DSGVO/GDPR: Übertragung in die Praxis Granulare Differenzierung von Rollen und Berechtigungen ist gefordert

25. September 2017

Die EU-Datenschutzgrundverordnung (EU-DSGVO) vereinheitlicht den Datenschutz personenbezogener Daten innerhalb der EU und tritt per 25. Mai 2018 in Kraft. Dies löst bei vielen Unternehmen Handlungsbedarf aus. Denn in vielen Unternehmen mangelt es schon an den Grundvoraussetzungen für Datensicherheit. Es fehlt das umfassende und vollständige Wissen an welchen Stellen im Unternehmen sensitive Daten gehalten und von welchen Prozessen sie abgerufen werden.

Auswirkungen

Die EU-DSGVO gibt vor: Lückenlose Datensicherheit und Transparenz in Bezug auf Datennutzung sind künftig strikt einzuhalten. Auf die IT bezogen hat die DSGVO verschiedene Auswirkungen:

Haftung: Ihre Kunden haften für Datenpannen in Ihrem Unternehmen mit und wollen wissen, wie die anvertrauten Informationen kontrolliert werden. Ungenügender Datenschutz hat eine Ordnungsgeldbusse zur Folge.

Marktortprinzip: Die neuen Datenschutzgesetze auf Basis der DSGVO gelten für alle Datenverarbeiter auch ausserhalb der EU, wenn Daten von EU-Bürgern erhoben, verarbeitet oder gespeichert werden.

Datenschutz (Verlust)-Folgeabschätzungen: Ohne Risiko-Inventar geht nichts mehr. Die Rechenschaftspflicht besagt, dass Datenverarbeiter neu Folgeabschätzungen vor der Einführung einer Datenverarbeitung vorhalten müssen.

Datenschutz-Managementsystem (DSMS): Ohne ein DSMS, ähnlich einem Informationsschutz-Managementsystem (ISMS), wird Datenschutz nur als lückenhaft in Einzelteilen vorhanden sein. Das reicht nicht. IPG kennt die Plan-Do-Check-Act (PDCA) Zyklen seit Jahren, jetzt ist es auch im Datenschutz «angekommen».

Ein sicheres Benutzer- und Zugriffsmanagement gewährleistet die Einhaltung der DSGVO: Fehlt Transparenz über Berechtigungen und Zugriffsmöglichkeiten auf Daten oder ist beispielsweise nicht bekannt, welche Anwender Daten verändern können, werden Risikominderungsmassnahmen in der Praxis nicht wirksam. Rechte müssen deshalb durchgängig in einer Identity Management und Identity Governance Lösung dynamisch verwaltbar und protokollierbar sein.

An dieser Stelle können Dienstleister helfen, wenn sie langjährige Expertise und spezielle Kompetenzen sowie dedizierte Partnerschaften vorweisen können. Die aufgezählten Hinweise sind beispielsweise in jedem Identity Management System standardmäßig integriert. Herstellerabhängig bedarf es mehr oder weniger Konfigurationsaufwand.

Herausforderung Authentifizierung

Da die DSGVO Nachvollziehbarkeit im Umgang mit personenbezogenen Daten verlangt, besteht hoher Bedarf an einer zuverlässigen, durchgängigen Authentifizierung der Anwender. Zusätzlich müssen Anwender mit hohen Privilegien und Berechtigungen besonders geprüft werden. Eine Multi-Faktor- sowie Omni-Channel-Authentifizierung sollte genutzt werden, um den Zugriff auf die Zielsysteme auf Basis der Identität zu gewährleisten.

Bei der Multi-Faktor-Authentifizierungen (MFA) kombinieren zwei oder mehr unabhängige Berechtigungsnachweise:

•    was der Anwender kennt (Passwort),
•    was der Anwender hat (Security Token) und
•    was der Anwender ist (biometrische Verifizierung).

Das Ziel von MFA ist es, eine mehrschichtige Absicherung zu erschaffen. Unautorisierte Personen haben es so schwerer, auf ein Ziel, wie zum Beispiel einen physischen Standort, ein Computing-Gerät, ein Netzwerk oder eine Datenbank, Zugriff zu erlangen. Sollte ein Faktor kompromittiert oder kaputt sein, muss sich der Angreifer mit mindestens einer weiteren Barriere auseinandersetzen, um einen erfolgreichen Einbruch durchzuführen.

Durch die zunehmende Verbreitung von mobilen Endgeräten wurde der Begriff „Omni-Channel“ geschaffen. Kunden bekommen die Möglichkeit, egal auf welchem Gerät beispielsweise ein und dasselbe Angebot einer Marke über einen beliebigen Kanal (online, Social Media) zu verfolgen. Im Sinne der Authentifizierung geht es somit über den Multi-Faktor hinaus auf integrierte Infrastrukturen mit einheitlicher Sicht auf alle Angebote sowie Daten.

Die Akzeptanz für die eingesetzten Lösungen zur Authentifizierung steigt, wenn jederzeit berücksichtigt wird, dass Sicherheitsmechanismen von Kunden und Anwendern nicht oder kaum wahrgenommen werden sollen. Ziel ist daher neben der Verwaltung von Identitäten und dem Management von Zugriffen auch die Überwachung der Performance von Systemen und Applikationen und des gesamten Geschäftsprozesses.

Solide Basis

Arne Vodegel ist Sales Manager Germany bei der IPG-Gruppe Winterthur, Konstanz, Berlin, Wien; Quelle: IPG Group

Ein System für das Identity & Access Management (IAM) findet, unter anderem aus oben genannten Gründen, immer größere Verwendung. Zeitgleich wachsen auch die Anforderungen an die Funktionalität, die inzwischen mehr leisten muss als die bloße Absicherung. Eine erfolgreiche Lösung muss auch Kundenzufriedenheit garantieren (intern wie extern) und gleich mehrere Stufen und Plattformen entsprechend bedienen, ohne dabei den Endnutzer übermäßig zu beanspruchen oder zu verschrecken.

Dennoch sollten Unternehmen die Realisierung einer passenden IAM-Lösung als Top-Priorität ansehen. Identity & Access Management unterstützt in der Einhaltung der DSGVO überall dort wo:

•    Ein Risiko-Inventar erstellt wird und Schutzniveaus eine Rolle spielen (Art. 35/36).
•    Zugriff und Verarbeitung auf schützenswerte Daten gesteuert und belegt werden müssen (Art. 5/32).
•    Verarbeitungstätigkeiten geschützt und nachvollzogen werden müssen (Art. 30).
•    Auftragsverarbeiter ihnen anvertraute Daten DSGVO-konform beherrschen und dies auch belegen müssen (Art. 28).

Um IAM als solide Basis für die DSGVO / GDPR zu nutzen, unterstützt IPG mit verschiedenen Leistungen:

Das Advisory erarbeitet gemeinsam mit den Kunden die schrittweisen Herangehensweisen, so dass am Ende ein unternehminternes IAM-Handbuch vorliegt. Dieses kann wiederum mit dem Datenschutz zu einem Notfallhandbuch erweitert/umformuliert werden.

Der Dienstleister unterstützt bei der Erarbeitung und Integration der IAM-Lösung und schaffen mit dem individuellen Betriebshandbuch die Grundlage für den erfolgreichen IAM-Betrieb. Gerade bei der weiter oben beschriebenen Omni-Channel-Authentifizierung spielt die Integration der Lösung eine wichtige Rolle. Welche Applikationen müssen mit welchen Kanälen verbunden werden? Welche Daten müssen wo abgespeichert werden? Wer darf am Ende über welche Kanäle mit welcher Authentifizierung auf welche Daten und/oder Applikationen zugreifen? Die Expertise der IPG zeigt sich jetzt im Zusammenspiel mit den unterschiedlichen Disziplinen – Advisory, Integration, Fachbereich, Datenschutz.

Operations hilft sofort bei Incidents, die meldepflichtig sind – ITSM ist auch hier als Standard bereits implementiert und fundamental.

Education sensibilisiert gerne gemeinsam mit externen Datenschützern die Mitarbeitenden, so dass jeder genau weiss, warum Datenschutz für jedes Unternehmen überlebensnotwendig ist. Jeder Mitarbeitende kann und muss dazu beitragen.

Arne Vodegel

ist Sales Manager Germany bei der IPG-Gruppe Winterthur, Konstanz, Berlin, Wien

Weitere Informationen zur IPG Group

Lesen Sie auch