•  

Neue SaaS-Reporting-Lösung deckt unsichere Berechtigungsstrukturen auf

Interne Datenschützer als Security-Berater + Unmengen an Daten werden tagtäglich inner- und außerhalb des Unternehmens ausgetauscht. Sei es per E-Mail, Transfer-Laufwerk oder Share-Ordner – es ist eine große Herausforderung, hier den Überblick zu behalten und den gesetzlich vorgeschriebenen Datenschutz zu gewährleisten. Ein interner Datenschützer kann hier eine wichtige Rolle einnehmen. Neue SaaS-Reporting-Lösungen stellen nicht nur einen geeigneten Weg dar, Berechtigungslücken aufzudecken, sondern machen den Datenschützer auch zum wichtigen Security-Berater für die Geschäftsführung, der verhindert, dass Intellectual Property verloren geht.

Wenn Unbefugte Zugriff auf Unternehmensdaten erhalten, stellt das ein großes Sicherheitsrisiko dar. Neben personenbezogenen und Geschäftsdaten können auch unternehmenskritische Informationen wie etwa Forschungsergebnisse oder unveröffentlichte Patente in die falschen Hände gelangen. Ist dies geschehen, ist es meist zu spät und wertvolles Intellectual Property bereits verloren gegangen. Leider passiert es immer wieder, dass sich in Unternehmen die Datenberge auf den Servern türmen. Diese unstrukturierte Ablage ermöglicht es, dass auch Unberechtigte darauf Zugriff bekommen. Denn manuelles Berechtigungsmanagement und Access Control funktionieren nur bedingt, und so geht der Überblick über Zugriffsberechtigungen verloren. Das kann fatale Folgen haben – auch finanziell. Gemäß den ersten Urteilen nach der Datenschutz-Grundverordnung (DSGVO) fallen die Strafen für einen nachlässigen Umgang mit dem Datenschutz empfindlich hoch aus: Bis zu vier Prozent des Umsatzes können fällig werden.

Damit es zu keiner Vernachlässigung des Datenschutzes in der Firma kommt, empfiehlt es sich, dieses Thema in erfahrene Hände zu legen. Viele Unternehmensführungen vertrauen hier auf interne Mitarbeiter und lassen diese entsprechend zu internen Datenschutzbeauftragten ausbilden. Die Vorteile liegen auf der Hand: Als Angestellter hat der Mitarbeiter bereits eine enge Bindung zu anderen Betriebsangehörigen, was eine wichtige Rolle bei der Vermittlung von datenschutzrechtlichen Vorschriften spielt. Kollegen werden Anweisungen und Ratschläge von einem internen Berater vermutlich eher annehmen als von einem externen. Außerdem kennt er die betrieblichen Zusammenhänge und Abläufe im Detail und weiß, in welchen Unternehmensprozessen personenbezogene Daten verarbeitet werden.

Wer eignet sich als interner Datenschützer?

Wenn die Entscheidung ansteht, jemanden im Unternehmen mit dieser Aufgabe zu betrauen, muss die Geschäftsführung genau wissen, wer sich als interner Datenschutzbeauftragter eignen könnte. Denn abgesehen vom Fachwissen sollte der Verantwortliche einige andere Anforderungen mitbringen. Wer über sensible Daten wacht und für einen gesetzeskonformen Umgang sorgt, der sollte selbst mit tadellosem und vorbildlichem Verhalten vorangehen. Durchsetzungskraft, Selbstsicherheit und Fähigkeit zur Widerrede sind zudem zwingend notwendig, denn nicht jedem Kollegen werden die neuen Anweisungen gefallen. Loyalität und Treue gegenüber dem Unternehmen sollten den neuen Datenschutzbeauftragten ebenfalls auszeichnen. Wenn der Mitarbeiter noch die Bereitschaft zur ständigen Weiterbildung und eine sorgfältige Arbeitsweise besitzt, so bringt er alle notwendigen Qualifikationen mit. Das nötige Fachwissen wird dem internen Datenschützer in entsprechenden Schulungen vermittelt.

Welche Aufgaben hat ein interner Datenschützer?

Ist der interne Datenschützer erst einmal benannt, muss er sich zunächst einen Überblick verschaffen wann, wie und wo personenbezogene Daten verarbeitet werden, und dafür sorgen, dass interne Datenschutzrichtlinien dabei eingehalten werden. Mit seinen drei Kommunikationspartnern – den Mitarbeitern, der Geschäftsführung und den Aufsichtsbehörden – steht er im ständigen Kontakt. An die Kollegen muss er Datenschutzverfahren und -prozesse kommunizieren und diejenigen schulen, die Zugang zu personenbezogenen Daten haben. Die Geschäftsführung muss er zu nationalen und supranationalen Datenschutzvorschriften sowie Richtlinien und Verordnungen der Europäischen Union auf dem Laufenden halten. Bei der Durchführung interner Datenschutzaudits sind neue Reporting-Tools sehr hilfreich. Sie machen das Rechtemanagement transparent und die Überprüfung der Compliance möglich. Welcher User hat worauf Zugriff? Welcher Ordner darf von wem eingesehen werden? Aus welchen Gruppen stammen die Rechte und existieren direkt gesetzte Rechte? Wo ändern sich Rechte? Wer sind die Owner der Daten? Mit dieser Übersicht kann er entscheiden, ob wirklich alle Zugriffe notwendig oder ob einige bereits veraltet sind. Denn einmal erteilte Berechtigungen werden in der Regel nicht widerrufen. Dann haben interne Mitarbeiter, die nicht mehr zuständig sind, oder externe, die nicht mehr mit der Firma zusammenarbeiten, weiter Zugriff auf Inhalte. Als Mehrwert wird das Intellectual Property des Unternehmens geschützt, denn es wäre fatal, wenn Forschungsdaten und unveröffentlichte Patente beim Mitbewerber landen würden.

Reporting-as-a-Service als Lösung für professionellen Datenschutz

Die Zielsysteme des cloudbasierten Reporting-as-a-Service-Tools der econet GmbH aus München sind das klassische Windows-Dateisystem (inklusive Microsoft Active Directory) auf Windowsservern und NAS-Systemen. Künftig werden SQL-Datenbanken und SharePoint hinzukommen. Ergänzende Anwendungen wie Berechtigungs-Audit, Dateisystem-Konsolidierung, Data Access Governance und Identity & Access Management bringen dem Unternehmen zusätzlichen Nutzen. Darüber werden die Berechtigungen in der Datenablage ausgelesen, verschlüsselt übertragen und in der Reporting-as-a-Service-Anwendung von econet auf Basis der Microsoft-Azure-Cloud abgelegt. Über das Portal können die Daten zu den Zugriffsrechten in der Datenablage automatisiert geprüft und Reports mit den Ergebnissen generiert werden. Die Auffälligkeiten (Findings) in den vergebenen Zugriffsrechten auf die Datenablage werden aggregiert und pro Zielsystem, Anwender oder Abteilung als Findings angezeigt. Sie können grafisch aufbereitet werden und sind in gängigen Formaten wie PDF oder Excel exportierbar. Durch die Ergebnisse der Überprüfung kann der Datenschutzbeauftragte tiefer im System recherchieren und weitere Reports generieren. Aus ihnen geht hervor, ob Berechtigungsstrukturen stimmen und die Vererbungsregeln eingehalten werden. Ordner, auf die alle User Zugriff haben, müssen hinterfragt werden. Auch verwaiste SIDs (Security ID) von gelöschten Usern sind auffällig, genauso wie direkte Rechte von Userkonten ohne Nutzung von Gruppen und nicht vererbte Berechtigungen, da sie fehleranfällig sind, schwierig zu verwalten und der Ursprung oft nicht mehr nachvollziehbar ist.

Fazit

Unternehmen sind verpflichtet, den Datenschutz im Haus regelmäßig überprüfen zu lassen, um zu wissen, ob Compliance-Auflagen und gesetzliche Regularien eingehalten werden. Nicht nur Richtlinien der DSGVO und des Bundesdatenschutzgesetzes (BDSG) sind maßgebend, sondern auch branchenabhängige Regularien wie MaRisk oder SOX. Der Umfang der Vorschriften ist so groß, dass diese Aufgabe in professionelle Hände gelegt werden muss. Hier steht die Entscheidung zwischen internem oder externem Datenschützer an. Ganz gleich, wer damit betraut wird, die Access Governance wiederherzustellen und gegen undurchsichtige Berechtigungen auf unstrukturierte Daten vorzugehen, die Reporting-Lösungen von econet bieten eine optimale Möglichkeit, die gesetzlichen Vorgaben einzuhalten und gleichzeitig Intellectual Property des Unternehmens wirkungsvoll zu schützen.

Weitere Informationen: https://econet-reporter.de/ 

Diesen Artikel empfehlen