Effektive Umsetzung der EU-Datenschutz-Grundverordnung – worauf Unternehmen achten sollten
Wie in unserem letzten Blog „Ignorieren die Unternehmen die GDPR“ berichtet, stellen die umfangreichen Vorschriften der Datenschutzgrundverordnung (DSGVO, engl. GDPR) immer noch viele Unternehmen vor große Herausforderungen. Wo fängt man am besten mit der Umsetzung an, welche Prozesse muss man im Unternehmen in Gang setzen und wie sieht ein DSGVO-konformes Datenschutzmanagement letztendlich aus? Das sind nur einige Fragen, die vielen IT-Verantwortlichen derzeit Kopfzerbrechen bereiten, doch trotz vieler Fragezeichen ist dennoch keine Panik angesagt. Viele der datenschutzrechtlichen Konzepte und Prinzipien der neuen Datenschutz-Grundverordnung sind im Großen und Ganzen nicht viel anders als die, die bislang schon mit dem in Deutschland gültigen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden.
Dennoch ist es unumgänglich, dass Unternehmen ihre Datenschutzpraxis überprüfen und das Datenschutzmanagement bis zum 25. Mai 2018 nach den Vorgaben der DSGVO anpassen und weiterentwickeln. Unternehmen sollten hierfür einen systematischen Fahrplan zur Umsetzung entwickeln. Wie ist der Stand der Technik? Wie verschaffen wir uns einen Überblick über sämtliche IT-Assets? Das sind Fragen, die es am Anfang zu beantworten gilt. Unternehmen die bereits über ein Informationssicherheits-Management System (ISMS) beispielsweise nach der internationalen Norm ISO/IEC 27001 verfügen, können bei den Vorbereitungen auf den EU-gerechten Datenschutz den Aufwand erheblich reduzieren. Doch auch hier gilt es zu prüfen, welche Anforderungen bereits durch ein zertifiziertes ISMS im Unternehmen erfüllt werden und welche Lücken im Kontext der neuen DSGVO bestehen. Wichtig zu verstehen ist, dass Unternehmen, die eine ISO-Zertifizierung besitzen, nicht automatisch nach der Datenschutzgrundverordnung zertifiziert sind. Denn bei einer ISO-Zertifizierung kann der Rahmen der Zertifizierung frei gewählt werden, so dass nicht zwangsläufig das gesamte Unternehmen oder gar personenbezogene Daten von der Zertifizierung erfasst werden. Es gilt also zu analysieren, welche Vorgaben aus der DSGVO von einer ISO-Zertifizierung erfasst werden und welche zusätzlich hinzuzuziehen sind.
EU-DSGVO ohne komplettes ISMS möglich
Da die Einführung eines ISMS immer mit Aufwand und Kosten verbunden ist, stellt sich insbesondere bei kleineren und mittleren Unternehmen die Frage, ob die Einführung eines solchen Systems mit entsprechender Zertifizierung für die rechtskonforme Umsetzung der Anforderungen der DSGVO zwangsläufig notwendig ist. Die Antwort lautet hier ganz eindeutig: Nein!
Anstatt direkt ein vollständiges und dadurch recht komplexes ISMS-Projekt zu realisieren ist es auch möglich, sich zunächst einmal nur auf die seitens der DSGVO erforderlichen Komponenten zu beschränken. Eine Musterlösung hierfür existiert dabei leider nicht, denn verschiedene Geschäftsmodelle erfordern unterschiedliche Datenverarbeitungsvorgänge. Jedoch gibt es Handlungsempfehlungen und Tipps, wie Sie die neuen An- und Herausforderungen sicher angehen. Drei Tipps, um sich für die neue Datenschutzverordnung zu rüsten:
1) Bringen Sie Ordnung in unstrukturierte DATEN
Die DSGVO fordert, dass Unternehmen auf Verlangen der betroffenen Person deren personenbezogene Daten löschen. Dies kann auch Dokumente betreffen – etwa PDF oder Office-Dateien – die unter Umständen schon seit Jahren auf dem Laptop eines Vertriebsmitarbeiters oder irgendwo auf den Fileservern des Unternehmens liegen – man spricht hier von unstrukturierten Daten. Die Menge der unstrukturierten Daten in Unternehmen ist bereits Heute gigantisch und das Wachstum weiter exponentiell – unmöglich hier noch den Überblick zu behalten. Eine wesentliche Ursache für diesen „Wildwuchs“ ist dabei die unkontrollierte Verbreitung und Duplizierung von Daten, die sich oftmals über E-Mail Anhänge dem Berechtigungsystem der Dateistruktur entziehen und den Weg auf eine Vielzahl von lokalen Datenspeichern finden. Enterprise File Sharing Lösungen ermöglichen Unternehmen kontrollierte Prozesse für den sicheren Austausch unstrukturierter Daten zu etablieren und sind der richtige Weg um diese „Datenflut“ einzudämmen.2) Vermeiden Sie laxe Zugriffsrechte – bereiten Sie dem Wildwuchs im Berechtigungsmanagement ein Ende
Laut DSGVO muss sichergestellt werden, dass nur ermächtigte Personen Zugang zu personenbezogenen Daten erhalten. Ferner sind die Daten vor unbeabsichtigtem Verlust, versehentlicher Veränderung, unberechtigtem Zugang oder Weitergabe zu schützen.Dabei geht es nicht nur um den Schutz vor unerlaubten Zugriffen, sondern auch um den revisionssicheren Nachweis, dass ein Zugriff nicht möglich war. Es ist also sicherzustellen, dass die Berechtigungen mit den Job-Beschreibungen übereinstimmen und nicht die Datensicherheit gefährden. Die Automation der Berechtigungsvergabe durch Identity Management Lösungen ist Teil der Lösung und bei vielen Unternehmen bereits im Einsatz – der Fokus liegt hier aber auf der Automation und weniger auf der revisionssicheren Überprüfung, zumal: was ist mit den Systemen die nicht in das Identity Management integriert wurden – sei es aus wirtschaftlichen Überlegungen, aus technischen Gründen oder weil sie nicht der eigenen Kontrolle unterliegen? Identity Governance-Lösungen sind darauf ausgerichtet auch in komplexen, nicht automatisierten Umgebungen eine richtlinien-konforme Berechtigungsstruktur zu gewährleisten und nachzuweisen. Im Fokus stehen hierbei in erster Linie Sicherheitsrichtlinien, wie zum Beispiel eine restriktive Berechtigungsvergabe – auch als „Need-to-Know“ oder „Least Privilege“ Prinzip bekannt. Gerade hier herrscht starker Handlungsbedarf, wie eine 2016 veröffentliche Studie des Ponemon Instituts zeigt.
3) Verkürzen Sie die Reaktionszeit auf Sicherheitsvorfälle
Datenschutzverletzungen müssen unverzüglich, möglichst innerhalb von 72 Stunden, nach Bekanntwerden eines solchen Angriffs der Aufsichtsbehörde gemeldet werden. Gegebenenfalls sind auch die betroffenen Personen hierüber zu informieren. Zur schnellen Erkennung von Bedrohungen, noch bevor sie Schaden anrichten, benötigt man Echtzeitinformationen und Analysen der aktuell auftretenden Sicherheitsereignisse. SIEM-Lösungen ermöglichen die Korrelation und umfassende Auswertung von Sicherheitsinformationen und können auch automatisiert Gegenmaßnahmen einleiten. Doch in vielen Fällen bieten bereits deutlich einfachere Change Monitoring Lösungen eine spürbare Verbesserung der Reaktionszeiten auf Sicherheitsvorfälle.
Cybercrime den Nährboden entziehen – Zugriffe und privilegierte Rechte einschränken und sicher verwalten
Mähdrescher, die bis spät abends über die Felder fahren, prallgefüllte Obst- und Gemüsekisten mit süßen Beeren, knackig dunkelroten Kirschen und saftigen Tomaten – keine Frage Sommerzeit ist Erntezeit. Mitentscheidend für eine gute Ernte ist vor allem ein fruchtbarer und nährstoffreicher Boden. Doch nicht nur in der Landwirtschaft gilt das Prinzip, je besser der Nährboden, desto höher der Ertrag. Angesichts der bedrohlichwachsenden Zahl von Cyberangriffen, digitaler Spionage und Sabotage scheint der Nährboden für die Cyberkriminalität besser bestellt zu sein als jemals zuvor.
Die Komplexität der IT, die zunehmende Digitalisierung und Vernetzung – der perfekte Nährboden für Cyberkriminalität
Ob Sabotage, Spionage, Hackerangriffe, Datenmissbrauch oder Identitätsdiebstahl – massive Angriffswellen beschäftigen aktuell viele Unternehmen in allen Wirtschaftszweigen und natürlich die betroffenen Endanwender. Angesichts der Tatsache, dass Unternehmen immer mehr auf Digitalisierung setzen und ihre Geräte, Prozesse und Lieferketten im sogenannten Internet der Dinge miteinander vernetzen, geraten zunehmend Daten, Patente und spezifisches Wissen ins Visier von Cyberkriminellen, denn immaterielle Vermögenswerte wie Daten spielen im Business eine immer größere Rolle. So verwundert es nicht, dass gemäß des Allianz Risk Barometer2017 Cyberrisiken wie IT-Ausfälle, Spionage oder Datenmissbrauch in Deutschland erstmals das am meisten gefürchtete Unternehmensrisiko darstellen. Die Cybervorfälle gehen dabei mittlerweile weit über Hackerangriffe und Datenmissbrauch hinaus. Aktuell konzentrieren sich Cyberkriminelle vor allem auf Cyberspionage und Ransomware-Angriffe (siehe hierzu auch unseren Blog zum Thema Ransomware ). Der Data Breach Investigations Report (DBIR) 2017 von Verizon kommt zu dem Ergebnis, dass Cyberspionage in den Bereichen verarbeitende Industrie, öffentliche Hand und Bildung aktuell die verbreitetste Angriffsform ist. Bei der Analyse der nahezu 2.000 Datenverletzungen im Rahmen des diesjährigen Berichts zeigt sich erneut, dass Cyberangriffe auf die Schwachstelle Mensch weiterhin ein vorrangiges Thema sind. Missbraucht werden weiterhin im ganz großen Stil vor allem gestohlene oder schwache Passwörter. Laut des aktuellen Reports sind 81 % der durch Hacker-Angriffe verursachten Datenverletzungen auf gestohlene, schwache oder leicht zu erratende Passwörter zurückzuführen. Häufig sehen die Kriminellen es dabei auf eine missbräuchliche Nutzung privilegierter Benutzerkonten, wie sie z.B. Administratoren besitzen, ab.
Sicherheitsrisiko privilegierte Accounts
In einer Zeit, in der die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Antiviren-Scannern oder Webfilter-Techniken keinen ausreichenden Schutz mehr vor externen Angriffen bietet und u.a. zunehmend Strategien zur missbräuchlichen Nutzung der Passwörter von Administratoren entwickelt werden, sind zusätzliche Sicherheitskonzepte gefragt, und zwar in den Bereichen Zugriffsschutz und Rechtemanagement. Dies ist per se schon keine einfache Aufgabe und bei der Verwaltung privilegierter Benutzerkonten ist dies nochmals komplizierter, da eine typische IT-Umgebung aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über geteilte und lokale Admin-Accounts gesteuert und verwaltet werden. Über privilegierte Benutzerkonten ist oftmals ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich, was bedeutet, wer Zugang zu einem privilegierten Benutzerkonto erhält, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Erschwerend kommt hinzu, dass bei vielen Unternehmen Unklarheit herrscht, welche privilegierten Benutzerkonten es überhaupt gibt und wo sich diese im Unternehmen befinden. Zu den privilegierten Benutzerkonten zählen weitaus mehr als nur IT-Administrator- oder Superuser-Accounts. Hierzu gehören auch Application- und Service-Accounts oder Domain-Administrator-Accounts und diese stellen gerade im Zuge einer zunehmenden Vernetzung von Maschinen und einer autonomen Gerätekommunikation eine erhebliche Schwachstelle dar, wenn sie nicht gesichert und überwacht werden. Und dies machen sich immer mehr Angreifer zunutze.
Sicherung des kritischsten Angriffsvektors – mehr Schutz und Kontrolle für privilegierte Konten
Über welche Schritte sollten Unternehmen nachdenken, um die Sicherheit für privilegierte Konten nachhaltig zu erhöhen und somit das Risiko interner Bedrohungen zu senken und mögliche Schäden zu begrenzen? Zwei Maßnahmen hierzu liegen auf der Hand:
um den Identitätsdiebstahl und -missbrauch zu eliminieren
um die Angriffsflächen zu reduzieren
Hierzu gibt es bereits zahlreiche internationale Vorgaben, Richtlinien und Empfehlungen. So findet man in den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) beispielsweise die Empfehlung, dass privilegierte Konten immer über eine 2-Faktor-Authentifzierung geschützt werden sollten. Diese konkreten Vorgaben sollen helfen, die Einfallstore durch eine starke Authentifizierung gegen Kriminelle abzusichern und Hackerangriffen vorzubeugen. Da eine starke Authentifizierung jedoch alleine nicht ausreichend ist, müssen Unternehmen zusätzliche Sicherheitsmaßnahmen einbauen. Ein privilegiertes Account und Session Management, mit dem sowohl die Benutzerrechte als auch der Zugriff auf privilegierte Konten kontrolliert und gleichzeitig der Zugriff auf kritische Systeme zeitlich limitiert werden kann, hilft Risiken zu senken und mögliche Schäden zu begrenzen.
Durch diese Art der Verwaltung von privilegierten Konten gewährleisten Sie einen besseren Schutz, da durch die Festlegung von Regeln, z.B. welche Befehle Benutzer zu welchem Zeitpunkt auf welchen Systemen ausführen dürfen, eine umfassende Kontrolle gegeben ist. Weitere Informationen darüber, wie eine Privileged Account Management Lösung Unternehmen hilft den Zugriff zu kontrollieren, um Risiken zu senken, haben wir Ihnen hier zusammengestellt.