Letzten Freitag war ich auf einer IDC-Veranstaltung zum Thema DSGVO. Dabei habe ich zahlreiche Dinge gelernt:
- Etwa die Hälfte aller deutschen Unternehmen mit mehr als 20 Mitarbeitern sind nicht ausreichend auf die künftige Datenschutzgrundverordnung (DSGVO) vorbereitet. Das bedeutet im schlimmsten Fall, dass sie mit drakonischen Strafen rechnen müssen (die Rede ist von bis zu 20 Millionen Euro oder 4 Prozent vom jährlichen Umsatz der Firma!).
- Das Thema Datenschutzbeauftragter wird eine ganz neue Bedeutung erfahren. Auch hier hinken viele der von IDC befragten Unternehmen hinterher.
- Die technische und organisatorische Umsetzung der DSGVO-Kriterien stellt zahlreiche Unternehmen vor erhebliche Herausforderungen, vor allem den Mittelstand.
Und genau an dieser Stelle kommt die Firma CAST ins Spiel. Zwar nicht im organisatorischen, aber im technischen Sinne. Das sieht im Einzelnen wie folgt aus.
Technische Maßnahmen bewerten, die für mehr Sicherheit sorgen
Forderung: Betreiber von Cloud-Plattformen und andere Firmen werden ab Mai 2018 unter anderem daran gemessen, wie sicher Daten verarbeitet und gespeichert werden. Dies erfordert ein gesamtseitliches IT-Sicherheitsmanagement.
CAST-Unterstützung: Die Analysetools von CAST zeigen ganz genau, wie und wo schützenswerte Daten verarbeitet und gespeichert werden. Dabei werden nicht nur einzelne Anwendungen betrachtet, sondern die vollständige Verarbeitungskette, also vom Eingabegeräte bis zum Großrechner. CAST nennt das holistische Analyse. Sobald das Ergebnis dieser umfassenden Analyse vorliegt, wird eine Handlungsempfehlung erstellt, an welchen Stellen der Anwendungen und Schnittstellen nachgebessert werden muss.
Zuverlässigkeit von Anwendungen überprüfen
Forderung: Die DSGVO stellt hohe technische Anforderungen an Systeme und Dienste. Daher müssen deren Anbieter resp. Betreiber regelmäßig deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sicherstellen.
CAST-Unterstützung: Die CAST-Analysewerkzeuge basierten auf objektiven Standards, mit deren Hilfe man die Qualität einer Anwendung oder eines Service in Sachen Sicherheit und Belastbarkeit bewerten kann. Hierzu kommen die Standards des CISQ und der OMG zum Einsatz, die objektive Kennzahlen einer Anwendung bereitstellen. Auf dieser Basis lässt sich feststellen, wie zuverlässig eine Applikation arbeitet, woraus sich notwendige Maßnahmen ableiten und ergreifen lassen.
Datenschutz „by Design“ und „by Default“ sicherstellen
Forderung: Zwei wesentliche Grundprinzipien des Datenschutzes rücken verstärkt in den DSGVO-Fokus: „Data Protection by Design“ und „Data Protection by Default“. Damit sollen Anwendungen und Services von Anfang an nur die Daten erfassen, die unbedingt für die Anwendung notwendig sind.
CAST-Unterstützung: Mithilfe einer holistische Analyse lassen sich vollständige Transaktion, also vom Start- bis zum Endpunkt, transparent und damit nachverfolgbar machen. Dies stellt sicher, ob Daten im Sinne der DSGVO richtig verarbeitet werden und nicht auf unangemessene Weise adressiert werden. Dabei helfen Tools, „Data Protection by Design“ zu erzwingen und nachzuweisen.
Risikoeinschätzung selber vornehmen
Forderung: Unternehmen, die besonders sensible Daten verarbeiten und speichern, müssen künftig einschätzen können, mit welcher Wahrscheinlichkeit sich das Risiko eines Datenmissbrauchs, -verlusts, etc. beziffern lässt und welche Folgen daraus entstehen können.
CAST-Unterstützung: Die CAST-Analysetools durchforsten Anwendungen auf sämtliche Schwachstellen hin, die Verstöße und Sicherheitsverletzungen im Sinne des DSGVO zur Folge haben können – und das, bevor eine Anwendung in den Produktionsstatus übergeht. Damit lassen sich mögliche Cyberangriffe im Vorfeld genauso ausschließen wie Compliance-Vergehen aufgrund nicht autorisierter Prozesse. Auch hier kommen die Standards der OMG oder des CISQ zur Anwendung.
Dokumentationspflicht von Anfang an
Forderung: Die DSGVO fordert künftig von Unternehmen, mögliche datenschutzrechtliche Verletzungen genau zu dokumentieren. Darin müssen alle Fakten beschrieben werden, die eine Datenschutzverletzung ermöglichen können und wie diese Schwachstellen behoben werden sollen.
CAST-Unterstützung: Mithilfe des holistischen Analyseansatzes können CAST-Tools ein genaues Abbild der zu untersuchenden Anwendung erstellen, woraus sich objektive Kennzahlen ableiten lassen, die etwas über die tatsächliche Qualität der Applikation aussagen. Da dieser Vorgang beliebig wiederholt werden kann, erhält man eine zeitbezogene Veränderung der Anwendung, was einer kontinuierlichen Dokumentation entspricht.
Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.