EU-DSGVO

Gastkommentar - Gerhard Gerstmayer, baramundi

DSGVO: Fünf nach Zwölf

Bild: baramundi
Gerhard Gerstmayer, Geschäftsführer von baramundi software Austria
Bild: baramundi

Obwohl die Übergangsfrist der Datenschutzgrundverordnung (DSGVO) mittlerweile seit dem 25. Mai 2018 beendet ist, sind immer noch viele Unternehmen nicht wirklich darauf vorbereitet, dem neuen Regelwerk zu entsprechen.

Nach einer PwC-Studie sind 84 Prozent aller österreichischen Unternehmen ohne umfassende IT-Sicherheitsstrategie. Weiter fehlen bei 73 Prozent Schulungsmaßnahmen für Mitarbeiter zum Thema IT-Sicherheit. Dies wirft kein gutes Licht auf die Fähigkeit der Unternehmen, eine Konformität mit der DSGVO herzustellen.

Verpflichtungen für Unternehmen

Doch wie sehen die Ansprüche der DSGVO aus? Zunächst müssen Unternehmen ihre technischen Maßnahmen für die Datensicherheit überprüfen und daraufhin Lösungen einführen, die sich bereits in der Praxis bewährt haben. Verpflichtend ist die Pseudonymisierung und Verschlüsselung personenbezogener Daten, der im Gesetzestext vorkommende "Stand der Technik" ist nicht weiter ausgeführt.

Außerdem müssen Unternehmen ihre Maßnahmen auf die Eintrittswahrscheinlichkeit und Schwere des Risikos abstimmen. Hier muss eine Risikoanalyse durchgeführt werden, die mögliche Schwachstellen identifiziert und bewertet. Das Ergebnis der Analyse muss nachvollziehbar dokumentiert werden.

Nach Artikel 32 Absatz 1 der Verordnung müssen Unternehmen und Organisationen über "die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen" verfügen. Damit meint der Gesetzgeber, dass personenbezogene Daten weder für unbefugte Dritte zugänglich sind, noch verfälscht werden können. Neu ist, dass die Stabilität der IT-Systeme gewährleistet werden muss.

Schließlich müssen Unternehmen ein Verfahren zur Evaluierung der Qualität der IT-Sicherheit anwenden. Dieses muss die Sicherheitsmaßnahmen permanent überprüfen. Eine Methode dies sicherzustellen, ist der Einsatz eines Vulnerability Managements – vulgo Schwachstellenmanagements. Es kann Schwachstellen erkennen, Risiken verringern und für die richtige Priorisierung der notwendigen Maßnahmen sorgen. Dabei ist Vulnerability Management nicht ein einmaliger, punktueller Akt, sondern ein kontinuierlicher Prozess.

Mit Schwachstellenmanagement auf Nummer Sicher gehen

Die Ergebnisse innerhalb eines Schwachstellen-Managements können mannigfaltig sein. So können Schwachstellen in den verwendeten Betriebssystemen, fehlerhafte Konfigurationen oder veraltete beziehungsweise unsichere Passwörter eine Rolle spielen. Die Existenz dieser Risikofaktoren ist meist unbekannt, daher muss das Schwachstellenmanagement über ausreichende Informationen über Bedrohungsvektoren und Risiken verfügen, diese permanent aktualisieren und seine Prozesse darauf abstimmen.

In der Praxis würde ein Schwachstellen-Management-System nach einer Risikobewertung Maßnahmen initiieren, die vorhandene Risiken beseitigen. Hierunter fallen das Einspielen von Patches für Betriebssysteme oder Anwendungen sowie das Beheben von unsicheren Einstellungen in Programmen. Zudem informiert es die IT-Verantwortlichen über Berichte und Dashboards über die aktuelle Situation in der IT-Sicherheit.

Da laut der PwC-Studie immerhin nur 14 Prozent der österreichischen Befragten auf ihre Fähigkeit, einen Vorfall korrekt einzuordnen, vertrauen und sich lediglich 27 Prozent der Top-Manager proaktiv an der Ausgestaltung einer IT-Sicherheitsstrategie beteiligen, ist es höchste Zeit, dieses Thema zu urgieren. Die Betrauung eines Chief Information Security Officers (CISO) und der Einsatz eines Schwachstellen-Managements ist hier zwar nur ein erster, aber ein sehr wirksamer Schritt.

Gerhard Gerstmayer ist Geschäftsführer der baramundi software Austria GmbH.

Mehr Artikel zum Thema: EU-DSGVO

DSGVO nahezu bewältigt

Bei der Präsentation der aktuellen "KMU...

Weiterlesen

ÖAMTC schickt Mails sicher auf die Reise

Mobilität und Sicherheit sind wichtige Themen des...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen