„DSGVO betrifft alle Daten“ – Interview mit Sven Sellen, Security Specialist bei Ivanti
Am 25. Mai tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Doch fast die Hälfte der deutschen Unternehmen hat laut IDC-Umfrage noch keine konkreten Maßnahmen zur Compliance getroffen. Offensichtlich rechnen sie nicht mit Kontrollen oder unterschätzen die möglichen Folgen von Verstößen. Doch Unternehmen sollten auf Nummer sicher gehen. Was sie dabei zu beachten haben, erläutert Sven Sellen, Security Specialist bei Ivanti, im Interview.
Herr Sellen, wo liegen die größten Herausforderungen, die ein Unternehmen in punkto DSGVO zu lösen hat?
Aus dieser Übersicht wird deutlich, dass alle Ebenen eines Unternehmens kontinuierlich zusammenarbeiten müssen, um rechtmäßig im Sinne der DSGVO zu handeln. Wenn nicht: Die Strafen für Verstöße liegen bei 10 bis 20 Millionen Euro oder 2 bis 4 Prozent des weltweiten Umsatzes, je nachdem welcher Betrag höher ist. Unklar ist jedoch derzeit noch, wie rigide die EU Verstöße ahnden wird.
Wo liegen die größten Hindernisse für die Umsetzung dieser Prinzipien?
Oft fehlt ein Anstoß durch den CIO oder CEO, der letztlich für die Compliance verantwortlich ist. Er muss für einen Ruck sorgen, der durch das ganze Unternehmen geht. Denn heute arbeiten IT-Betrieb und IT-Security sowie Fachabteilungen getrennt voneinander in Silos. Doch die DSGVO betrifft technische Sicherheitsmaßnahmen, organisatorische Prozesse und den Umgang der Mitarbeiter mit personenbezogenen Daten gleichermaßen. Streng genommen müssen Firmen alle Unternehmensdaten im Auge behalten – denn aus nahezu jeder Information lässt sich ein Personenbezug herstellen.
Wie lassen sich Endgeräte technisch schützen?
Dazu gehören in erster Linie System Patching, 3rd Party Patches, Applikationskontrolle, Rechteverwaltung, Device Control, Antivirus, Verschlüsselung und Discovery. Gerade Drittanbieter-Software ist heute das Haupteinfallstor für Cyberkriminelle und nicht mehr die klassische „Windows-Lücke“. Mit diesen sieben Maßnahmen lassen sich unserer Erfahrung nach etwa 95 Prozent aller IT-Risiken am Endgerät eindämmen. Eine hundertprozentige Sicherheit gibt es allerdings nicht. Man kann es Hackern nur schwer machen.
Zugleich muss sich die IT-Abteilung gegen einen möglichen Datenmissbrauch durch die eigenen Mitarbeiter wappnen. Strenges Rechtemanagement wird mit der DSGVO Pflicht. Zum Beispiel sollte nicht jeder Mitarbeiter jedes Dokument auf jeden USB-Stick übertragen dürfen. Die Rechtekontrolle ist mit Hilfe von Tools auch zu automatisieren. Wenn etwa ein Mitarbeiter kündigt, sollten ihm sofort Nutzungsrechte entzogen werden, um einen vermeidbaren Informations-Abfluss zu unterbinden. Dabei unterstützen automatisierte Services für Onboarding und Off-Boarding, die von der HR-Abteilung mitgestaltet und gestartet werden.
Dann ist die HR-Abteilung von Anfang an bei der IT-Security einzubinden?
Ja, nur dann wird ein sauberer Umgang der Mitarbeiter mit den IT-Systemen gewährleistet. Zur Unterstützung sind gemeinsam von HR und IT konzipierte Awareness-Schulungen durchzuführen. Zudem sollten sie die Prozesse anhand der Frage gestalten, wo personenbezogene Daten ausgelesen werden können. Hier werden oft viele Speicherorte übersehen, sofern es kein durchgehendes Single Sign-On gibt.
Aber bei allen Vorsichtsmaßnahmen: Müssen Unternehmen ihren Mitarbeitern nicht auch vertrauen?
Hier ist das richtige Maß zu finden. Vertrauen ist für die Zusammenarbeit innerhalb eines Unternehmens unabdingbar. Allerdings gilt leider auch, dass Firmendaten vor allem durch interne Faktoren bedroht sind – aus Unachtsamkeit der Mitarbeiter oder leider auch absichtlich. Unternehmen sollten daher ein gesundes Misstrauen entwickeln und zum Beispiel das Prinzip der geringsten Rechte umsetzen. Das bedeutet, dass Mitarbeiter nur auf die tatsächlich von ihnen benötigten Daten und Anwendungen zugreifen dürfen. Das zieht sich bis in die IT-Abteilung: Nicht jeder Admin sollte einen vollständigen Zugang zu allen IT-Ressourcen haben. Zum Beispiel braucht ein IT-Verantwortlicher für die Fertigungsstraße keinen Zugang zu Finanz- oder HR-Daten. Ein Personaler muss nicht auf die Clients der Mitarbeiter zugreifen können. So sollten jeweils granulare Rechte entsprechend der Aufgaben umgesetzt werden.
Im Rahmen der Digitalisierung kann sich aber eine Rechte-Zuweisung schnell verändern ...
Absolut. Daher muss das Rechte-Management auch flexibel sein. Hinzu kommt, dass nicht nur Menschen Zugriffsrechte benötigen, sondern auch Geräte. Der Netzwerk-Perimeter löst sich zunehmend auf, so dass mobile Devices wie Smartphones oder auch in der Firma installierte IP-Kameras zu berücksichtigen sind. Unternehmen brauchen daher ein umfassendes Zugriffs- und Rechtemanagement für Personen und Geräte.
Genauso wichtig ist dann ein übergreifendes Patch-Management zur Absicherung von Soft- und Hardware. Selbst seit langem verfügbare Patches werden häufig nicht aufgespielt – WannaCry lässt grüßen. Diese beiden Maßnahmen sind gute Startpunkte für die Umsetzung der DSGVO.
Welche Vorgehensweise empfehlen Sie Unternehmen, die sich auf die DSGVO vorbereiten wollen?
Die IT- und IT-Sicherheitsteams sollten sich Schritt für Schritt der DSGVO annähern. Im ersten Schritt empfehlen wir eine Bestandsaufnahme:
- Hardware-Inventarisierung: Welche firmeneigenen und privaten Geräte sind im Einsatz?
- Software-Inventarisierung: Welche Applikationen werden „an der IT vorbei“ genutzt?
- Patch Management: Werden nur aktuelle Versionen eingesetzt?
- Automatisierung: Ist die Inventurliste und sind Patches auf dem neuesten Stand?
- Applikationskontrolle: Welche Anwendungen dürfen verwendet werden?
- Rechteverwaltung mit Zugriffsmanagement: Wer darf mit welchem Gerät was nutzen?
- Gerätekontrolle: Auf welche Anwendungen und Systeme darf ein Gerät von wo aus zugreifen?
- Schulungen: Wie aufmerksam sind die Mitarbeiter?
Die Informationen aus dieser Null-Messung sollten dann primär betriebsorganisatorisch berücksichtigt werden. Die IT muss hier eng mit den Fachabteilungen zusammenarbeiten, um einen gangbaren Weg zu finden. Denn nur die Fachabteilungen wissen, welche Anwendungen für welche Arbeitsprozesse wichtig sind und wo keinesfalls Beeinträchtigungen durch unnötige oder zu strenge Sicherheitsmaßnahmen geschehen dürfen. Diese Zusammenarbeit muss letztlich von oben gesteuert werden. Denn schließlich ist der CEO oder CIO für die DSGVO-Compliance verantwortlich.