Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

DSGVO und SIEM – Was Sie beachten sollten

Die Europäische Datenschutzgrundverordnung (EU-DSGVO, auch als GDPR bekannt) tritt am 25. Mai 2018 in Kraft und bis dahin haben einige Unternehmen noch viel zu tun, wenn sie nicht mit empfindlichen Strafen rechnen wollen. Mit der EU-DSGVO einher geht die Forderung, dass Unternehmen besonders personenbezogene Daten besser schützen müssen. Ein wichtiger Schritt, solche Daten besser zu schützen, ist das Monitoring aller Vorgänge im Netzwerk. Zum einen, um Sicherheitsvorfälle durch Angriffe aufzudecken, aber auch um den Abfluss von Daten sowohl extern als auch intern zu vermeiden. In diesem Zusammenhang spielen SIEM-Lösungen eine besondere Rolle.

Personenbezogene Daten in Unternehmen müssen künftig unter neuen Gesichtspunkten gesammelt und gespeichert werden, außerdem sind Unternehmen dazu aufgefordert strengere Auflagen zu erfüllen, was deren Nutzung angeht. Bis 2018 bleibt ihnen jedoch nicht mehr viel Zeit, um sich mit den neuen Anforderungen auseinanderzusetzen. Hier eine kurze Zusammenfassung der wichtigsten Punkte:

Zustimmung

Einzelpersonen müssen nach der EU-DSGVO ausdrücklich zustimmen, dass ihre personenbezogenen Daten von Unternehmen verarbeitet werden. Die Einwilligung muss so klar strukturiert sein, dass der Verwendungszweck der Daten der Einzelperson genau bekannt ist. Obwohl dies angezeigt wird, ist es jedem darüber hinaus möglich auch nach der Erteilung der Zustimmung diese jederzeit zu widerrufen. Die Zustimmung der Einzelperson muss darüber hinaus nachgewiesen werden können.

Datenschutzbeauftragter (DSB)

Alle öffentlichen Verwaltungen und Behörden müssen nach in Kraft treten der Verordnung einen Datenschutzbeauftragten berufen. Alle privatwirtschaftlichen Unternehmen müssen dieses ebenfalls tun, wenn sie im Rahmen von Geschäftsprozessen personenbezogene Daten verarbeiten. Darüber hinaus müssen alle Unternehmen, die mit personenbezogenen Daten arbeiten umfassende Sicherheitsmaßnahmen für den Schutz dieser Informationen umgesetzt haben.

Datenschutzverletzungen

Die Datenschutzbeauftragten müssen bei einem Verstoß alle relevanten Aufsichtsbehörden ohne „unangemessene Verzögerung“ und soweit möglich unterrichten. Der Zeitraum in dem die Datenschutzverletzung angezeigt werden muss, beträgt 72 Stunden nach erster Kenntnisnahme. Nur wenn die Verletzung keine Folgen für die Rechte und Freiheiten von betroffenen Einzelpersonen hat, kann von dieser Meldung abgesehen werden. Alle Einzelpersonen, die eine Verletzung der Privatsphäre erlitten haben, müssen ebenfalls umgehend informiert werden, für den Fall, dass sie Opfer von Verbrechen oder aber eine Einschränkung ihrer Persönlichkeitsrechte werden könnten.

Löschanspruch von personenbezogenen Daten

Das sogenannte Recht auf Vergessen meint, dass Einzelpersonen, das Recht haben eine Löschung ihrer Daten aus einer Reihe von Gründen einzufordern. Dies kann unter anderem dann relevant werden, wenn die Informationen, die für einen bestimmten Zweck gesammelt wurden, nicht mehr gebraucht werden. Eine andere Möglichkeit wäre auch, dass die Einzelperson ihre Zustimmung widerruft.

Übertragung von Daten

EU-DSGVO umreißt, dass Einzelpersonen ihre Daten von einem Datenverarbeitungsanbieter zu einem anderen übermitteln können müssen. Diese Datenübertragung muss in einem strukturierten, gemeinhin genutzten, elektronischen Format dargestellt werden. Die gespeicherten Daten von Einzelpersonen sollen so nicht auf geschlossenen Plattformen gespeichert werden, sondern in einem einfachen Verfahren auch zu anderen Plattformen übertragen werden können. Einzelpersonen sollen damit keinen Beschränkungen unterliegen.

Strafen und Schadensersatz

Besonders der letzte Punkt ist für Unternehmen wichtig, denn die gesamte Richtlinie wird in den EU-Mitgliedsstaaten unterschiedlich gehandhabt. Mit der EU-DSGVO wird sich dies nach in Kraft treten ändern – wenn auch mit länderspezifischen Ausprägungen. Als Drohung für Missbrauch sieht die Verordnung empfindliche Strafzahlungen vor, die je nach Größe des Vorfalls bis zu vier Prozent des weltweiten jährlichen Umsatzes einer Organisation oder aber bis zu 20 Millionen Euro für das vorangegangene Fiskaljahr, je nachdem welcher der beiden Beträge höher ausfällt. Für andere weniger bedeutsame Verstöße sieht die Verordnung eine Strafe bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweit jährlichen Gesamtumsatzes vor. Darüber hinaus haben auch Einzelpersonen, deren Daten betroffen sind das Recht die Organisation auf Schadenersatz zu verklagen, bei der der Datenverstoß öffentlich wurde.

SIEM gegen Cybereinbrecher und Datendiebstahl

Daraus folgt, dass Organisationen, die personenbezogene Daten verarbeiten handeln müssen, um ihre IT-Systeme vor Cyberangriffen zu schützen. SIEM-Lösungen können diese Unternehmen vor allem in dem Punkt der strukturierten und transparenten und vor allem sicheren Aufbewahrung von Daten unterstützen. Bei Cyberangriffen, die auf das Kopieren von personenbezogenen Datensätzen abzielen, zeigen diese Lösungen auf, was im Netzwerk vorgeht durch gezielte vordefinierte Alarmmeldungen. Mit diesen Warnungen lässt sich der Zugriff auf sensible Bereiche des Firmennetzwerks, auf denen die personenbezogenen Daten gespeichert sind, kontrollieren. Das Geheimnis liegt in den Log-Daten, die von den Lösungen kontinuierlich und automatisiert ausgewertet werden. Benachrichtigungen über Verstöße werden in übersichtlichen Reports dargestellt und eignen sich zur Übersendung an die zuständigen Behörden.

Fazit

Die EU-DSGVO kommt und Organisationen müssen sich darauf vorbereiten die neuen Anforderungen zur Vermeidung von Strafen und Klagen zu erfüllen. Besonders der unbemerkte Abfluss von personenbezogenen Daten durch einen unerkannten Hackerangriff, wie bei so vielen sozialen Netzwerken und Plattformen, die in den letzten Jahren publik wurden wie Yahoo, Linkedin oder einschlägig bekannte Dating-Plattformen, lässt sich mit entsprechenden Technologien und Mitarbeiterschulungen eindämmen. Hier müssen allerdings auch Investitionen getätigt und Pläne für den Ernstfall erarbeitet werden. Eine gründliche Überprüfung der bisherigen Sicherheitsmaßnahmen und einen Abgleich mit den Anforderungen der EU-DSGVO empfiehlt sich genauso wie eine Bewertung der Aufgaben und Verantwortlichkeiten innerhalb eines Unternehmens in den entsprechenden Abteilungen. Eine Erfassung der Risiken ist ebenfalls angezeigt, um den Notfallplan entwickeln und den Risiken begegnen zu können.

 

Pascal Cronauer, Country Manager DACH, LogPoint