste Schritt erfordert Planung und die Bestimmung der IT-Systeme, auf denen die Daten abgelegt werden sollen. Fidelis kann die gesamte IT-Umgebung überwachen und jede Veränderung erfassen und einordnen. So können Unternehmen beispielsweise sehr schnell feststellen, ob Daten ausgeschleust wurden. Zudem leistet Fidelis auch Data Loss Prevention (DLP) und überprüft auch die Header und Footer von Datenpaketen. So schafft die Fidelis-Plattform Transparenz und gibt einen umfassenden Überblick über die Daten, die übertragen werden, sowie zurückliegende Ereignisse. Data Loss Prevention, die Abbildung der IT-Umgebung, die hohe Transparenz sowie das Network Playback unterstützen Unternehmen dabei, die Art der Daten zu identifizieren, die bei einer Sicherheitsverletzung ausgeschleust wurden. Sollte es sich um sensible Daten handeln, kann der Datendiebstahl abgeblockt oder zumindest gemeldet werden. So können Unternehmen weitere Schritte einleiten und Schutzmaßnahmen ergreifen bevor es zu einer Sicherheitsverletzung kommt.

Roland Messmer - Sales Director - Central Europe