Go to Top

Sichern Sie Ihre Geräte gemäß DSGVO, bevor ein Datenleck passiert…

Bei den Themen Datensicherheit und Datenlecks denken viele Firmenchefs, die mit diesem Gebiet nicht vertraut sind, dass ein hoher Zaun, Kameras und ein Wachmann am Eingang die Aufgabe hinreichend erfüllen. Aber wie unter anderem die jüngsten Ransomware-Attacken gezeigt haben, ist dies definitiv nicht genug. Kein absolut sicheres Datenschutzverfahren etabliert zu haben, ist jetzt risikoreicher als jemands zuvor! Der Grund ist die Datenschutz-Grundverordnung (DSGVO).

Über die Auswirkungen auf Unternehmen, die mit der kommenden DSGVO-Verordnung einher gehen, die Ende Mai dieses Jahres endlich in vollem Umfang in Kraft tritt, wurde viel geschrieben. Seit den letzten zwei Jahren haben wir einige Artikel in diesem Blog über die Notwendigkeit der sicheren Löschung von persönlichen Daten –  von Partnern, Kunden oder anderen Personen – veröffentlicht, die nicht mehr für ein kommendes Geschäft benötigt werden oder die die Löschung ihrer Daten ausdrücklich verlangen.

Die DSGVO ist jedoch weit mehr als nur “das Recht auf Vergessenwerden”: Sie gilt auch präventiv zur Verhinderung von Datenlecks durch Unternehmen, die entweder innerhalb der Europäischen Union oder von außerhalb mit einem EU-Unternehmen Geschäfte machen.

In zwei Monaten endet die zweijährige Einführungsphase dieser neuen Regelung. In § 32 sieht die neue Verordnung vor, dass Unternehmen “ein Verfahren zur Einführung und Aufrechterhaltung regelmäßiger Überprüfungen und Bewertungen der Wirksamkeit technischer und organisatorischer Maßnahmen einführen, um die Sicherheit der Verarbeitung personenbezogener Daten im Unternehmen zu gewährleisten”. Die richtige Vorgehensweise gilt nicht nur für die Datenverarbeitung, sondern auch für den Auswahl- und Beschaffungsprozess der eingesetzten IT-Lösungen (Software und Hardware).

Für den Auswahlprozess werden die Unternehmen von der DSGVO angewiesen, “geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten”. Darüber hinaus haben die EU-Gesetzgeber auch festgeschrieben, dass die Lösungen „auf dem neusten Stand“ sein sollen.

Im Klartext heißt das, dass der IT-Verantwortliche alle notwendigen Maßnahmen ergreifen muss, um sicherzustellen, dass keine personenbezogenen Daten aus dem Unternehmen gelangen können. Maßnahmen nach dem neuen Gesetz sind zum Beispiel:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Dienste dauerhaft zu gewährleisten
  • die Fähigkeit, im Falle eines physischen oder technischen Zwischenfalls die Verfügbarkeit von und den Zugang zu personenbezogenen Daten schnell wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu etablieren

Ein weiterer sehr wichtiger Punkt wird zudem in § 32 der neuen Verordnung deutlich:

“Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind. “

Kurz gesagt § 32 fordert eine genaue Analyse der Risiken, die ein spezielles Verfahren mit einer bestimmten Technologie für personenbezogene Daten birgt. Der verantwortliche Mitarbeiter muss zuvor eine Datenschutz-Folgenabschätzung durchführen und sicherstellen, dass ein bestimmtes Verfahren – insbesondere bei Verwendung einer neuen Technologie – ein kleines oder großes Risiko für die (Daten-) Rechte von Personen darstellt.

Eine der wichtigsten Änderungen und Ergänzungen zu den früheren nationalen Gesetzen der Mitgliedstaaten besteht darin, dass Unternehmen nun innerhalb von 72 Stunden nach dem Auftreten ein solches Datenleck melden müssen.

Und nochmal – die Bußgelder sind heftig und genauso hoch wie bei einer unbefugten Verwendung von persönlichen Daten: Entweder Bußgelder von bis zu 20 Mio. € oder 4% des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist) in Fällen, die für den Datenschutz besonders wichtig sind, oder Geldstrafen bis zu 10 Mio. € oder 2% des globalen Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Kleine oder übersehene Geräte können auch ein Datenleck verursachen!

Die Einhaltung der DSGVO bedeutet, dass IT-Administratoren alle erforderlichen Maßnahmen ergreifen müssen, um sicherzustellen, dass kein Datenleck auftritt. Aber das ist leichter gesagt als getan. Datensicherheit ist schon lange vor diesem neuen europäischen Gesetz ein Thema, aber jetzt, mit nur wenigen Monaten Zeit und den anstehenden Bußgeldern, werden viele Menschen nervös.  Sie haben Angst, dass sie etwas vergessen haben könnten. Wie zum Beispiel Drucker und Kopierer…

Was viele Leute vergessen, ist, dass ein moderner Netzwerkdrucker auch persönliche Daten enthalten oder verteilen kann. Daher ist es eine perfekte Hardware für Hacker, um sensible oder geschäftliche Daten anzugreifen und zu erhalten.

Eines der besten Videos, um einen solchen Angriff zu erklären, wurde von HP produziert und spielt mit dem Hollywood-Schauspieler Christian Slater. In diesem Szenario zeigt er, wie eine mögliche Attacke eines Hackers zu einer Datenschutzverletzung und zum Diebstahl von Millionen von medizinischen Akten eines Krankenhausverbundes führen kann. Während Slater in dieser Geschichte zweimal die Identität eines hochrangigen Unternehmens-Managers stehlen und fast vergiften musste, konnte er das Netzwerk nur durch eine USB-Schnittstelle eines modernen Netzwerkdruckers infiltrieren.

Obwohl dieses Szenario sehr Hollywood-mäßig ist, ist die Idee, ein Unternehmen durch einen Drucker oder irgendein anderes Peripherie-Hardware-Gerät zu hacken, das mit dem Netzwerk verbunden werden kann, ziemlich plausibel. Selbst wenn Ihr Drucker nicht mit dem gesamten Unternehmen verbunden ist, kann er dennoch verschiedene vertrauliche Informationen speichern. Was viele Leute noch nicht wissen, ist, dass ein Business-Drucker oder Kopierer eine Festplatte enthalten kann, die die letzten Dokumente speichert, bis die Festplatte eben voll ist. Dies stellt eine ernsthafte Herausforderung für die Datensicherheit und die Vermeidung von Datenlecks dar: Wenn ein solches Gerät geleast oder gemietet wird und der Zeitraum abgelaufen ist, sollte diese Platte sicher gelöscht werden, da ansonsten vertrauliche personenbezogene Daten aus dem Unternehmen austreten können und in diesem Fall gemäß dem DSGVO-Rahmen dafür voll verantwortlich sind.

Deshalb – und mit nur noch 2 Monaten Zeit – sollten nun alle Vertreter, die sich derzeit mit der Durchsetzung der Unternehmensrichtlinien nach Maßgabe DSGVO-Richtlinie befassen, nun auch nach Hardware suchen, die möglicherweise in Vergessenheit geraten ist und diese in ihre Datensicherheitsprozesse einbeziehen. Es ist nicht zu spät, aber die Zeit wird knapp …

Bildnachweis: MichaelGaida / pixabay.com

https://pixabay.com/en/barbed-wire-video-camera-monitoring-1670222/

CC0 Lizenz