Datenschutz und Cybersecurity

Das sind die Erfahrungen von Kudelski Security mit der EU-DSGVO

Uhr
von Martin Dion, Vice-President, EMEA Delivery (Information Assurance & Managed Security Services) bei Kudelski Security

Die Umsetzung der EU-DSGVO stellt Unternehmen vor verschiedene Herausforderungen. Gastautor Martin Dion berichtet über die Erfahrungen des IT-Sicherheitsanbieters Kudelski Security mit den neuen Datenschutz-Regeln. Sechs Lehren hat er aus der Umsetzung gezogen.

Martin Dion, Vice-President, EMEA Delivery (Information Assurance & Managed Security Services) bei Kudelski Security. (Source: Kudelski Security)
Martin Dion, Vice-President, EMEA Delivery (Information Assurance & Managed Security Services) bei Kudelski Security. (Source: Kudelski Security)

Datenschutz, Privatsphäre und Innovation sind Teil der DNA eines Sicherheitsunternehmens. Kudelski Security arbeitet mit einigen der grössten nationalen und internationalen Organisationen im privaten und öffentlichen Sektor zusammen, um ihre schwierigsten Probleme im Bereich der Cybersicherheit anzugehen. Wie jedes andere Unternehmen, das sich mit den personenbezogenen Daten von EU-Bürgern befasst, musste Kudelski Security seine bestehenden globalen Datenschutzrichtlinien und -praktiken überprüfen, um sicherzustellen, dass sie die Anforderungen der Datenschutz-Grundverordnung (EU-DSGVO) erfüllen. Das eigene DSGVO-Implementierungsprogramm hat Kudelski Security einige Überraschungen beschert, aber auch wertvolle Erkenntnisse gebracht. Ausgehend von eigenen Erfahrungen sind nachfolgend die sechs wichtigsten Lehren, die daraus gezogen wurden aufgeführt.

1. IT und Security können das nicht alleine: Ein unternehmensweites Projekt starten

Die DSGVO ist nicht nur ein Thema der IT oder Cybersicherheit. Sie betrifft potenziell alle Bereiche des Unternehmens und birgt erhebliche Risiken, für die letztlich das Führungsteam verantwortlich ist. Dazu gehören beispielsweise Bussgelder für die Verletzung der EU-DSGVO von bis zu 4 Prozent des weltweiten Gesamtumsatzes oder 20'000 Euro – je nachdem, welcher Betrag höher ist. Kudelski Security hat ein Projektteam eingerichtet, das von einem Mitglied der Geschäftsleitung gesponsert wurde. Alle Abteilungen des Unternehmens, einschliesslich Recht, Risikomanagement und IT, waren vertreten, um deren eigene Anforderungen und Beiträge zum Projekt berücksichtigen zu können. Dabei wurde festgestellt, dass sich die Zusammenstellung des Teams im Laufe des Projekts weiterentwickeln musste, um den unterschiedlichen Anforderungen der einzelnen Phasen gerecht zu werden. Die Planungs- und Analysephasen erforderten andere Fähigkeiten und Erfahrungen als die Implementierungsphasen, in denen zum Beispiel mehr IT-Architekten und Entwickler benötigt wurden.

2. Das Führungsteam einbinden und ein Bewusstsein für die DSGVO schaffen

Die Rechenschaftspflicht ist ein Schlüsselelement der DSGVO. Um von Anfang an die wichtigsten Stakeholder einzubeziehen, wurden Trainingsworkshops durchgeführt, an denen auch interne Führungsteams teilgenommen haben. In diesen Sitzungen wurden die zehn wichtigsten Themen behandelt, die durch die DSGVO geregelt werden – bis hin zu der Frage, wie sich eine Organisation anpassen muss, um die Einhaltung der DSVGO und der Datenschutzvorgaben sicherzustellen. Dadurch hat Kudelski Security ein gemeinsames Verständnis der Bedeutung des DSVGO-Projekts und der zu erwartenden Verhaltensweisen erreicht, klare Rollen und Verantwortlichkeiten rund um das Projekt festgelegt sowie ein Buy-in für die Beschaffung der notwendigen Projektressourcen erhalten.

3. Einen Datenschutzbeauftragten ernennen

Datenschutzbeauftragte (DSB) müssen ernannt werden, wenn eine Organisation in grossem Umfang eine systematische Beobachtung des Nutzerverhaltens durchführt oder grosse Mengen sensibler personenbezogener Daten verarbeitet. Je eher man diese Person ernennt, desto einfacher wird die DSGVO-Reise – falls alle anderen Faktoren gleich sind. DSB kennen den Datenbestand, den Datenfluss, die Verwendung der Daten (z. B. gesammelt oder manipuliert) sowie eventuelle Lücken. Ihre Bedeutung wird mit der Weiterentwicklung der DSGVO im Laufe der Zeit weiter zunehmen. Sie sind das Bindeglied zu den Aufsichtsbehörden und Anlaufstelle für Ratschläge zu Datenschutz-Folgenabschätzungen, die vorgenommen werden müssen, wenn Organisationen in grossem Umfang oder mit hohem Risiko personenbezogene Daten verarbeiten. Deshalb ist es wichtig, zu Beginn des Projekts, während der Umsetzung und im normalen Geschäftsbetrieb eng mit ihnen zusammenzuarbeiten.

4. Geschäftsprozesse überprüfen, aber sich nicht in Details verlieren

Die Überprüfung der Geschäftsprozesse ist ein wesentlicher Bestandteil der Vorbereitung auf die DSGVO. Kudelski Security arbeitet mit vielen Organisationen zusammen, um ihre Netzwerke zu schützen. Diese Organisationen müssen in gemeinsamer Abstimmung ihre eigenen Geschäftsprozesse richtig abbilden, damit Kudelski Security keine Daten extrahiert, die nicht gebraucht werden. Ob für eigene Zwecke oder in der Zusammenarbeit mit Kunden, Kudelski Security konzentriert sich auf drei Kernfragen: Welche Daten werden benötigt? Wer braucht Zugang zu den Daten und warum? Was ist das Risiko und lohnt es sich? Dies hilft dabei, die nötigen Ressourcen zu bündeln und ein typisches Problem zu vermeiden, das in vielen Unternehmen auftritt: Überinvestitionen in einen Bottom-up-Ansatz bei der Abbildung von Prozessen und Datenflüssen. Obwohl die Absicht lobenswert ist, werden allzu oft Datenflusskartierungen in einer Weise durchgeführt, die zu detailliert und zu ressourcenintensiv ist, da der für die Entwicklung eines Datenschutzregisters erforderliche Umfang relativ begrenzt ist. Ausserdem neigen die Leute bei einem Bottom-up-Vorgehen dazu, sich zu rechtfertigen, warum sie diese Daten überhaupt hatten, anstatt sich auf das Ziel zu konzentrieren und das absolute Minimum zu extrahieren, das notwendig ist, um das Ergebnis zu erreichen.

5. Zusammen mit neuen Prozessen auch neue Rechte einführen: Man sollte sich nicht überrumpeln lassen

Kudelski Security hat gelernt, dass es wichtig ist, neben Ihren Geschäftsprozessen auch die neuen Rechte der betroffenen Personen nach DSGVO zu berücksichtigen. Andernfalls besteht eine hohe Wahrscheinlichkeit, dass man überrumpelt wird, wenn es drauf ankommt. Zu den neuen Rechten gehört das Recht, vergessen zu werden, Daten einzusehen und der Profilerstellung zu widersprechen. Bevor Partner ihre Daten anvertrauen, muss Kudelski Security nachweisen, dass sie DSGVO-konform ist. Auch das Gegenteil ist der Fall. Wenn ein Unternehmen beispielsweise Daten gesammelt oder weitergegeben hat, muss es deren Schutz während des gesamten Lebenszyklus sicherstellen, sowohl innerhalb als auch ausserhalb der eigenen Organisation.

Trotz enger Zusammenarbeit mit dem Kudelski-Security-Rechtsteam, sind einige dieser Punkte für viele Mandanten und Partner noch nicht ganz geklärt. Dazu gehört unter anderem die Frage, wo Kunden wohnen und welche Vorschriften für sie gelten. Wenn bei einer Datenschutzverletzung ein erheblicher Teil der Kunden in Deutschland und Frankreich ansässig ist, welche Erwartungen haben die jeweiligen Regulierungsbehörden? Sollte man den Fall nur der nationalen Regulierungsbehörde melden und alles Weitere ihr überlassen?

6. Auf das Beste hoffen, aber für das Schlimmste planen: Erstellen eines Notfallplans

Die DSGVO gibt klare Richtlinien vor, was im Falle einer Datenschutzverletzung geschehen muss. Wird eine Verletzung festgestellt, muss das betroffene Unternehmen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren. Besteht ein hohes Risiko für die betroffenen Personen, müssen möglicherweise auch diese informiert werden. Das Kudelski Security Incident-Response-Team hat in Zusammenarbeit mit seinem "Fusion Centre" und verschiedenen Geschäftspartnern einen sogenannten Incident-Detection- und Response-Prozess zu entwickeln, der jegliche Verletzung persönlicher Daten erkennen und darauf reagieren kann. Der Fokus von Kudelski Security liegt jedoch auf der Minimierung von Vorfällen und auf der Schadensbehebung vor der Benachrichtigung.

Über 80 Prozent der Datenschutzverletzungen werden von externen Akteuren begangen. Hacker versuchen rund um die Uhr, Organisationen anzugreifen, also brauchen diese ein System, das ständig nach Bedrohungen sucht. Ein klassisches Gefahrenabwehrsystem ist damit überfordert; nur ein Fusions-System kann diese Aufgabe auf kosteneffiziente Weise erfüllen. Fusionssysteme, wie sie Kudelski Security sie entwickelt hat, verlagern das Problem vom Unternehmen zum Angreifer. Der Angreifer weiss, dass er erkannt wurde oder erkannt werden wird, aber er kennt die Köderpunkte nicht. Das verlangsamt ihn nicht nur, es bedeutet auch, dass die grössten Bedrohungen schneller erkannt und neutralisiert werden können, als ein traditionelles System dies könnte.

Ausblick

Der DSGVO-Prozess hat Kudelski Security gezwungen, sich mit Themen zu befassen, die nicht Teil der ursprünglichen Pläne waren. Viele Kunden und Geschäftspartner stehen in einer ähnlichen Situation. Dabei hat Kudelski Security für sich und seine Geschäftspartner wertvolle Erkenntnisse gewonnen, die in die Prozesse des normalen Geschäftsbetriebs und deren Trainingsprogramme einfliessen konnten. Die Einhaltung der DSGVO ist jedoch ein fortlaufender Prozess. Kudelski Security empfiehlt seinen Kunden, sich auf ihr Kerngeschäft zu konzentrieren und den richtigen Partner zu finden, der sie bei der Umsetzung verschiedener Aspekte der DSGVO unterstützt. Unternehmen sollten dafür sorgen, dass das Projekt die nötige Unterstützung durch die Geschäftsleitung sowie die erforderlichen Ressourcen erhält.

Webcode
DPF8_92387