DSGVO-konforme Mittel erfolgreich einsetzen

Die europäische Datenschutzgrundverordnung EU-DS-GVO erfordert die konsequente und technisch-ausreichende Erfüllung elementarer Sorgfaltspflichten. Hierzu gehören unter anderem die Vermeidung von Interessenkonflikten sowie ein Verhaltenskodex im Bereich Datenschutz. Fernab dessen, sollte man ebenso das Backup im Visier haben, das alles am besten frühzeitig, bevor Hacker ihr Unwesen in unternehmensinternen Strukturen treiben können.

Was in unserem Nachbarland Belgien in Sachen EU-DS-GVO gilt, betrifft uns in Deutschland ebenso. Dort bekam erst vor kurzem eine Bank ein Bußgeld in Höhe von 75.000 Euro verpasst, weil das Unternehmen einen internen Datenschutzbeauftragten benannt hatte, der zugleich auch Leiter von drei zentralen Abteilungen war. „Sobald der interne Datenschutzbeauftragte im Rahmen durch seine zusätzlichen dienstlichen Aufgaben über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden kann, sind sofort Interessenkonflikte vorprogrammiert“, sagt Andrea Pfisterer, externe Datenschutzbeauftragte der Ext-Com IT GmbH. „Abgesehen davon, können auch mittelbare Einflüsse auf die Verarbeitungstätigkeiten sowie die Umsetzung der technischen und organisatorischen Maßnahmen, Konfliktpotenziale erzeugen.“ Dies sei auch logisch, weil solche Funktionen dazu führen, dass der interne Datenschutzbeauftragte sich selbst kontrollieren müsste und folglich für die betroffenen Verarbeitungstätigkeiten kein unabhängiges Kontrollorgan gegeben wäre. Ein Tipp: Bei einem externen Datenschutzbeauftragten bestehen diese Konflikte nicht, weshalb diese Alternative eigentlich die beste Wahl darstellt.

Multi-Cloud-Szenarien berücksichtigen

DSGVO-Konformität ist im Moment eine der begehrtesten Eigenschaften von Cloud-Services, wenn man den IT-Fachmedien Glauben schenken möchte. Das gilt vor allem für Multi-Cloud-Szenarien. Letztere verknüpft unterschiedliche Cloud-Provider aufgrund von technologischen Anforderungen. „Aber nicht alle Services erfüllen die notwendigen Kriterien, vor allem die DSGVO-Konformität ist nicht immer gewährleistet“, so die IT-Expertin und Fachexpertin für Datenschutz. Die Services von Hyperscalern stellen nämlich oft eine Grauzone dar.“ Denn es  fehle aktuell eine belastbare Rechtsgrundlage.

IT-Sicherheitsgesetz kennen

Der Grund: Der europäische Gerichtshof hat 2016 das sogenannte Safe-Harbor-Abkommen mit den USA und 2020 auch die Nachfolgeregelung Privacy Shield aufgehoben. Deshalb müssen Unternehmen davon ausgehen, dass die Speicherung personenbezogener Daten bei Hyperscalern nicht risikofrei ist, selbst wenn diese Rechenzentren in Europa betreiben. Die Datenschutz-Grundverordnung der EU legt fest, dass personenbezogene Daten so gespeichert und verarbeitet werden müssen, dass Dritte nicht darauf zugreifen können. Die einzige Ausnahme ist die sogenannte Auftragsdatenverarbeitung, „die einen Multi-Cloud Data Service Provider dazu verpflichtet, ebenfalls die DSGVO zu beachten. Dies bedeutet, dass die DSGVO-Konformität in vielen Fällen die Speicherung der Daten bei deutschen Cloud-Anbietern verlangt – vor allem wenn es um kritische Geschäftsdaten oder Personendaten geht“, ergänzt Andrea Pfisterer. Fernab dessen, erfordert auch das IT-Sicherheitsgesetz besondere Vorkehrungen – vor allem für das Finanz- und Versicherungswesen oder KRITIS-Branchen wie etwa der Energiewirtschaft. Diese Unternehmen müssen sodann nicht nur bestimmte Schutzmaßnahmen erfüllen, sondern hätten ebenso Berichtspflichten zu leisten. So müsse beispielsweise ein Sicherheitsvorfall gemeldet werden, was von den Betriebsprozessen in der IT unterstützt werden muss, merkt die Datenschutzexpertin der Ext-Com außerdem an.

Skalierbaren Cyber-Vandalismus unterbinden

Hacker greifen immer öfter das Backup an. Es handelt sich dabei vor allem um die sogenannten NAS-Geräte – sie sind ein entscheidender Bestandteil der Speicher- und Backup-Strategien für Unternehmen und Privatpersonen. Aus diesem Grund sollte man diese Geräte mit modernen Best Practices umfassend vor Cyberangriffen schützen, weil Anwender und Unternehmen immer stärker auf das Internet der Dinge angewiesen sind. „Die Konnektivität und der Zugang zu Informationen wird durch NAS-Geräte sichergestellt, maßgeschneiderte Features und eine durchgängige Verbindung zum Internet, sind kritische Erfolgsfaktoren für jedes Unternehmen. Gerade deshalb nehmen auch Cyberkriminelle diese Entwicklungen wahr und richten ihre Angriffe zunehmend auf diese vernetzten Geräte aus“, sagt Micha Pfisterer, Geschäftsführer der Ext-Com IT GmbH. Die beiden Einfallstore seien hier zum einen, dass das Implementieren von Sicherheitsmaßnahmen in den Geräten optional sei, und zum anderen das Anwender und Unternehmen ihre nicht ausreichend geschützten NAS-Geräte unwissentlich für den Zugriff auf das Internet freigeben, wodurch sie für Cyberkriminelle leichter zu finden sind. Hierzu erklärt der Ext-Com Geschäftsführer: „Unterbinden Sie skalierbaren Vandalismus von Cyberkriminellen mit einer geeigneten IT-Sicherheitsstrategie und IT-Infrastruktur und beherzigen Sie folgende Empfehlungen: Verbinden Sie NAS-Geräte niemals direkt mit dem Internet, ändern Sie regelmäßig die Zugangs- und Sicherheitsdaten aller angeschlossenen Geräte und verwenden Sie niemals die voreingestellten Standardpasswörter der Geräte.“ Überdies sollte man die Zwei-Faktor-Authentifizierung (2FA) aktivieren, sofern verfügbar, nicht genutzte Dienste deinstallieren sowie die Online-Sicherheitsleitfäden kontinuierlich prüfen, um auf diese Weise einen zusätzlichen Schutz vor Angreifern zu gewährleisten.

Falls Sie Fragen zu den Themen Datenschutz und IT-Sicherheit haben, rufen Sie uns einfach gerne an!