Aktueller Channel Fokus:

IT-Security

Tipps für Unternehmen

Last-Minute-Maßnahmen zur DSGVO

| Autor: Heidemarie Schuster

Noch ist es nicht zu spät: Wie sich Unternehmen mit kleinen Maßnahmen noch auf die DSGVO vorbereiten können, weiß DataLocker.
Noch ist es nicht zu spät: Wie sich Unternehmen mit kleinen Maßnahmen noch auf die DSGVO vorbereiten können, weiß DataLocker. (Bild: Pixabay)

Der 25. Mai 2018, der Stichtag für die DSGVO, rückt immer näher. Unternehmen haben entweder die Weichen bereits gestellt und können sich beruhigt zurücklehnen – oder aber, die massiven Änderungen im Datenschutz wurden bisher mehr oder weniger bewusst ignoriert. Wie sich Unternehmen mit kleinen Maßnahmen noch auf die DSGVO vorbereiten können weiß der Security-Spezialist DataLocker.

Bereits seit Jahren warnen Spezialisten Unternehmen davor, die Umsetzung der DSGVO erst kurz vor dem Stichtag, also den 25. Mai 20218, zu beginnen. Doch lieber spät als nie, denn schließlich kann es für Firmen richtig teuer werden, wenn sie die Richtlinien nicht einhalten.

Laut dem Security-Spezialisten DataLocker lässt sich mit kleinen, aber gezielten Maßnahmen durchaus noch etwas retten. Zum Beispiel beim sicheren Einsatz externer Speichermedien. Konstantin Fröse, EMEA Account Executive bei DataLocker, nennt vier Ansatzpunkte für Unternehmen, die jetzt noch an ihrer DSGVO-Compliance arbeiten möchten:

  • USB-Speicher: Mit der Voraussetzung, dass ohnehin nur Hardware-verschlüsselte USB-Sticks und -Festplatten eingesetzt werden, können bereits die geeigneten technischen Maßnahmen (DSGVO Art. 32) erfüllt werden. Wichtig ist jedoch, dass es sich um eine echte Hardware-Verschlüsselung handelt. Diese bietet gegenüber anderen Verschlüsselungsmethoden unterschiedliche Vorteile in Bezug auf Leistung, Benutzerfreundlichkeit und Schutz vor Kompromittierung. Das wichtigste Argument gegenüber einer Softwarelösung ist jedoch, dass die Verschlüsselung nicht umgangen oder entfernt werden kann. Denn das kann bei vielen Software-basierten Lösungen relativ schnell passieren – mit dem Resultat, dass die USB-Speicher ganz normal weiter verwendet werden, jedoch ohne Schutz und Kontrolle und außerhalb der ursprünglich geplanten Compliance.
  • Organisatorische Maßnahmen: Werden diese USB-Speicher nun noch über eine USB-Device-Managementlösung zentral verwaltet, können in diesem Bereich auch die in der DSGVO definierten organisatorischen Maßnahmen erbracht werden (ebenfalls Art. 32). Durch umfangreiche Sicherheitsrichtlinien kann sichergestellt werden, dass eine Nutzung der Inhalte auf den USB-Speichern nur unter bestimmten Voraussetzungen möglich ist. Werden diese Voraussetzungen nicht erfüllt, ist kein Zugriff auf die Daten möglich. So können beispielsweise Passwortregeln konfiguriert werden, die festlegen, wie komplex ein Passwort sein muss oder wie lange es gültig sein darf, bevor es erneuert werden muss. Es kann jedoch auch definiert werden, in welchen IP-Adressbereichen oder an welchen „vertrauenswürdigen“ Systemen der USB-Speicher überhaupt genutzt werden darf. Zudem kann optional ein eigener Anti-Malware-Scanner zugeschaltet werden, der direkt in die Firmware des USB-Speichers integriert ist und damit weder absichtlich noch unabsichtlich deaktiviert oder entfernt werden kann. Das ist besonders dann von Bedeutung, wenn die USB-Speicher nicht nur an firmeneigenen Systemen eingesetzt werden, bei denen man stets die Kontrolle über die Aktualität der eingesetzten Anti-Malware-Lösung hat.
  • Nachweisbarkeit der getroffenen Maßnahmen für das DSGVO-Verfahrensverzeichnis: Die Basis einer USB-Device-Managementlösung beziehungsweise eines umfassenden Gerätemanagements ist die Registrierung aller sicheren USB-Laufwerke. Dabei wird jedes Laufwerk mit wichtigen Daten wie Typenbezeichnung, Seriennummer und Firmware-Stand erfasst. Zudem ist ersichtlich, welchen Mitarbeitern diese sicheren USB-Speicher ausgehändigt wurden. Hieraus kann eine Liste exportiert werden, die sich als Anlage zum DSGVO Verfahrensverzeichnis (Art. 30) eignet.
  • Meldung bei der Aufsichtsbehörde / Benachrichtigung der betroffenen Personen: Tritt der „Worst Case“ ein und ein USB-Laufwerk geht wirklich einmal verloren oder wird gestohlen, so können sowohl der AES-Schlüssel in der Hardware-Verschlüsselungseinheit als auch die auf dem Laufwerk befindlichen Daten aus der Ferne gelöscht werden. Dies wird in einem Compliance-Report dokumentiert, der ebenfalls exportiert und als Anlage zur Meldung bei der Aufsichtsbehörde (DSGVO Art. 33) und bei den betroffenen Personen (DSGVO Art 34) verwendet werden kann. Betroffene Personen könnten in diesem Fall auch Kunden oder Klienten sein, die ihrem Dienstleister ihre persönlichen Daten anvertraut haben und denen nun nachgewiesen werden kann, dass kein Grund zur Sorge besteht, da kein Datenverlust eingetreten ist.

„Es sind jetzt nur noch wenige Wochen bis zum endgültigen Inkrafttreten der Datenschutz-Grundverordnung. Auch wenn bisher einiges versäumt wurde, ist es aber noch nicht zu spät, zumindest wichtige Teilbereiche umzusetzen. Wir empfehlen Unternehmen in diesem Fall, sich auf konkret und zeitnah lösbare Aufgaben zu konzentrieren, die über die Abbildung der DSGVO-Anforderungen hinaus gleichzeitig auch einen zusätzlichen Sicherheitsgewinn darstellen“, erklärt Fröse.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45278671 / Recht)