IT-Sicherheitsbranche im Zeichen der DSGVO

Weniger als ein Jahr vor ihrer der Anwendbarkeit schlägt die Datenschutz-Grundverordnung (DSGVO) der EU immer größere Wellen. Im Gegensatz zur alten EU-Richtlinie ist die Verordnung einflussreicher: Basierend auf ihr können Unternehmen bei Nichteinhaltung der Pflichten aus der DSGVO ab Mai 2018 belangt werden. Ab dann ist das EU-Gesetz rechtskräftig und vor jedem Gerichtshof im Europäischen Binnenmarkt einklagbar. Dabei gingen die Verhandlungen über vier Jahre fast in Stille an der IT-Welt vorbei. Die finale Version ist bereits seit Mai 2016 in Kraft getreten und viele Inhalte waren schon vorher bekannt.

Die Stärkung der Bürgerrechte auf EU-Ebene ist ein wichtiger Schritt, um das nötige Vertrauen in die Digitalisierung bei den Anwendern zu sichern. Einheitliche Standards sind daher wünschenswert, die Aufgabe für deutsche Unternehmen ist aber riesig. Für Hersteller und Channelpartner von IT-Sicherheitslösungen bedeutet das eine doppelte Herausforderung. Zum einen müssen sie Produkte bereitstellen, die der veränderten Gefahrenlage gewachsen sind und das nötige Schutzniveau garantieren. Gleichzeitig erwarten Organisationen von den Vertriebsleuten ausreichend Know-how und Beratungsleistungen, um auf die Anforderungen der DSGVO vorbereitet zu sein. Beides geschieht unter großem Zeit- und Kostendruck. 

Die Schonzeit läuft bereits

Die Bußgelder bei unzureichenden Vorkehrungen sind hoch. 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr sind möglich. Es gilt der Jahresumsatz des gesamten Konzerns, nicht der einzelnen juristischen Person. Die Sanktionen sollen das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Die EU macht deutlich, dass die Strafen hoch angesetzt sind, um ein „Aussitzen“ unmöglich zu machen. Es geht um gezielte Abschreckung.

IT-Verantwortliche sollten nicht mit einer Schonzeit nach Mai 2018 rechnen, denn die Implementierungszeit ist mit der Verabschiedung 2016 bereits angelaufen. Wie streng die Bestrafung genau gehandhabt wird, ist unsicher. Allerdings gibt es einige Bemessungskriterien:

• Schwere und Dauer des Verstoßes

• Umstände (Grad der Fahrlässigkeit oder Mutwilligkeit) des Verstoßes

• Getroffene oder nicht eingeführte Schutzmaßnahmen / Minderung des entstandenen Schadens

• bekannte frühere Verstöße

• Kooperationsbereitschaft / Kommunikation mit den entsprechenden Behörden wie BKA oder BSI  

• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind

• Einhaltung früher angeordneter Maßnahmen

• jegliche weiteren erschwerenden oder mildernden Umstände, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste

Problematisch ist, dass jedes Unternehmen jederzeit rechnen muss, Opfer einer Cyberattacke zu werden. Im Lagebericht zur IT-Sicherheit in Deutschland spricht das BSI [2]vom „Assume the Breach-Paradigma“. Früher oder später verschaffen sich Angreifer unerlaubt Zugriff auf Systeme oder Netzwerke. Das erhöht den Druck, wenn man in weniger als 12 Monaten das Schutzniveau deutlich erhöhen und Meldemechanismen etablieren muss. 

Laut des Breach Level Index wurden allein im Jahr 2015 700 Millionen Datensätze kompromittiert und es kam zu 1.650 Dateneinbrüchen.[3]  Eine Verbesserung der Datenschutzvorgaben ist in Anbetracht solcher Fakten notwendig, da sonst wirtschaftliche Interaktionen an mangelnder Zuversicht und fehlender Sicherheit scheitern könnten. Die neue Verordnung ist ein wichtiger Schritt hin zu besserem Schutz.

Bisher fehlt es an praktisch umsetzbaren Leitfäden. Auf der Suche nach Best-Practices ist Verschlüsselung ein wichtiges Kernelement. Das BSI sieht kryptografische Mechanismen als Lieferant für „grundsätzlich ausgezeichnete Sicherheitsgarantien“, sieht aber auch einen unzureichenden Einsatz von entsprechenden Technologien in Deutschland. Gerade bei ungewollten Zugriffen sind verschlüsselte Daten sicher, auch wenn das Netzwerk kompromittiert sein sollte.

Vertrauen und Nachhaltigkeit sind die Worte der Stunde

Der Einsatz von Kryptografie wird ebenfalls an mehreren Stellen in der DSGVO empfohlen, muss aber in der Unternehmensrealität richtig angegangen werden. Jede Organisation ist auf die Speicherung von persönlichen Daten angewiesen, um Transaktionen zu validieren und die Nutzerfreundlichkeit zu erhöhen. Besonders Nutzerinnen und Nutzer in Deutschland sind kritisch bei der Weitergabe ihrer Daten. Dieses hohe Maß an Sensibilität wirkt sich auf die Anforderungen an IT-Sicherheitslösungen und deren Vertrieb aus. 

Die Umsetzung von Verschlüsselungsstrategien ist mehr als nur eine Compliance-Anforderung. Um Daten effektiv zu schützen, gilt es eine Reihe von technischen und organisatorischen Maßnahmen zu beachten. Neben dem Know-how müssen Hersteller und Vertrieb Integrität und Vertrauenswürdigkeit vorweisen. IT-Verantwortliche brauchen Gewissheit, dass ihre Assets in guten Händen sind.

Kernelement ist dabei der Umgang mit den Verschlüsselungskeys: Viele Cloud-Anbieter bieten zwar Krypto-Dienstleistungen an, allerdings verbleiben die Schlüssel dann ebenfalls beim Service-Provider – ein potenzielles Risiko. Durch Mutwilligkeit oder Fahrlässigkeit können Daten illegal kopiert werden – ohne jegliche Kenntnis des Kunden. Gleichzeitig darf man IT-Abteilungen bei der Verwaltung der kryptografischen Daten und der passenden Schlüssel nicht alleine lassen. Allerdings möchten Unternehmen nicht mit jedem ihre Geheimnisse teilen. Channelpartner stehen in der Pflicht und sollten Nachweise für Glaubwürdigkeit und Sensibilität bereitstellen. Erst dann erwägen überhaupt Unternehmen Gespräche über ernsthafte Projekte.

Allerdings lohnt sich die Anpassung des Portfolios. Verschlüsselung über Hardware Security Module (HSM) sind eine gute Möglichkeit, um das Schutzniveau nachhaltig zu erhöhen und zudem noch wichtige Compliance-Vorgaben umzusetzen. Beispielsweise beim Recht auf Vergessen-werden können Daten nachweisebar unlesbar durch Änderung des Keys gemacht werden. Verschlüsselte Informationen sind dann für niemanden mehr zugänglich.

Fazit

Viele Geschäftsführungen unterschätzen das Ausmaß an IT-Prozessen in ihren Unternehmen und betrachten Datenschutz und Datensicherheit immer noch als kleine Randthemen. Das ändert sich mit der DSGVO.

Einige Systemhäuser und Vertriebsunternehmen haben bereits jetzt passende Lösungen im Angebot: Zwei-Faktor-Authentifizierung, korrekt implementierte Datenverschlüsselung, intelligentes Schlüssel Management sind essenzielle Technologien, allerdings gilt es zudem deren Rolle bei der Umsetzung der neuen EU-Verordnung zu verstehen.

Die Herausforderung für den Channel liegt nicht allein in Auflistung von Technologien. Es geht um grundsätzliches Vertrauen zwischen Herstellern, Vertrieb und Kunden. Auf dieser Grundlage sind auch die Herausforderung der DSGVO trotz Zeitdruck und veränderte Bedrohungslage zu stemmen. 

  EU 2016: „Text der Datenschutz-Grundverordnung“ http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CONSIL:ST_5419_2016_INIT  

  BSI 2016: „Lagebericht zur IT-Sicherheit in Deutchland 2016“ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2016.pdf;jsessionid=B42E16DEA2F56A8DC5CAD62146EA5104.2_cid368?__blob=publicationFile&v=3 

  Gemalto 2017: „Breach Level Index“   Opens external link in new windowhttp://breachlevelindex.com/  

Diesen Artikel empfehlen