DS-GVO: Verordnung da und alle Fragen offen?

In 119 Tagen, am 25. Mai 2018, tritt die Europäische Datenschutz-Grundverordnung endgültig in Kraft. Dann endet eine zweijährige Übergangszeit – und damit die Schonfrist für Unternehmen und Behörden. Doch obwohl die Zeit drängt, haben viele noch immer keinen Plan für die Umsetzung. Ihnen bleibt nun gar nichts anderes mehr übrig als Prioritäten zu setzen. Aber wo anfangen?

Laut einer Befragung des Branchenverbandes Bitkom hatten im September 2017 erst 13 Prozent der Unternehmen Maßnahmen zur Umsetzung begonnen oder abgeschlossen, während 33 Prozent noch unvorbereitet waren. Einer Umfrage der Deutschsprachigen SAP-Anwendergruppe (DSAG) vom Oktober 2017 zufolge hatte sogar jedes zweite befragte Unternehmen immer noch keinen Plan für die Umsetzung der Verordnung. Wo man doch denken sollte, dass die Verantwortlichen in den vergangenen 20 Monaten, seit die Verordnung im Mai 2016 in Kraft trat, genügend Zeit für die Umsetzung gehabt haben müssten. Zwar werden sie sicher nicht sofort belangt werden – aber wer den Aufsichtsbehörden dann nicht belegen kann, zumindest an einer den Anforderungen entsprechenden Anpassung seiner Prozesse und Tools zu arbeiten, der handelt grob fahrlässig und muss zu Recht mit Strafen rechnen.

Nur noch verschlüsselt kommunizieren?

Aber wo anfangen? Wie wäre es bei den E-Mails? Denn während die DS-GVO in vielen Fällen bewusst vage vom „Stand der Technik“ spricht, so auch in Artikel 32 („Sicherheit der Verarbeitung“), fordert sie dort explizit die „Verschlüsselung personenbezogener Daten“. Damit ist natürlich nicht gemeint, dass Unternehmen nur noch über verschlüsselte E-Mails kommunizieren dürfen. Wohl aber, dass Faktoren wie der Schutzbedarf der Daten zu berücksichtigen sind. Die Verordnung bezieht sich ausschließlich auf personenbezogene Daten, aber auch andere vertrauliche Daten sollten diesen Schutz erfahren. Unternehmen müssen Datenschutz durch Technikgestaltung und durch Voreinstellungen („Privacy-by-Design“ und „Privacy-by-Default“) umsetzen, die Rahmenbedingungen sind in Artikel 25 formuliert. Diese Grundsätze erfordern es, Daten wo immer es möglich ist, anonymisiert beziehungsweise pseudonymisiert zu erheben und verschlüsselt zu verarbeiten.

Die E-Mail spielt in der ganzen Thematik eine zentrale Rolle. Einerseits hat sie sich gerade im Unternehmensumfeld seit vielen Jahren als Hauptkommunikationsmittel etabliert, ist einfach zu bedienen und universell verfügbar. Andererseits kommen gerade hier Sicherheitsfragen ins Spiel: E-Mail-Systeme sind ein bevorzugtes Angriffsziel von Kriminellen, Hackern und Wirtschaftsspionen – neun von zehn Cyber-Angriffen starten mit einer E-Mail.

Wie den Cyber-Kriminellen zuvorkommen?

Hier lauern die Gefahren in der Art, wie Unternehmensmitarbeiter kommunizieren. Daher kommt es für IT-Verantwortliche darauf an, die Angriffsfläche zu verringern. Zumal den Betroffenen nicht nur wirtschaftlicher Schaden entsteht, wenn vertrauliche Informationen – versehentlich oder absichtlich – in die falschen Hände gelangen, auch der potenzielle Reputationsschaden sollte nicht unterschätzt werden.

Eine spezielle Authentifizierung sowie das verschlüsselte Übertragen der Inhalte machen das Mitlesen von E-Mail-Korrespondenz unmöglich. Aber erst wenn auch die Betreffzeilen verschlüsselt sind, können Angreifer nicht erkennen, wer mit wem worüber spricht und daraus Rückschlüsse ziehen – schon diese Informationen („Bitte Abstimmung wegen Übernahmeangebot Firma X“) können ausreichen, um einen Social-Engineering-Angriff zu starten.

Ein wichtiger Compliance-Standard, den die DS-GVO fordert, ist das Klassifizieren von Daten. Mit entsprechenden Lösungen können Unternehmen die gesetzlichen Vorgaben erfüllen sowie eigene Richtlinien umsetzen: So ermöglicht es die E-Mail-Schutz-Klassifizierung den Anwendern, Daten nach dem Grad ihrer Schutzbedürftigkeit einzustufen, um jede ausgehende Nachricht mit einem adäquaten Sicherheitsgrad versenden zu können. Konkret bedeutet dies, dass beispielsweise streng vertrauliche Patientendaten zwingend als verschlüsselter Anhang mit einem Einmal-Passwort und mit nachvollziehbarer Empfangsbestätigung versendet werden müssen.

„Schatten-IT“: Die im Dunkeln sieht man nicht?

Gerade große digitale Datenmengen, die sich nicht per E-Mail versenden lassen, können Mitarbeiter dazu verleiten, andere Hilfsmittel für den Datenaustausch zu verwenden – wie USB-Sticks, File-Sharing-Lösungen oder Cloud-Dienste, die sie vor allem aus dem privaten Bereich kennen. Das Ergebnis: Die oft zitierte „Schatten-IT“, der häufig beim Datenaustausch auftretende Einsatz nicht autorisierter Software im Unternehmen.

Umso wichtiger, dass Sicherheit, Benutzerfreundlichkeit und Kosteneffizienz Hand in Hand gehen. Überhaupt ist die Unterstützung durch technische Lösungen nur die eine Seite der Medaille, die auch nicht isoliert betrachtet werden sollte. Die andere ist die Sensibilisierung der Mitarbeiter, idealerweise in Form von regelmäßigen Schulungen. Sie ist unabdingbar, schließlich spielen die Anwender die zentrale Rolle bei allen Fragen rund um IT-Sicherheit.

Über den Europäischen Datenschutztag

Der Europäische Datenschutztag, der auf Initiative des Europarats ins Leben gerufen wurde, wird seit 2007 jährlich um den 28. Januar begangen. Weitere Informationen finden sich hier.

Über Dominik Lehr

Dominik Lehr ist Gründer und Geschäftsführer der Befine Solutions AG mit Sitz in Freiburg im Breisgau, die Kommunikationslösungen für Unternehmen entwickelt und vertreibt.

Über die Pointsharp GmbH

Über Cryptshare und Befine Solutions

Die inhabergeführte Befine Solutions AG entwickelt und vertreibt Softwarelösungen für Unternehmen, die damit ihre Prozesse unterstützen, optimieren und überwachen können. Hauptsitz und Entwicklungsstandort des im Jahr 2000 gegründeten Unternehmens mit über 50 Mitarbeitern ist Freiburg im Breisgau. Vertriebsstandorte gibt es in Großbritannien sowie den Niederlanden, eine Tochtergesellschaft in den USA.

Im Mittelpunkt steht Cryptshare, eine Kommunikationslösung für den sicheren Austausch von Informationen. Mit ihr lassen sich E-Mails und Dateien jeder Größe und Art ad-hoc austauschen – einfach und sicher, nachvollziehbar und kostengünstig. Sie ist in mehr als 1.400 Unternehmen in über 30 Ländern bei rund 3 Millionen Anwendern im Einsatz. Cryptshare wurde 2017 mit dem "Cybersecurity Excellence Award" in der Kategorie "E-Mail Security" ausgezeichnet.

Weitere Informationen finden sich unter www.cryptshare.com. Anwender können sich auch im Blog informieren.

Firmenkontakt und Herausgeber der Meldung:

Pointsharp GmbH
Schwarzwaldstraße 151
79102 Freiburg
Telefon: +49 (761) 38913-0
Telefax: +49 (761) 38913-115
http://www.cryptshare.com

Ansprechpartner:
Marcus Wenning
phronesis PR GmbH
Telefon: +49 (821) 444800
E-Mail: info@phronesis.de
Marcus Ehrenwirth
phronesis PR GmbH
Telefon: +49 (821) 444800
E-Mail: info@phronesis.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel