Funktionsweise des eperi Gateway

DSGVO mithilfe von eperi-Tools effektiv umsetzen

Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Yasser Eissa, IBM, über IBM-Cloud, Datenschutz und DSGVO

[Videochat] Yasser Eissa über IBM-Cloud, DSGVO und Datensicherheit

Ich durfte wieder einmal in den heiligen Hallen des von mir hoch geschätzten IBM Watson IoT Tower sein. Gefolgt bin ich dabei dem Ruf der Presseabteilung von IBM München, die eingeladen hatte zu einem Pressegespräch. Thema desselben: „Sicher und flexibel – die IBM-Cloud ist fit für 2018“.

Anwesend waren neben einigen Kollegen von der Presse Yasser Eissa von IBM und Patrick Palacin vom Startup-Unternehmen TeleClinic auf München. Mit beiden durfte ich im Anschluss an die sehr lebendige Diskussionsrunde ein Videointerview führen, das mir die Gelegenheit bot, jeweils drei Fragen zu stellen.

httpss://twitter.com/mhuelskoetter/status/956104942611202049

Das Gespräch mit Yasser Eissa war geprägt vom Thema „Sicherheit & Cloud“. Genauer gesagt drehte sich unser Videochat um die Fragen, …

… was der EU Cloud Code of Conduct für Europa bedeutet- und damit auch für IBM

Da gerade in Europa das Thema Datenschutz und Datensicherheit personenbezogener Daten von enormer Wichtigkeit ist, hat es sich die IBM nicht nehmen lassen, den EU Cloud Code of Conduct (EU-CCoC) über einen Zeitraum von etwa vier Jahren aktiv mitzugestalten. Seit Februar 2017 ist diese vornehmlich für Cloud Service Provider gültige Vereinbarung in Kraft getreten. Sie regelt vor allem, wie Datensicherheit und Datenschutz innerhalb der Cloud-Umgebung des jeweiligen Anbieters sichergestellt werden soll – speziell im Hinblick auf die ab 25. Mai 2018 geltenden DSGVO.

Da mit dem EU-CCoC eine Zertifizierung einher geht (die IBM bereits vorweisen kann), können Cloud-Kunden künftig sicherstellen, dass der von ihnen infrage kommende bzw. gewählte Anbieter sämtliche Maßnahmen ergreift, die die notwendigen Sicherheitsstandards im Sinne der EU-Richtlinien gewährleisten kann.

… wie IBM die Cloud-Daten ihrer Kunden vor Zugriffen von außen schützt

Hierbei stellte Herr Eissa erst einmal klar: Die Daten der IBM-Kunden gehören den Kunden selbst, und sonst niemandem! Darüber hinaus gewährleistet IBM, dass die Daten ihrer Kunden IBM Cloud-Rechenzentren in Europa ohne deren Zustimmung nicht verlassen. Zudem hat IBM im Dezember 2017 angekündigt, dass auf das IBM Cloud-Rechenzentren in Frankfurt künftig von außerhalb der EU nicht mehr zugegriffen werden kann. Damit ist der Datenzugriff auf IBM-Mitarbeiter beschränkt, die Daten sind außerdem komplett verschlüsselt.

… wie IBM seine Kunden bei der Umsetzung der zahlreichen DSGVO-Aufgaben unterstützt

Selbstverständlich wird die IBM-Cloud „DSGVO-ready“ sein – alleine schon wegen der Zertifizierung gemäß des EU Cloud Code of Conduct. Darüber hinaus können sich IBM-Kunden in Sachen DSGVO von IBM und den zuständigen Beratungsteams komplett unterstützen lassen. Aber auch erweiternde Sicherheitsmaßnahmen können mithilfe von IBM beim Kunden implementiert und installiert werden. Und diese Angebote werden laut Herrn Eissa bereits von zahlreichen Kunden in Anspruch genommen.

Die Antworten dieser drei Fragen befinden sich auch im nachfolgenden Video. Na dann: Film ab!

So funktioniert Boxcryptor

So hilft Boxcryptor bei der Umsetzung der DSGVO

In Zeiten der Datenschutzgrundverordnung, die eine europäische Harmonisierung des Datenschutzes erreichen soll, gibt es derzeit viele verunsicherte Unternehmen, die sich unter anderem die Frage stellen:

„Kann bzw. darf ich ab dem 25. Mail 2018 aus Gründen des DSGVO-konformen Datenschutzes überhaupt noch Dropbox, Google Drive und Co. einsetzen?“

Diese Frage ist unter den verschärften Datenschutzbestimmungen, welche die DSGVO vorsieht, sehr berechtigt. Denn nicht erst seit der emsigen Betriebsamkeit rund um dieses Thema fragen sich viele Unternehmen zurecht, ob eine Datensicherung in einer Cloud-Umgebung wie der Dropbox den strengen Vorschriften und Vorgaben der europäischen Gesetzeshüter stand hält.

DSGVO und Public Cloud ist kein Widerspruch – mit dem richtigen Tool

Die gute Nachricht: Ja, das Ablegen und Austauschen sensibler, personenbezogener Daten ist in den allermeisten Fällen auch innerhalb von Dropbox und Co. möglich, wenn Unternehmen die richtigen Maßnahmen dazu ergreifen. Sprich, wenn sie es schaffen, die Daten innerhalb solch einer Public Cloud hochverschlüsselt abzulegen, so dass weder Unbefugte noch der Cloud-Anbieter selbst auf diese Daten zugreifen können. Dieser Beitrag zeigt, wie dies mithilfe des kleinen, aber sehr leistungsfähigen Verschlüsselungswerkzeugs Boxcryptor geschieht. Dabei sehe ich mir speziell die Business-Lizenzvariante an, die sich vor allem an Freiberufler wie mich richtet.

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen - für 72 Euro pro

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen – für 72 Euro pro Jahr

Um die Entwicklung und Vermarktung von Boxcryptor kümmert sich das Startup-Unternehmen Secomba. Mit diesem Tool lassen sich mit relativ geringem Aufwand die eigene Public-Cloud-Daten vor unbefugten Zugriffen absichern. Hierzu kommen zwei Verschlüsselungsverfahren zum Einsatz, nämlich AES 256 und RSA. Beiden ist eine extrem hohe Sicherheit gemein, sodass Nutzer von Boxcryptor ihre Daten guten Gewissens in einem geschützten Cloud-Bereich speichern können.

So funktioniert Boxcryptor technisch

Um es ganz klar zu machen: Boxcryptor verschlüsselt die lokalen Cloud-Daten, also diejenigen, die auf dem Rechner innerhalb der Cloud-Ansicht oder auf einem mobilen Gerät abgelegt werden. Dabei wird nicht der Ordner selbst, sondern jede einzelne Datei verschlüsselt, und das in dem Moment, wenn sie in den Cloud-Ordner kopiert wird. Das bedeutet auch, dass sämtliche Daten, die in der Cloud-Umgebung wie der Dropbox landen, hochverschlüsselt dort ankommen und damit vor dem Zugriff Unbefugter sicher sind.

So funktioniert Boxcryptor

Boxcryptor optimal nutzen

Sobald man die Boxcryptor-Software installiert hat, kann man diverse Voreinstellungen vornehmen. Dazu gehört, dass man die infrage kommenden Cloud-Dienste bestimmt, die man nutzt. Zudem kann man die Verschlüsselung der Dateinamen aktivieren und kann obendrein, falls man wie ich ein MacBook Pro mit Touch-ID besitzt, den Fingerabdruckscanner samt Kennwort als zusätzlichen Schutz einrichten. Schön an der Boxcryptor Business Edition auch die Möglichkeit, diverse Gruppen mit unterschiedlichen Zugriffsrechten festzulegen.

Erster Schritt: Verschlüsselung aktivieren und den Schutz der Daten gegebenenfalls zusätzlich erhöhen

Erster Schritt: Verschlüsselung des Dateinamens aktivieren und damit den Schutz der Daten zusätzlich erhöhen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Boxcryptor zum ersten Mal einrichten

Sobald diese vorbereitenden Maßnahmen abgeschlossen sind, steht das Verschlüsseln der Daten auf den zugehörigen Cloud-Laufwerken auf der Agenda. So kann man entweder einzelne Dateien per rechter Maustaste verschlüsseln oder einzelne Ordner oder gleich die gesamte Cloud-Umgebung. Je nachdem, ob alle oder nur bestimmte Daten einer besonderen Geheimhaltung unterliegen. Ganz im Sinne und Geiste der DSGVO.

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt – ganz im Sinne der DSGVO

Disclaimer: Diesen Beitrag habe ich im Auftrag der Fa. Secomba GmbH geschrieben, die mir bei der inhaltlichen Ausgestaltung freie Hand gelassen hat.

CAST Analysetool Enlighten

DSGVO: Software-Hersteller sollten wissen, wie ihre Applikationen mit Daten umgehen

Ende Mai 2018 beginnt in Sachen Datenschutz eine neue Zeitrechnung. Dann tritt die europaweite, einheitliche Regelung namens DSGVO endgültig in Kraft. Diese bestimmt sehr genau, wie personenbezogene Daten verarbeitet, gespeichert und gelöscht werden müssen. Damit kommen auch auf die Anbieter von Anwendungssoftware zahlreiche Aufgaben zu, die sie bis spätestens 25. Mai 2018 erledigt haben müssen. Doch welche Regelungen umfasst die DSGVO eigentlich, wenn es um den Schutz personenbezogener Daten geht? Nun, in diesem Kontext werden fünf wesentliche Aspekte genannt:

  1. Datenübertragung
  2. Datenlöschung
  3. Meldepflicht
  4. angepasster Datenschutz
  5. technik-bezogener Datenschutz

Diese fünf DSGVO-Prinzipien haben für Anbieter von Software-Anwendungen weitreichende Konsequenzen, die sie bei der Bewertung ihrer Applikationen unbedingt berücksichtigen müssen.

So bedeutet Prinzip #1 („Datenübertragung“), dass personenbezogene Daten sehr einfach und komfortabel von einem Anbieter auf einen anderen übertragen werden können. Dies hat zur Folge, dass stets klar sein muss, an welchen Stellen eine Applikation Daten speichert und wie man diese mit einfachen Methoden zusammenfassen und speichern kann.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich Daten transferieren? Wie lassen sich mehrere Datensätze eines Anwenders zu einem einzigen Datensatz zusammenfassen?  

Prinzip #2 („Datenlöschung“) wiederum besagt, dass Anwender jederzeit das Löschen ihrer Daten verlangen können, sobald die Legitimierung für das Speichern ihrer Daten entfällt. Daraus ergibt sich die Konsequenz, dass sämtliche Daten eines bestimmten Nutzers innerhalb der Anwendung gelöscht werden müssen. Das betrifft alle zentral und dezentral gespeicherte Daten.

Software-Bewertung: An welchen Stellen werden Daten gespeichert? Wie lassen sich diese rückstandsfrei löschen? Wie kann das am besten mit wenigen Handgriffen geschehen?

Das dritte Prinzip („Meldepflicht“) hat weitreichende Folgen für sämtliche Unternehmen, die in den Geltungsbereich der DSGVO fallen (und das sind so ziemlich alle). Es besagt nämlich, dass eine Firma, die Opfer eines Hackerangriffs wurde, (in dessen Zuge personengezogene Daten entwendet wurden) diesen Datenklau sofort der nationalen Aufsichtsbehörde melden müssen.

Software-Bewertung: Wie lässt sich feststellen, ob Daten abhanden gekommen sind? Welche Daten sind besonders schützenswürdig? Wie anfällig ist die Software-Applikation gegenüber möglichen Hackerangriffen? An welchen Stellen der Anwendung ist das Risiko eines Datenklaus besonders hoch?

Prinzip Nummer 4 („angepasster Datenschutz“) besagt, dass Datenschutz nicht mehr generell betrachtet werden kann, sondern den jeweiligen Risiken angepasst werden muss, denen ein Unternehmen ausgesetzt ist. Das soll sicherstellen, dass Firmen beispielsweise eine Risikobewertung ihrer gesamten IT-Infrastruktur vornehmen, um klarzustellen, dass ihnen diese Risiken bewusst sind und wie sie diese zu minimieren bzw. auszuschließen gedenken.

Software-Bewertung: Wie sicher sind die Daten innerhalb einer Anwendung? Wie hoch ist das Risiko eines Datenstörfalls? Wie lassen sich vorhandene Risiken reduzieren? An welchen Schnittstellen bestehen besondere Risiken?

Das Prinzip #5 („technik-bezogener Datenschutz“) schließlich wendet sich direkt an Software-Anbieter und -Hersteller, indem es die Einhaltung bestimmter Grundsätze fordert. So sollen Anwendungsprogramme künftig personenbezogene Daten bestmöglich schützen und diese von Anfang an nur dann verarbeiten bzw. speichern, wenn sich das überhaupt nicht vermeiden lässt. Diese zwei Ansätze sind unter den Begriffen „Privacy by Design“ und „Privacy by Default“ bekannt.

Software-Bewertung: Wie lässt sich sicherstellen, dass Software von Anfang den hohen Datenschutzanforderungen der DSGVO entspricht? Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz? 

CAST-Analysesoftware hilft beim Bewerten der eigenen Anwendungssoftware

Bei der Beantwortung all dieser und weiterer Fragen rund um die DSGVO helfen die Analysetools von CAST, indem die Anwendungssoftware einmal vollständig auf Schwachstellen und mögliche Risiken untersucht wird. Anhand dieser Bewertung kann der Anbieter seiner Anwendungssoftware einen exakten Maßnahmenkatalog erstellen, wie er die identifizieren Sollbruchstellen eliminieren kann. Denn nur dann können Software-Hersteller sicher sein, dass ihre Produkte den Anforderungen der DSGVO entsprechen.

So lässt sich beispielsweise mithilfe des Analysetools CAST Enlighten identifizieren, wo und wie Daten verarbeitet werden. Und das mittels einer durchgängigen Visualisierung aller Transaktionen einer Anwendungen. Aber auch das Anlegen eines Registers bzw. einer Matrix aller schützenswerter Daten ist mit den CAST mühelos möglich.

CAST Analysetool Enlighten

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

 

CAST Software - Dashboard-Ansicht

Darum sind CAST-Analysetools echte DSVGO-Helfer

Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:

  • Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
  • Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
  • Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.

Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.

Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen

Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.

CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.

Zuverlässigkeit von Anwendungen überprüfen

Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.

CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

OMG/CISQ-Indikatoren machen CAST-Analysen so aussagekräftig

Datenschutz „by Design“ und „by Default“ sicherstellen

Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.

CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.

Risikoeinschätzung selber vornehmen

Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.

CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.

Der holistische Analyseansatz von CAST

Der holistische Analyseansatz von CAST

Dokumentationspflicht von Anfang an

Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.

CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

DSGVO-Studie: Lehrreiches IDC-Event zum Thema Datenschutz

Eigentlich wollte ich Freitag Morgen mit dem werten Karl Fröhlich von speicherguide.de via Skype ein Treffen vereinbaren. Am Ende des kurzen Chats stand die Einsicht, dass ich mich spontan ins Münchner Hotel „Le Meridien“ begeben sollte. Dort fand nämlich eine IDC-Veranstaltung zum Thema EU-DSGVO statt. Ein sehr spannendes Thema, in dessen Kontext IDC eine aktuelle Studie vorstellen wollte.

httpss://twitter.com/mhuelskoetter/status/918752209373925376

Und ich habe es nicht bereut, alleine schon wegen des sehr informativen und interaktiven Charakters der Veranstaltung. So wurden zunächst die Ergebnisse der Auguststudie von IDC zum Thema EU-DSGVO vorgestellt, anschließend nahmen drei Vertreter namhafter Firmen auf Hockern Platz, um sich den Fragen der IDC-Moderatorin und der anwesenden KollegInnen zu stellen.

Erkenntnis: Viele Firmen sind in Sachen DSGVO deutlich in Verzug

Das Gute an solch einer aktuellen Studie (Erhebungszeitraum: August 2017) ist deren Relevanz, denn man weiß sofort: Wenn im Rahmen der Umfrage 44 Prozent aller Probanden angaben, auf die EU-DSGVO noch nicht vorbereitet zu sein, dann wirft das ein eher erschütterndes Bild auf den aktuellen Status Quo der befragten Firmen. Und das waren genau 251 Unternehmen mit mehr als 20 Mitarbeitern, über alle Branchen hinweg.

httpss://twitter.com/mhuelskoetter/status/918753041150631936

Damit befinden sich 110 Unternehmen rund neun Monate im Verzug, was das Ergreifen der notwendigen Maßnahmen in Sachen Datenschutz betrifft. Dabei wird bereits seit Mai 2016 eine zweijährige Übergangsfrist gewährt, und trotzdem sind gerade einmal 15 Prozent (oder 38 von 251 der befragten Unternehmen) zu 100 Prozent auf die neue Datenschutzgrundverordnung vorbereitet.

Doch was ist für das hundertprozentige Erfüllen aller DSGVO-Kriterien überhaupt erforderlich? Nun, das betrifft vor allem vier Bereiche:

Organisation: Bestellung eines Datenschutzbeauftragten

Prozesse: Benachrichtigung bei Datenschutzverletzungen innerhalb von 72 Stunden

Technik: Berücksichtigung von „Privacy by Design“ und „Privacy by Default“

Recht: Gesonderte Einwilligung pro Verwendungszweck

Sieht man sich dazu die Ergebnisse der Studie an, fallen vor allem folgende Dinge auf:

„Datenschutzbeauftragter?! Damit warten wir noch ein bisschen…“

Gerade einmal 17 Prozent aller befragten Unternehmen beschäftigen (Stand heute) einen externen bzw. internen Datenschutzbeauftragten. Und das, obwohl sie allesamt zu der Bestellung eines Verantwortlichen verpflichtet wären, was sich aus der Größe der Studienteilnehmer ergibt.

httpss://twitter.com/mhuelskoetter/status/918755221865730048

„Stand der Technik?! Nun, wo sollen wir denn da anfangen?!“

Die Vielzahl an technischen Voraussetzungen in Sachen DSGVO ist derart unüberschaubar, dass wohl alleine wegen dieser enormen Komplexität zahlreiche Unternehmen wie das Kaninchen vor der Schlange stehen und mit weit geöffneten Augen starr vor Schreck ob dieser Herausforderungen im Nichtstun verharren.

httpss://twitter.com/mhuelskoetter/status/918760285170749440

„Wie sollen wir all diese notwendigen Maßnahmen umsetzen können?!“

Und sieht man sich die folgende Folie an, bekommt man eine leise Ahnung davon, warum so viele Unternehmen im DSGVO-Zeitplan ein Dreiviertel Jahr und mehr hinterher hinken. So gaben die Befragten an, vor allem hinsichtlich des Umbaus der IT-Systeme, hinsichtlich der Klassifizierung von Daten und bei der Schulung von Mitarbeitern an ihre Grenzen zu stoßen.

httpss://twitter.com/mhuelskoetter/status/918762493253750784

„Verschlüsselung?! Ja, da sind wir gerade dran…“

Doch die Studie offenbart noch weitere Schwächen in der aktuellen Umsetzung vieler Unternehmen in Sachen DSGVO. So sind zahlreiche Firmen beim Thema „Privacy by Design“ und „Privacy by Default“ deutlich hinter dem Zeitplan zurück. Es gaben mehr als 30 Prozent an, ihre Daten erst in den nächsten 12 Monaten DSGVO-konform verschlüsseln zu können, und das sowohl auf Datenbank- als auch auf Speicherebene. Zudem stellt die zweckgebundene Datenverarbeitung viele Unternehmen vor Probleme: Hier sind es fast die Hälfte, die noch keine entsprechenden Maßnahmen ergriffen haben.

Zahlreiche Rückstände in Sachen DSGVO

Exkurs: „Privacy by Design“ und „Privacy by Default“

Zwei Schlagworte, eine Forderung: Im Rahmen des europäischen Datenschutzes, der in der DSGVO geregelt ist, müssen alle betroffenen Firmen dafür sorgen, dass die zum Einsatz kommende Hard- und Software den hohen datenschutzrechtlichen Anforderungen genügt. Das bedeutet konkret, das die Unternehmenstechnik zum einen die Grundsätze der DSGVO vollständig unterstützen muss („by Design“) und zum anderen datenschutzkonforme Grundeinstellungen aufweist („by Default“).

Teil zwei der IDC-Veranstaltung: Fragen und Antworten

Im Anschluss an die Vorstellung der Studie wurden fünf Hocker aufgestellt, auf denen drei Vertreter namhafter Unternehmen Platz nahmen, die allesamt eine Menge zum Thema (Daten)Sicherheit zu sagen haben. Namentlich waren das Hans-Peter Bauer von McAfee, Tommy Grosche von Fortinet und Milad Aslaner von Microsoft. Ergänzt wurde die Runde von Matthias Zacher als IDC-Vertreter und Lynn-Kristin Thorenz, ebenfalls IDC, die für die Moderation zuständig war.

httpss://twitter.com/mhuelskoetter/status/918765799317307392

httpss://twitter.com/mhuelskoetter/status/918773663494737920