IT-Lösungen für Fachabteilungen im Unternehmen

Umsetzung der EU-Datenschutzgrundverordnung

Die fünf größten Stolpersteine

Quelle: Veracode/CA

Die aktuelle EU-Datenschutzgrundverordnung (DSGVO) hat einige neue Regelungen im Schlepptau, die Unternehmen einhalten müssen. Damit es dann im Mai 2018 kein böses Erwachen gibt, zeigt Julian Totzek-Hallhuber von Veracode die fünf größten Stolpersteine der EU-Datenschutzgrundverordnung und gibt Tipps, was Unternehmen im Umgang mit Kundendaten besonders beachten sollten.

Kosten

In nicht einmal einem Jahr kommt die neue EU-Datenschutzgrundverordnung. Damit es dann kein böses Erwachen gibt, zeigt Julian Totzek-Hallhuber von Veracode im Folgenden die fünf größten Stolpersteine dieser Datenschutzgrundverordnung und gibt Tipps, was Unternehmen im Umgang mit Kundendaten besonders beachten sollten.

Ein wesentlicher Aspekt sind die Kosten der „Non-Compliance“: Selbstverschuldete Datenschutzverletzungen können ab Mai 2018 richtig teuer werden. Die EU-Datenschutzgrundverordnung (EU-DSGVO) sieht dafür Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor, je nachdem welcher Wert größer ist. Es lohnt also, sich frühzeitig mit der Einhaltung der Bestimmungen zu befassen.
Breitere Definition von personenbezogenen Daten: Die EU-DSGVO definiert personenbezogene Daten, die geschützt werden müssen, wesentlich breiter und detaillierter als bisherige Regularien. Die neue Definition schließt jegliche Information ein, die verwendet werden können, um eine Person direkt oder indirekt zu identifizieren.

Das kann alles sein, von einem Namen über Fotos, E-Mails, Adressen, Posts in sozialen Medien, medizinischen Informationen oder Bankdaten bis hin zur IP-Adresse eines Computers. Durch diese Ausweitung der Definition von schützenswerten Daten erweitert sich auch die Zahl der Anwendungen, die von der Datenschutzregelung betroffen sind.

Technikgestaltung

Die EU-DSGVO beinhaltet die Forderung nach „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. Für Entwickler bedeutet das, dass sie bei neuen Anwendungen die Datensicherheit von Anfang an im Auge behalten müssen. Anstatt erst während der Qualitätsanalyse die fertige Anwendung auf ihre Sicherheit zu überprüfen, müssen sie schon beim Entwurf und während des Programmierens einer Anwendung auf mögliche Datenschutz-Konfliktpunkte achten.

Datenschutz durch Technikgestaltung bedeutet konkret, Bedrohungsmodelle durchzuspielen sowie ein sicheres Design anzuwenden, Entwicklern Best-Practice-Beispiele für sicheres Programmieren an die Hand zu geben und dafür zu sorgen, dass Sicherheitslücken im Code schon während des Schreibens bemerkt und behoben werden. Wer sich diesen Herausforderungen nicht alleine stellen kann oder will, kann sich Hilfe von außen holen. Anbieter wie beispielsweise Veracode haben verschiedene Lösungen im Programm, die etwa Echtzeit-Scanning direkt in der IDE ermöglichen. Außerdem können Trainings für sicheres Programmieren gebucht werden.

Auch das Outsourcing von Datenverarbeitung ist ein wichtiger Aspekt: Werden Daten an einen Drittanbieter weitergegeben, wandert nicht automatisch auch die Verantwortung für den Datenschutz dorthin. Im Gegenteil: Das auftraggebende Unternehmen muss weiterhin sicherstellen, dass die Datennutzung im Einklang mit der DSGVO erfolgt und personenbezogene Daten stets geschützt bleiben. Die Verordnung empfiehlt eine starke Verschlüsselung zur Sicherung von personenbezogenen Daten. Außerdem sollen Firmen, die Daten weitergeben, darauf achten, dass die Abnehmer auch nach denselben Standards arbeiten.

Unternehmen können die Code-Qualität von proprietären Anwendungen externer Anbieter nicht überprüfen, sondern müssen sich auf das Verantwortungsbewusstsein der Partner verlassen. Wer auf Nummer Sicher gehen will, sollte externe Software einem zusätzlichen Security-Testing unterziehen. Auch die Zuverlässigkeit von Verschlüsselungen kann mit den richtigen Tools geprüft werden.

Meldepflicht

Julian Totzek-Hallhuber ist Solution Architect bei Veracode; Quelle: Veracode/CA

Unternehmen müssen Verletzungen des Datenschutzes melden: Im Zuge der EU-DSGVO wird es in allen unterzeichnenden Staaten zur Pflicht, Datenlecks zu melden, die zu einem Risiko für die Rechte und Freiheiten von Personen werden könnten. Das muss binnen 72 Stunden geschehen, nachdem der Datenverlust bekannt wurde. Auch Drittanbieter müssen ihre Kunden umgehend über abhandengekommene Daten informieren.

Bei Veracode handelt es sich um das Anwendungssicherheitsportfolio von CA Technologies. Es stellt eine Cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen. Damit hilft Veracode den Anwenderunternehmen weltweit, Innovationen schneller auf den Markt zu bringen, ohne dabei auf Sicherheit verzichten zu müssen: Bedrohungen auf Anwendungsebene werden identifiziert, bevor Cyberkriminelle Schwachstellen finden und ausnutzen können.

Julian Totzek-Hallhuber

ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, ist regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org mitgewirkt.

Hier gibt es weitere Informationen zu Veracode