Die DSGVO tritt am 25. Mai 2018 in Kraft. Unternehmen müssen die Eignung der implementierten Sicherheitsmaßnahmen nachweisen können. Kommen sie dem nicht nach, verlieren sie Zeit und Geld – und riskieren saftige Strafen.
Ohne risikobasierten Ansatz bei der Verarbeitung personenbezogener Daten werden europäische Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und können somit auch hohe Strafen kassieren. Was Unternehmen über DSGVO-Compliance wissen müssen, erklärt Akamai Technologies in vier Schritten.
Unternehmen müssen jetzt geeignete Sicherheitsmaßnahmen einführen – und diese im Falle einer Datenschutzverletzung nachweisen können. Dieser Hinweis, der auch im neuesten Akamai-Whitepaper Effektiver Schutz von Webanwendungen nachzulesen ist, zeigt, wie wichtig es für Unternehmen ist, ihre Systeme ausführlich zu analysieren, um Risikobereiche zu ermitteln und die Compliance zu gewährleisten. Welche Maßnahmen hierbei als „geeignet“ gelten, ist stückweit auch Auslegungssache, räumt Akamai ein.
Compliance: keine leichte Aufgabe
Das oben genannte Akamai-Whitepaper weist auf einen wichtigen Punkt hin: Wenn Unternehmen die Zuverlässigkeit ihrer risikobasierten Sicherheitsstrategien nachweisen müssen, ist das meist schwieriger als erwartet. Bei Behörden kommt schnell die Frage auf, wie risikobasiert der Ansatz eines Unternehmens ist, wenn dieses nicht auf neueste Technologien zurückgreift und sich lediglich auf das eigene Wissen über die schnelllebige Cyber-Bedrohungslandschaft verlässt.
Globale Unternehmen müssen außerdem lokale Compliance-Anforderungen erfüllen, die in jedem Land unterschiedlich sind und die Komplexität der Gewährleistung der Compliance erhöhen. Und wenn Länder ihre Datenschutzgesetze ändern, müssen globale Konzerne entsprechend reagieren. Zwar gibt es zwischen den verschiedenen Ländern Überschneidungen, aber durch die vielen feinen Abstufungen gestaltet es sich für die Unternehmen schwierig, die Einhaltung all dieser Verordnungen nachzuweisen.
Schritte zum Nachweis der DSGVO-Compliance
Was können Unternehmen jetzt tun? Akamai empfiehlt vier Schritte, wie Unternehmen im Zweifelsfall Datenschutzbehörden nachweisen können, dass sie einen ausreichenden risikobasierten Ansatz zum Schutz ihrer Webressourcen verfolgen:
1. Lernen Sie aus den Fehlern anderer
Wenn Verantwortliche bis zum ersten Angriff warten, bevor sie auf eine neue Cyber-Bedrohung reagieren, sinkt die Wahrscheinlichkeit einer erfolgreichen Verteidigung. Sicherheitsanbieter können IT-Bedrohungen analysieren und diese Informationen zum Schutz ihrer anderen Kunden nutzen, noch bevor dort ein Angriff auftritt.
2. Pflegen und dokumentieren Sie die Web-Application-Firewall (WAF)-Regeln
Bei einem Sicherheitsvorfall verlangen Datenschutzbehörden einen Nachweis über die Schritte, die zur Minimierung der Auswirkungen unternommen wurden. Bei Webressourcen hat eine effektive und regelmäßig aktualisierte Application Firewall Priorität, um auf die ständig neue Bedrohungslandschaft reagieren zu können.
3. Steuern Sie den Zugriff Dritter auf personenbezogene Daten
Heutzutage benötigen auch Drittanbieter Zugang zu Daten im Unternehmensnetzwerk. Dieser Zugriff kann jedoch sowohl die personenbezogenen Daten als auch die allgemeine Sicherheit gefährden. Deshalb benötigen Unternehmen ein System, das den Zugang zu den entsprechenden Netzwerken überwacht und die Risiken durch nicht autorisierten Zugriff minimiert. Damit können sie den Datenschutzbehörden Nachweise zu entsprechenden Maßnahmen erbringen.
4. Schaffen Sie einen Puffer zwischen Ihrem Netzwerk und der Bedrohung
Wenn sich die erste Verteidigungslinie eines Unternehmens erst am Netzwerkübergang befindet, sind Angriffe besonders gefährlich. Deshalb sollten Unternehmen einen Puffer, z. B. ein Content Delivery Network, zwischen ihrer eigenen Infrastruktur und den potenziellen Bedrohungen aufbauen. So werden Angriffe auf Ihre IT erkannt, bevor sie zum Problem werden und auch DDoS-Angriffen können frühzeitig abgewehrt werden.