Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung (DSGVO) ist das Datenschutzgesetz der Europäischen Union (EU). Es zielt darauf ab, die Privatsphäre von EU-Bürgern zu schützen. Das Gesetz ist seit Mai 2018 in Kraft und schreibt allen Unternehmen, die personenbezogene aus der EU verarbeiten, ein einheitliches Regelwerk vor – unabhängig von ihrem Standort.

Da die DSGVO für alle Unternehmen gilt, die personenbezogene Daten aus der EU verarbeiten – auch wenn ihr Unternehmenssitz sich anderswo auf der Welt befindet –, ist es wichtig, dass alle Unternehmen die in der Verordnung festgelegten Verpflichtungen erfüllen und deren Einhaltung bewerten.

Bei Nichteinhaltung ist mit schwerwiegenden Konsequenzen zu rechnen: Die Geldbußen belaufen sich auf bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes der Muttergesellschaft, je nachdem, welcher Betrag größer ist.

Welche Daten müssen laut der DSGVO geschützt werden?

Als personenbezogene Daten gelten alle Informationen, mit denen eine Person identifiziert werden kann. Nachfolgend finden Sie einige Beispiele:

• Namen6yt
• Identifikationsnummern
• Standortdaten
• Identifizierbare Merkmale, ob physischer, physiologischer, genetischer, kommerzieller, kultureller oder sozialer Art
• Kontaktangaben wie Telefonnummern und Adressen
• Kreditkartennummern und Bankdaten
• Personal- oder Kundennummern
• Kontodaten
• Fahrzeugzulassungen und Kennzeichen

Neben dem oben erwähnten Schutz allgemeiner personenbezogener Daten fordert die DSGVO auch einen besseren Schutz sensibler personenbezogener Daten. Dazu gehören unter anderem:

• genetische, biometrische und Gesundheitsdaten
• Daten zur rassischen und ethnischen Herkunft
• Daten zur politischen Zugehörigkeit
• Daten zur religiösen Zugehörigkeit oder weltanschaulichen Überzeugungen
• Daten zu Gewerkschaftsmitgliedschaften

Auch wenn die DSGVO sich konkret auf personenbezogene Daten aus der EU bezieht, entscheiden sich viele Unternehmen dafür, die Anforderungen auf alle Kunden anzuwenden, unabhängig von deren Standort. Der Grund dafür ist, dass es unpraktisch, komplex und kostspielig sein kann, zwei oder mehr Datenschutzrichtlinien und die dafür erforderliche Infrastruktur aufrechtzuerhalten. Daher profitieren auch viele Kunden, die außerhalb der EU leben, von der Sicherheit und dem Schutz der DSGVO.

Was sagt die DSGVO zum Thema Cybersicherheit?

Datenschutz ist ein zentraler Aspekt, sowohl in Bezug auf die Cybersicherheit als auch die Einhaltung der DSGVO.

In der DSGVO sind sechs konkrete Grundsätze festgelegt, die bei der Verarbeitung personenbezogener Daten zu beachten sind:

1. Rechtmäßigkeit, Fairness und Transparenz
2. Zweckbindung
3. Datenminimierung
4. Begrenzung der Aufbewahrung
5. Integrität und Vertraulichkeit
6. Übergreifende Verantwortung

In Bezug auf die Verarbeitung personenbezogener Daten aus der EU bietet die DSGVO Unternehmen konkrete Richtlinien. Bei der Wahrung der Konformität müssen Unternehmen sich jedoch auf ihr eigenes Urteilsvermögen verlassen oder Experten konsultieren.

Beispielsweise heißt es in Artikel 5(1)(f), dass Unternehmen „personenbezogene Daten unter Berücksichtigung des aktuellen Stands der Technik in einer Weise verarbeiten müssen, die eine angemessene Sicherheit gewährleistet, und dass sie geeignete technische und organisatorische Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.“

Für Unternehmen ergeben sich daraus verschiedene wichtige und folgenreiche Punkte:

• Was bedeutet „angemessene Sicherheit personenbezogener Daten“?
• Was sind „angemessene technische und organisatorische Maßnahmen“?
• Was ist „ein dem Risiko angemessenes Sicherheitsniveau“?
• Da es sich bei Cyberrisiken um ein dynamisches Konzept handelt, stellt sich die Frage: Wie kann das Unternehmen sicherstellen, dass die verwendeten Tools, Richtlinien und Verfahren ausreichende Abdeckung für anhaltende Compliance bieten?

Die DSGVO umfasst verschiedene weitere wichtige Punkte, die sich auf die Compliance eines Unternehmens auswirken. Beispielsweise muss jede Datenkompromittierung, die ein Risiko für Einzelpersonen birgt, gemeldet werden, und zwar innerhalb von 72 Stunden, nachdem das Unternehmen die Kompromittierung erkannt hat. Dies verdeutlicht, wie wichtig es ist, dass ein detaillierter Plan zur Reaktion auf Zwischenfälle vorliegt und dass es Systeme gibt, mit denen das Unternehmen einen Vorfall schnell bewerten und die nötigen Informationen zur Weitergabe an die zuständigen Behörden sammeln kann.

Welche Sicherheitskontrollen sollten Sie erwägen?

Die DSGVO basiert größtenteils auf der Bewertung des konkreten Sicherheitsniveaus eines Unternehmens und der Einführung von Maßnahmen, die dem Risiko „angemessen“ sind. Entsprechend ist in der DSGVO keine Standard-Sicherheitslösung dargelegt.

Allerdings gibt es verschiedene Best Practices, die befolgt werden sollten, um das Risiko einzuschätzen und das Unternehmen sowohl vor Datenkompromittierungen als auch vor den möglichen rechtlichen Konsequenzen im Zusammenhang mit Verstößen gegen die DSGVO zu schützen.

Implementieren zuverlässiger Tools und Richtlinien zur Identitäts- und Zugriffsverwaltung (IAM)

Einer der zentralen Grundsätze der DSGVO ist, dass die von einem Unternehmen erfassten personenbezogenen Daten nur Mitarbeitern zugänglich sein sollten, bei denen aufgrund ihrer täglichen beruflichen Aufgaben ein konkreter und wichtiger Bedarf für den Zugriff auf diese Daten besteht. So wird sichergestellt, dass der Zugriff auf personenbezogene Daten und sensible personenbezogene Daten auf möglichst wenige Personen beschränkt ist.

Identitäts- und Zugriffsverwaltung (IAM) ist ein Framework, mit dem das IT-Team die Identität eines Benutzers und seine Zugriffsrechte verifizieren kann. IAM ist im Prinzip auf jedes System, Netzwerk oder Asset anwendbar, aber im Zusammenhang mit der DSGVO liegt der Fokus auf dem Datenzugriff.

Es verschiedene Strategien für sicheren Zugriff, die Unternehmen im Rahmen der Identitäts- und Zugriffsverwaltung wählen können, darunter:

• Zero Trust: Ein Sicherheits-Framework, in dem alle Benutzer – innerhalb oder außerhalb des Unternehmensnetzwerks – authentifiziert, autorisiert und fortwährend auf ihre Sicherheitskonfiguration und -position hin validiert werden müssen, bevor ein Anwendungs- und Datenzugriff erlaubt oder bestätigt wird.
• Least-Privilege-Prinzip (Principle of Least Privilege, POLP): Ein Konzept und Verfahren zur Gewährleistung der Computersicherheit, bei dem Benutzern nur die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen. Mit POLP wird sichergestellt, dass nur autorisierte Benutzer, deren Identität verifiziert wurde, über die Berechtigungen zum Ausführen verschiedener Tätigkeiten innerhalb bestimmter Systeme, Anwendungen, Daten und anderen Ressourcen verfügen.
• Multifaktor-Authentifizierung (MFA): Eine Sicherheitsfunktion, die Benutzern erst Zugriff gewährt, nachdem sie ihre Identität mit einer oder mehreren Methoden zusätzlich zum Benutzernamen und Kennwort bestätigt haben. Zu diesen Methoden gehören zum Beispiel Sicherheitscodes, die per SMS oder E-Mail verschickt werden, Sicherheitstoken einer Authentifizierungs-App oder biometrische Identifizierungsmerkmale.

Entwickeln und Implementieren eines Schulungsprogramms zum Thema Cybersicherheit, inklusive Schulung zum Datenschutz

Der Fokus der DSGVO liegt darauf, Daten vor Risiken jeglicher Art zu schützen. Dies kann die Cybersicherheitsverfahren und -tools umfassen, die Daten sichern und vor externen Kompromittierungen schützen, sowie die Maßnahmen und Richtlinien, mit deren Hilfe sichergestellt wird, dass Daten intern angemessen von Mitarbeitern gehandhabt werden.

Cyberkriminelle nutzen verschiedene Methoden, um in ein Unternehmen einzudringen. Eine der häufigsten und oft auch einfachsten Methoden besteht darin, Mitarbeiter durch koordinierte Phishing-Angriffe oder andere Social-Engineering-Techniken ins Visier zu nehmen. Um dieses Risiko zu minimieren, müssen Unternehmen ein umfassendes Schulungsprogramm zur Cybersicherheit für ihre Mitarbeitenden entwickeln. Ein solches Programm klärt Mitarbeiter über typische Sicherheitsrisiken auf, fördert verantwortungsvolles Online-Verhalten und zeigt, welche Maßnahmen bei einem möglichen Angriff zu ergreifen sind.

Darüber hinaus sollten Mitarbeiter, die Zugang zu sensiblen personenbezogenen Daten haben, eine spezielle Schulung zum Thema Datenschutz absolvieren, damit sie die nötigen Schritte zum Schutz und zur Sicherung dieser Daten ergreifen.

Implementieren einer umfassenden Lösung zur Vermeidung von Datenverlusten

Datenverlustprävention (Data Loss Prevention, DLP) ist Teil der allgemeinen Sicherheitsstrategie von Unternehmen. Bei DLP liegt der Fokus darauf, den Verlust, die Preisgabe oder den Missbrauch von Daten durch Kompromittierungen, Exfiltration und unbefugten Zugriff zu erkennen und zu vermeiden.

DLP ermöglicht es Unternehmen auch, sensible personenbezogene Daten zu identifizieren und klassifizieren und sicherzustellen, dass die Datenrichtlinien des Unternehmens den relevanten Bestimmungen entsprechen, darunter die DSGVO. Eine ordnungsgemäß gestaltete und konfigurierte DLP-Lösung vereinfacht die Berichterstellung und somit die Erfüllung der geltenden Compliance- und Audit-Vorgaben.

Zusätzlich zur Identifizierung und Klassifizierung von sensiblen personenbezogenen Daten können einige DLP-Lösungen auch nachverfolgen, wann der Datenzugriff erfolgt ist und wann die Daten geteilt oder heruntergeladen wurden. Ebenso können die betroffenen Teammitglieder benachrichtigt werden.

Aktivieren von Datenobfuskationstechniken wie Pseudonymisierung und Anonymisierung mithilfe von DLP

Eine weitere Komponente von DLP ist der Schutz von Daten durch Obfuskationstechniken.

Datenobfuskation ist der Prozess der Verschleierung vertraulicher oder sensibler Daten, um diese vor unbefugtem Zugriff zu schützen. Es gibt unter anderem folgende Datenobfuskationstaktiken:

• Datenmaskierung: Datenmaskierung bzw. Datenanonymisierung ist ein Datenobfuskationsverfahren, bei dem vertrauliche Daten wie Verschlüsselungsschlüssel, personenbezogene Daten oder Authentifizierungstoken und Anmeldeinformationen in protokollierten Nachrichten geschwärzt werden. Bei der Datenmaskierung werden die Datenwerte, aber nicht das Format der maskierten Daten verändert.
• Pseudonymisierung: Die Datenpseudonymisierung ist ein Verfahren zur Datenobfuskation, bei dem Unternehmen einen Datensatz unkenntlich machen, indem sie personenbezogene Informationen durch einen fiktiven Eintrag oder eine Pseudonym ersetzen.
• Verschlüsselung: Bei der Datenverschlüsselung werden Daten geschützt, indem Klartext in kodierte Informationen umgewandelt wird, den sogenannten Geheimtext. Dieser ist nur durch Dekodierung mit dem passenden Verschlüsselungsschlüssel zugänglich.
• Tokenisierung: Bei der Datentokenisierung werden vertrauliche Daten durch einen anderen Wert, ein sogenanntes Token, ersetzt, das keinen eigenen Wert hat und nichts bedeutet. Daten werden für nicht befugte Nutzer damit wertlos.

Mögliche Implementierung einer IRM-Lösung (Insider Risk Management) für Unternehmen oder Branchen mit hohem Risiko

Eine Insider-Bedrohung ist ein Cybersicherheitsrisiko, das aus dem Inneren des Unternehmens kommt. Dahinter steckt in der Regel ein aktueller oder ehemaliger Mitarbeiter oder eine andere Person mit direktem Zugang zum Netzwerk, zu sensiblen Daten oder zum geistigen Eigentum des Unternehmens und mit Wissen rund um die Geschäftsprozesse, Unternehmensrichtlinien und andere Informationen, die für einen Angriff nützlich sein können.

Im Hinblick auf die DSGVO-Konformität kann sich Insider Risk Management (IRM) als nützlich erweisen. Eine solche Lösung bietet Einblick in risikoreiche Benutzeraktivitäten und hilft Teams für SOC und Insiderbedrohungen dabei, schnell sensible Daten zu erkennen, zu prüfen und auf Kompromittierungen zu reagieren. Dies ist wichtig, weil Insider in Bezug auf personenbezogene Daten oft mehr Schaden anrichten können als externe Bedrohungsakteure. Beispielsweise wissen Insider in der Regel, wo Daten gespeichert sind, wie darauf zugegriffen wird und manchmal auch, welche Lücken es in den Erkennungssystemen gibt. Mitarbeiter genießen implizites Vertrauen und haben Zugriffsrechte. In Kombination mit ihrem Wissen der internen Abläufe kann es dadurch schwierig sein, risikoreiche Aktivitäten von der autorisierten Nutzung zu unterscheiden.

IRM wird immer wichtiger, da Remote- und Hybrid-Arbeitsmodelle weiter zunehmen und Mitarbeiter über mehr Anwendungen und Messaging-Systeme als je zuvor auf Systeme und Daten zugreifen können, um die Produktivität zu steigern.

DLP und IRM sind derzeit häufig zwei separate und unterschiedliche Sicherheitslösungen. Da Datenschutz sich jedoch zu einem zentralen Aspekt der meisten Cybersicherheitsprogramme entwickelt, wachsen diese beide Lösungen langsam zusammen.

Entwickeln eines Plans zur Reaktion auf Zwischenfälle

Der DSGVO zufolge müssen Unternehmen eine Datenschutzverletzung innerhalb von 72 Stunden der Datenschutzbehörde melden. Entsprechend ist es wichtig, dass Unternehmen, die personenbezogene Daten aus Europa verarbeiten, über einen klaren Plan für den Umgang mit solchen Ereignissen verfügen.

Die Reaktion auf Zwischenfälle (Incident Response, IR) ist der Oberbegriff zur Beschreibung der Maßnahmen, die Unternehmen zur Vorbereitung, Erkennung und Eindämmung sowie zur Wiederherstellung nach einer Datenkompromittierung ergreifen.

Im Hinblick auf die DSGVO ist die Meldung von Vorfällen einer der wichtigsten Aspekte des Plans zur Reaktion auf Zwischenfälle. Dies umfasst alle internen und externen Benachrichtigungen, die nach der Analyse und Priorisierung eines Vorfalls erfolgen müssen. Auch die konkreten Berichtspflichten für die DSGVO oder andere relevante Vorschriften müssen im Plan berücksichtigt werden.

Endgeräteschutz und Schwachstellenverwaltung

Endgeräte sind ein Knotenpunkt im Hinblick auf den Verlust wertvoller Daten. Unternehmensdaten fließen durch die Geräte und bleiben darauf gespeichert. Zudem werden die Geräte zur Authentifizierung von Benutzern und Identitäten und für den Zugriff auf Code-Repositorys, Cloud-Workload, SaaS-Apps und Dateien genutzt. Deswegen ist der Endgeräteschutz – also der Cybersicherheitsansatz zum Schutz von Endgeräten vor böswilligen Aktivitäten – ein wichtiger Aspekt zur Einhaltung der DSGVO.

Auch die Schwachstellenverwaltung, der fortlaufende, regelmäßige Prozess der Identifizierung, Beurteilung, Meldung, Verwaltung und Behebung von Cyberschwachstellen auf Endgeräten, Workloads und Systemen, ist eine weitere wichtige Sicherheitsmaßnahme. Es handelt sich um eine breit gefächerte Kategorie, die Software-Updates und Patches zum Schutz vor den neuesten Bedrohungen und Exploits umfasst.

Einsatz von SIEM und SOAR zur Automatisierung von Workflows und zur Optimierung von DSGVO-Compliance-Maßnahmen

Aufgrund der DSGVO unterliegen Unternehmen verschiedenen Berichtspflichten. Zentralisierte Sicherheitslösungen wie SIEMs und SOARs umfassen häufig integrierte Compliance-Funktionen, die automatisch Daten aus verschiedenen Tools und Softwareanwendungen sammeln und diese in einem einzigen Bericht zusammenfassen. Diese Berichte können angepasst werden, um die Einhaltung der DSGVO-Anforderungen und anderer Vorschriften zu unterstützen.

SIEM- und SOAR-Systeme können zudem so konfiguriert werden, dass sie bei Verstößen Warnungen auslösen. Dies verschafft IT-Teams wertvolle Einblicke in potenzielle Risiken und hilft Teams, diese schneller zu minimieren. Dadurch werden nicht nur die potenziellen Auswirkungen der Kompromittierung begrenzt, sondern auch Fälle von Nichtkonformität reduziert.

Wie CrowdStrike bei der Einhaltung von DSGVO-Bestimmungen helfen kann

Die Cybersicherheit spielt im Hinblick auf Datenschutz und DSGVO-Konformität eine wichtige Rolle. CrowdStrike bietet Produkte der nächsten Generation sowie professionelle Dienstleistungen und globales Know-how und kann Unternehmen so bei der Erfüllung ihrer DSGVO-Pflichten unterstützen.

Bei der Entwicklung der CrowdStrike Falcon^®-Plattform wurde Wert auf Datenschutz gelegt. Das cloudbasierte Crowdsourcing-Modell von CrowdStrike konzentriert sich auf die Identifizierung von Angriffsindikatoren (IOAs) in Echtzeit. Das Ziel besteht nicht nur darin, die bekannten Kompromittierungen der Vergangenheit zu stoppen, sondern auch die noch unbekannten künftigen Bedrohungen abzuwenden.

Die Falcon Platform ermöglicht es Kunden außerdem, Kompromittierungen zu verhindern – durch die Implementierung hochmoderner Schutzmaßnahmen mit Transparenz, Portabilität, Datenminimierung und Verhältnismäßigkeit. So werden Unternehmen und weitere berechtigte Interessen geschützt, wie etwa die in den DSGVO-Erwägungsgründen 47, 48 und 49.