Man hat solange ein Motivationsproblem – bis man ein Zeitproblem hat. Die EU-Datenschutz-Grundverordnung startet am 25. Mai 2018

Veröffentlicht am Von

Viele Kunden haben das Thema EU-DSGVO in 2017 vor sich hergeschoben und stehen spätestens ab dem Jahreswechsel vor der Herausforderung die Einhaltung der kommenden Verordnung sicherzustellen und entsprechende Maßnahmen umzusetzen.

Dies eröffnet den betreuenden Systemhäusern zum einen die Möglichkeit im Umfeld der IT-Beratung zu punkten und zum anderen zusätzliche Umsätze im Bereich der Services und des Produktvertriebes zu generieren.

Einige Hintergrundinformationen zur DSGVO:

Wer ist betroffen?

  • Alle Unternehmen in der EU und Unternehmen, die Daten von EU Bürgern speichern

Welche Daten sind geschützt?

  • Alle Personenbezogene Daten, die es ermöglichen Personen zu identifizieren

Was sind die Grundanforderungen?

  • Pflicht zur Ernennung eines Datenschutzbeauftragten
  • Dokumentation von IT-Prozessen
  • Durchführung von Risikobewertungen
  • Regeln über Verarbeitung/Haltung/Löschung von Daten
  • Meldepflichten bei Datenschutzverletzungen

Was sind die Konsequenzen?

  • Geldbuße von bis zu 4 % des weltweit erzielten Umsatzes

Es wird auf den ersten Blick ersichtlich, dass Maßnahmen zur Umsetzung der DSGVO sind nicht allein auf Änderungen der vorhandenen „harten“ restriktiven IT-Security (Firewalls, Verschlüsselung, Anti-Virus etc.) aufsetzen, sondern es erforderlich machen den User und dessen Kontext viel stärker als bisher in den Fokus zu setzen und ihn als Teil der Lösung mit einzubeziehen.

Daher sollte der Blick stark auf diesen Kontext gerichtet werden, denn die Realität in vielen Unternehmen sieht oft so aus:

  • Es findet keine sofortige Deaktivierung/Änderung von Zugriffsrechten statt, wenn ein Mitarbeiter das Unternehmen verlässt oder sich sein Aufgabenbereich ändert
  • Es herrscht Unfähigkeit, den Zugriff auf Ressourcen auf Grundlage von bestimmten Faktoren zu beschränken
  • Es gibt eine Vielzahl von Prozessen, die manuell durchgeführt werden
  • Kein zentrales Management von Zugriffsrechten
  • Fehlende Genehmigungsprozesse
  • Unpassende Sicherheitsmechanismen
  • Einschränkte Visibilität
  • Fehlende Dokumentation der Prozesse

Demnach sind folgende Themenfelder zentrale Punkte um die digitalen Arbeitsplätze Ihrer Kunden DSGVO-konform zu gestalten.

  • Zugriffskontrolle und Identitätsmanagement
  • Zentrales Management und Account Kontrolle
  • Monitoring, Reporting, Benachrichtigung
  • Sicherheitskontrolle am Endpoint
  • Datenverarbeitung, Korrektur und Löschung von Daten

Was ist also nun zu tun?

Identifizieren Sie den CSO bzw. Security-Verantwortlichen bei Ihren Kunden und sprechen Sie ihn aktiv auf das Thema an. Prüfen Sie in diesem Gespräch die 5 Punkte der folgenden Checkliste ab und evaluieren Sie dadurch, in wie weit der Kunde sich mit dem Thema schon beschäftigt hat. Durch dieses Abfragen sensibilisieren Sie den Kunden gleichzeitig für den Sachverhalt.

1.Mobile Benutzer – Sicherheitsrisiken verringern und kontrollieren

  • Wird die Verbindung über ein bekanntes oder unbekanntes Gerät hergestellt?
  • Erfolgt der Zugriff über ein vertrauenswürdiges Netzwerk?
  • Werden nicht identifizierte oder vom Unternehmen nicht genehmigte USB-Laufwerke, Peripherie Geräte verwendet?
  • Wird es versucht, während der Geschäftszeiten oder zu ungewünschten Tageszeiten auf sensible Daten zuzugreifen?

2.Kontrolle über den Zugriff durch privilegierte Benutzer

  • Erhalten Benutzer Zugriffsrechte für eine gesamte Domäne, um Applikationen z.B. zu installieren?
  • Werden diese Rechte automatische entzogen?

3.Schutz gegen Ransomware & Malware

  • Sind die digitalen Arbeitsplätze gegen externe Zugriff auf persönliche Daten durch USB-Peripherie-Geräte geschützt?
  • Sind Kontrollmechanismen gegen den Zugriff auf kompromittierende Websites im Einsatz?

4.Sicheres On-& Offboarding von Mitarbeitern

  • Beruht das On & Off Boarding auf manuellen Prozessen?
  • Gibt es Verzögerung bei der Aufhebung von Zugriffsrechten?
  • Besteht ein dynamisches Identitäts- & Zugriffmanagement?

5.Kontrolle & Überwachung über den Zugriff auf persönliche Daten

  • Kann die Verwendung, Verwaltung, Einhaltung persönlicher Daten verfolgt werden?
  • Können die Verarbeitungsaktivitäten aufgezeichnet werden?
  • Kann die Kontrolle zum Schutz der persönlichen Daten nachgewiesen werden?

Gerne unterstützen wir Sie in Zusammenarbeit mit IVANTI (RES Software) bei der Vorbereitung und Umsetzung dieser Herausforderung damit Sie Ihren Kunden eine integrierte Lösung anbieten können, die zur Erhöhung der Produktivität bei gleichzeitiger Entlastung der IT-Mitarbeiter und Kostensenkung auch im Umfeld der DSGVO führt.

Herzliche Grüße aus Bochum

Friedrich Frieling
Business Development Manager

ADN® Advanced Digital Network Distribution GmbH

Telefon: +49 2327 9912 – 326
E-Mail: friedrich.frieling@adn.de
Homepage: www.adn.de/res-software/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.