München, Starnberg, 16. Aug. 2019 - Unternehmen sollten das Urteil des Europäischen Gerichtshofs über Social-Plugins zum Anlass nehmen; fünf Tipps von Axians...
Zum Hintergrund: Aufmerksame Nutzer, die ihr Recht auf informationelle Selbstbestimmung einfordern, sorgen dafür, dass Datensicherheit und Datenschutz in der Öffentlichkeit breit diskutiert werden. Ein prominenter Fall ist die Entscheidung des Europäischen Gerichtshofs, welches Webseiten-Betreiber daran hindert, die Daten ihrer Nutzer über Social-Plugins wie etwa den Facebook-Like-Button ungefragt an Dritte zu übertragen. Der Abfluss von Daten an Dienste wie Facebook, Google & Co. ist ein Paradebeispiel für gefährliche Lücken im Informationssicherheits- und Datenschutz-Managementsystem. Unternehmen sollten deshalb das Urteil zum Anlass nehmen, ihre eigenen Prozesse und Strukturen auf Herz und Nieren zu prüfen. Die folgenden Tipps helfen nach Ansicht von Karl-Heinz Wonsan (1) - Security Solution Manager bei Axians IT Solutions - Organisationen und Unternehmen dabei, Datenschutz-Lücken zuverlässig aufzudecken und zu schließen:
Zum Beitrag: "Selbst kleine Organisationen verfügen heute über Hunderte Schnittstellen zu ihren Kunden, Lieferanten, Partnern und zu sozialen Medien. Das macht die Überwachung und Ordnung von Datenflüssen zu einer hochkomplexen Aufgabe, welche Datenschutzbeauftragte und IT-Administratoren gemeinsam bewältigen müssen. Der Datenschutzbeauftragte muss wissen, welche personenbezogenen Daten in der Organisation vorhanden sind – es liegt an der IT, diese Informationen bereitzustellen.
1. Regelmäßige Scans sind Pflicht
Zunächst gilt es, sich einen Überblick über die Daten zu verschaffen, die in der Vielzahl der Datenbanken und File-Systemen vorhanden sind. Ein gut organisierter Scan aller Datenhaltungssysteme – etwa mit dem IBM Guardium Analyzer – bringt die gewünschten Informationen ans Licht. Für die anschließende Auswertung und Analyse des Dateninventars arbeiten Datenschutzbeauftragte eng mit den IT-Spezialisten zusammen. Die lückenlose Dokumentation der gewonnenen Erkenntnisse im Managementsystem bildet die Basis für alle weiteren Maßnahmen.
2. Daten effektiv klassifizieren
Aus der Datenbank lässt sich ein Katalog von Daten ableiten, die einen besonderen Schutzbedarf haben und nicht weiterverarbeitet werden dürfen. Dabei ist das richtige Datenbank-Design essenziell für eine eindeutige Typisierung und Klassifizierung von Daten. Bei unstrukturierten Daten oder Freitexten ist es schwieriger und aufwendiger, den Schutzbedarf festzustellen. Je nach Datenmenge lässt sich eine solche Untersuchung manuell, automatisiert oder mit dem Einsatz von künstlicher Intelligenz (KI) bewältigen. Anschließend kann der Datenschutzbeauftragte in Zusammenarbeit mit der IT veranlassen, dass die kritischen Daten ordentlich verarbeitet oder gelöscht werden.
3. Datenverarbeitung optimieren
Datenbanken, die optimal konfiguriert sind und betrieben werden, bieten weniger Fehlerquellen und erhöhen die Qualität der Datenverarbeitung. Dazu gehört beispielsweise, dass Datenbankadministratoren und Nutzer nur Zugriff auf die Daten haben, die sie wirklich benötigen. Ein effizientes Zugriffsmanagement schützt privilegierte Konten und bewahrt manchen Nutzer davor, Daten inkorrekt zu verarbeiten. Es gibt eine Vielzahl von Tools, die das Identity Management von privilegierten Nutzern und das Datenbank-Monitoring erleichtern.
4. Risiken abwägen
Die Analyse von Daten und Verarbeitungsprozessen bringt eine Vielzahl an möglichen Maßnahmen und technischen Hilfsmitteln mit sich. Wo anfangen? Es empfiehlt sich, eine Risikoanalyse durchzuführen und die möglichen Folgen dieser Risiken abzuschätzen. Basierend darauf können Organisationen entscheiden, welche Maßnahmen unbedingt und unmittelbar erforderlich sind – und welche eher nicht. Priorität genießen kritische Daten, die verschlüsselt oder maskiert werden müssen. Beispielsweise sollten Administratoren zwar Fehler beheben, aber nicht die Namen, Bankverbindungen oder Kreditkartennummern von Kunden oder Mitarbeitern sehen können. Wichtige Daten lassen sich zusätzlich durch einen automatisierten Alarm absichern, der anzeigt, wenn Daten abnormal verarbeitet werden oder Nutzer versuchen, auf Daten außerhalb ihrer Zuständigkeit zuzugreifen.
5. Sicherheitskalender führen
Der effektive Schutz von Daten ist kein einmaliges Projekt, sondern eine immerwährende Aufgabe. Das Aufspüren und Klassifizieren von Daten sowie die Risikoabwägung müssen turnusmäßig erfolgen und gehören in den Sicherheitskalender jeder Organisation. Alle Maßnahmen, Prozesse und Managementsysteme gehören regelmäßig auf den Prüfstand – ebenso wie bis dato erzielte Ergebnisse. Anpassungen an neue Vorschriften wie etwa DSGVO, PCI-DSS und andere industriespezifische Standards gehören zu internen Audits dazu.
Fazit: Um den hohen Anforderungen der geltenden Datenschutz-Bestimmungen gerecht zu werden, müssen Organisationen viel Zeit und Ressourcen aufwenden – was sie nicht selten vor große Herausforderungen stellt. Erfahrene Berater bieten wertvolle Unterstützung bei der Ausarbeitung eines Datenschutzkonzeptes sowie der Auswahl zeitsparender Tools. Die Mühe wert ist es allemal: Denn prominente Fälle wie das Urteil zum Like-Button von Facebook zeigen, dass die Datenschutz-Diskussion weiter Fahrt aufnimmt. Organisationen müssen daher kontinuierlich kritisch prüfen, wo Handlungsbedarf besteht, und notwendige Maßnahmen möglichst zügig vorantreiben."
(1) Das Foto zeigt Karl-Heinz Wonsan, Security Solution Manager bei Axians IT Solutions. Er arbeitet als Trusted Advisor und Berater im Bereich IT-Sicherheit / (Quelle: Axians).
Querverweis:
Link > Untersuchung zum Einsatz von Künstlicher Intelligenz in der Cybersicherheit