DSGVO - Aus Sicht der IT-Security

DSGVO

Aus Sicht der IT-Security

Dominik Altermatt
von Dominik Altermatt
Lesezeit: 6 Minuten

Keypoints

  • Schutz von personenbezogenen Daten ist zu begrüssen
  • Die neuen Verordnung lässt noch viele Punkte in der effektiven Umsetzung offen
  • IT-Security Firmen können das Momentum zu ihren Gunsten nutzen
  • Bekannte Standards vereinfachen das Management der IT-Security

Wenigen Wochen vor dem effektiven Inkrafttreten der neuen Datenschutz-Grundverordnung der Europäischen Union nimmt die Aufregung spürbar zu.

Über Sinn und Unsinn der neuen Verordnung lassen sich von beiden Parteien nachvollziehbare Argumente finden. Einerseits scheint die gesetzliche Regulierung des Datenschutzes von Privatpersonen erstrebenswert und sinnvoll, andererseits lässt die neue Verordnung Verhältnismässigkeit missen und wird dabei bereits als zahnloser Tiger oder auch als Arbeitsbeschaffungsprogramm für Abmahnanwälte kommentiert. Weiter wird kritisiert, dass der Schutz der Privatsphäre von Bürgern gegenüber den Staaten in der Verordnung zu kurz kommt und andere nehmen die DSGVO als geostrategisches Mittel zum laufenden Handelskrieg mit der USA wahr. Darauf könnte auch die Aktion von Facebook hindeuten, welche eine grosse Anzahl von Benutzerdaten von Irland in die USA verschoben haben, damit die Datenhaltung unter US-Recht fällt.

Fakt ist, dass in den meisten europäischen Ländern bereits vor der Revision des Datenschutzgesetzes zu sorgsamen Umgang mit den Daten von Privaten gesetzlich verpflichtet wurde.

IT-Security und DSGVO

Wer für die IT-Sicherheit eines Unternehmens verantwortlich ist, kann jedoch das aktuelle Momentum nutzen, um Projekte der IT-Sicherheit seinem Management mit neuen Argumenten zu verkaufen oder auch um grundsätzlich ein IT-Security Management auf die Beine zu stellen. Das DSGVO fordert unteranderem und vereinfacht ausgedrückt eine angemessenen IT-Security zu betreiben. Dabei macht es absolut Sinn, nicht nur personenbezogenen Daten als Assets zu Identifizieren und zu schützen, sondern die Daten und Assets der gesamten Unternehmung mit einzubeziehen.

Der Umfang und die Ausprägung eines IT-Security Management variiert sehr stark nach Grösse und Geschäftsbereich eines Unternehmens. Daher gibt es auch keine detaillierten Rezepte, um auf die schnelle eine solches Projekt zu stemmen. Daher macht das Motto Security is a process – not a product absolut Sinn. Denn um schlussendlich Kosten für Produkte und Arbeitsstunden gegenüber dem Management rechtfertigen zu können, muss auch erklärt werden, warum dieser oder jener Kostenpunkt anfällt.

Daher erscheint es sinnvoll initial mit einem Top-Down Approach zu starten. Welche Geschäftsprozesse existieren und welche sind wichtig? Wo entstehend dabei Risiken im Zusammenhang mit der IT? Welche Systeme oder Prozesse sind betroffen. Wie sollen die Systeme nun genau geschützt werden und so weiter.

Zum Glück muss man hier das Rad nicht neu erfinden und kann auf diverse Quelle zurückgreifen, um sein eigenes IT-Security Konzept zu erstellen oder zu verbessern. Im Folgenden drei Quellen, um sich zu inspirieren.

NIST – Cyber Security Framework

Vor Kurzen ist die kostenlose und überarbeitete Version des Cyber Security Framework des amerikanischen National Institute of Standards and Technology (NIST) veröffentlich worden.

Die Struktur des NIST Framework ist simpel und intuitiv; die fünf Core-Kategorien bieten eine Struktur, die gut übernommen werden kann:

  1. Identify – Warum und was ist zu Schützen
  2. Protect – Wie wird etwas geschützt
  3. Detect – Wie wird ein Angriff oder Fehlverhalten erkannt
  4. Response – Wie reagiert das Unternehme bei einem Vorfall
  5. Recover – Wie kann nach einem Angriff die Integrität (der Daten und Systemen) wiederhergestellt werden.

Die fünf Core Kategorien teilen sich in weitere Unterkategorien auf und am Ende findet man zu jeder NIST-Kontrolle Referenzen auf diverse andere bekannte Standards (CIS, ISO2700, COBIT, etc.).

NIST selbst kommt mit einem eine massiven Katalog von Kontrollen, aus welchem man sich jene, die für das Unternehmen geeigneten aussuchen kann. Wer nach NIST arbeiten möchte, kann zum Beispiel auf verschiedenen Seiten Hilfestellungen finden.

ISO 27000 – Information Security Management Systems

Die ISO/IEC 27000 Familie ist ein Set von Standards der International Organisation for Standarization. Bekannt ist vor allem der ISO Standard 27001 – Information Security Management System, welches das Einführen und Betreiben eines Information Security Management Systems beschreibt. Für eine kleine Gebühr können die Texte von der ISO Webseite heruntergeladen werden.

Dafür kann die Webseite iso27001security.com empfohlen werden, welche viele Templates von Asset-Inventories zu Datenklassifikation über spezifische Security-Richtlinien und zu vielen weiteren Themen bietet. Wer also Hilfe für den Start benötigt, kann hier eine gute Basis dazu finden.

CIS – Center for Internet Security

Die NIST und ISO Standards beschreiben vornehmlich das Management der IT-Security. Jedoch macht die Definition von IT-Security die Systeme noch nicht sicher. Wenn es darum geht die Systeme zu effektiv schützen, öffnet sich nochmals eine neue Sphäre, wo technisches Wissen im Vordergrund steht. Wie die eingesetzten IT Produkte auf technischer Ebene geschützt werden können, hängt oft vom Verständnis der Verantwortlichen Techniker ab.

Das Center for Internet Security bietet hier einen beachtlichen Fundus an Hardening Guides für diverse Software Produkte und Betriebssysteme. Die Guides sind strukturiert aufgebaut und können teils kostenfrei bezogen werden.

Weiter bieten die sogenannten CIS Critical Controls einen etwas einfacheren Einstieg in das Management der IT-Security. Diese sind auf 20 Punkte reduziert und bieten für kleinere Unternehmen eine gute Basis im Vergleich mit den umfangreichen NIST und ISO 2700 Kontrollen.

Fazit

Das Thema DSGVO ist aktuell noch chaotisch aber, die konkreten Auswirkungen und Effekte noch unbekannt. Gespannt wird der 25. Mai 2018 für das Inkrafttreten abgewartet und unteranderem auch auf die ersten Präzedenzfälle zum Thema.

IT-Security Verantwortliche sollten Ruhe bewahren und sich den Rummel zu nutzen machen, um den Stand ihrer IT-Security zu verbessern und die DSGVO als Argumentationshilfe für ihre Projekte nutzen.

Wer inhaltlich Hilfe oder gar Starthilfe für das effiziente und strukturierte Management der IT-Sicherheit benötigt, kann sich mit den drei genannten Quellen eine gute Basis schaffen. Eine mögliche Struktur kann anhand der NIST Core-Kategorien erstellt werden und mit dem Input von ISO und CIS ergänzt werden. Für kleinere Unternehmen ist allenfalls der Start mit den CIS Critical Controls besser geeignet.

Über den Autor

Dominik Altermatt

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

Sie müssen DSGVO-Konformität gewährleisten?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie müssen DSGVO-Konformität gewährleisten?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv