Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Transkript

1 Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom July 2009 WP-DE

2 Einführung Die am 3. Juli 2009 vom Deutschen Bundestag verabschiedete Novellierung des Bundesdatenschutzgesetzes nimmt alle mit der Verarbeitung schützenswerter und personenbezogener Daten stärker in die Verantwortung. Unternehmen und Behörden sind stärker denn je gefordert, den unkontrollierten Abfluss dieser Daten zu unterbinden. Es drohen empfindliche Geldbußen, sowie durch die verschärfte Meldepflicht ein hoher Reputationsverlust. Die Meldepflicht wird durch die Neufassung des Gesetzes dahin gehend verschärft, dass bei einem Verstoß gegen die gesetzlichen Regelungen, alle Betroffenen unverzüglich und vollständig über den Vorfall in Kenntnis gesetzt werden müssen. Ist dies nicht lückenlos oder nur mit unverhältnismäßig hohem Aufwand möglich, so ist die öffentliche Information durchzuführen. In 42a des neuen BDSG wird es dann heißen: Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere auf Grund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen. Die Außenwirkung einer solchen Veröffentlichung dürfte erwartungsgemäß sehr hoch sein. Der Gesetzgeber spricht im Datenschutzgesetz nicht von der Angemessenheit, insofern gilt das Maximumprinzip bei allen durchzuführenden Maßnahmen und Regelungen, die direkt oder indirekt den Schutz personenbezogener Daten betreffen. Neben dem organisatorischen Schutz müssen Behörden, Unternehmen und Organisationen technische Maßnahmen einsetzen, um einen wirksamen Schutz Vorfällen mit schützenswerten Daten vorzubeugen. Wie die Vergangenheit gezeigt hat, ist in der Regel der Mensch der entscheidende Faktor bei der Verletzung von Datenschutzvorschriften. Hier gilt es, dem Menschen wirkungsvolle Unterstützung bei der Bewältigung seiner täglichen Aufgaben zu geben, die ihm und der Leitungsebene gleichzeitig die Sicherheit und Gewissheit gibt, 1

3 nicht gegen geltendes Recht zu verstoßen. Bei allen Verstößen gegen das Datenschutzrecht wird immer die Organisation als handelnde Person und nicht der Mitarbeiter zur Verantwortung gezogen werden. Bußgelder bei Verstößen gegen Datenschutzvorschriften auf Grund grober Fahrlässigkeit oder gar Vorsatz werden auf bis zu ,- Euro angehoben. Neu ist in dieser Regelung, dass ein Bußgeld auf jeden Fall den wirtschaftlichen Erfolg übersteigen soll, also auch durchaus ,- Euro übersteigen kann. Ein wirtschaftlicher Erfolgt liegt beispielsweise dann vor, wenn beispielsweise Adressmaterial mit schützenswerten Daten verkauft wurde. Daten fließen ab oder werden entwendet Bei Verstößen gegen Datenschutzvorschriften werden immer zwei unterschiedliche Intentionen zu beobachten sein: Entweder werden schützenwerte Daten aktiv ausspioniert und entwendet, also durch Externe gestohlen oder aber sie werden von innen, durch Unachtsamkeit oder gezielt, an einen unberechtigten Personenkreis weiter gegeben. Auch hierbei kann von Diebstahl gesprochen werden. Ob Diebstahl oder Unachtsamkeit bzw. Fahrlässigkeit, die Folgen für das Unternehmen, die Behörde oder die Organisation sind gleich verheerend: Bußgeld, Reputationsverlust der Öffentlichkeit, Vertrauensverlust bei den Betroffenen (Kunden). Diebstählen von außen kann mit geeigneten Werkzeugen aus dem Bereich der Endpoint-Security wirksam begegnet werden. Lumension Scan erfasst potentielle Schwachstellen im Netzwerk bereits im Vorfeld und durch geeignete Maßnahmen können diese geschützt oder ganz geschlossen werden. Gleichzeitig werden sämtliche Netzwerkkomponenten identifiziert und den Verantwortlichen ein Instrument zur Dokumentation der an der Verarbeitung schützenswerter Daten beteiligten Komponenten an die Hand gibt. Die Aufsichtsbehörden verlangen eine durchgehende Dokumentation der eingesetzten IT-Infrastruktur. Lumension Scan stellt dabei nicht nur eine Blitzlichtaufnahme des Netzwerkes zu einem definierten Zeitpunkt dar, vielmehr wird ein permanenter Scan durchgeführt, auch zukünftige Bedrohun- 2

4 gen oder gar Einbrüche können wirkungsvoll erkannt werden. Lumension Patch and Remediation bietet Unternehmen wirkungsvolle und komfortable Möglichkeiten Schwachstellen auf Softwarebasis aktiv zu beheben. Die hierbei eingesetzte patentierte Fingerprint-Technologie verhindert hier wirksam ein Aushebeln der eingesetzten Sicherheitsmechanismen durch das Ausnutzen bekannter Schwachstellen der installierten Unternehmenssoftware. Lumension Application Control gibt den Verantwortlichen die Sicherheit, dass nur genehmigte Anwendungen mit schützenswerten Daten in Kontakt kommen, unkontrollierter Abfluss von Informationen wird damit weitest gehend vermieden. Auch der Zugriff auf Daten und Datenbanken ist dadurch nur mit vorher freigegebener Software möglich, so dass auch der Versuch über Umwege an Informationen zu gelangen eingeschränkt werden. Lumension Device Control sorgt dafür, dass Daten nur auf dafür vorgesehene Medien gelangen oder nur auf vordefinierten Wegen durch das Unternehmen oder die Organisation fließen. Das Kopieren von Kunden- und Angebotsdaten mal eben auf einen USB-Stick ist nicht möglich. Ebenso wird hiermit die Problematik der Transportsicherheit bei Datentransporten auf mobilen Wechseldatenträgern wie z.b. USB-Sticks, CD/DVD s etc. durch die integrierten FIPS zertifizierten Verschlüsselungsmethoden behandelt und entsprechend abgesichert. Die hier beschriebenen Methoden und Werkzeuge entbinden jedoch nicht vom Einsatz organisatorischer Maßnahmen, wie beispielsweise den Einsatz eines Datenschutzbeauftragten oder auch die Verpflichtung der Mitarbeiter zur Einhaltung der Datenschutzvorschriften. Abschließend kann festgehalten werden, dass die beschriebenen Werkzeuge von Lumension Behörden und Unternehmen wirksam bei der Einhaltung der Datenschutzvorschriften unterstützen. Der Autor: Torsten Allar, Geschäftsführer der Allar Networks & Consulting GmbH berät und betreut Unternehmen und Behörden aller Größenordnungen bei der Umsetzung von Maßnahmen der IT- Sicherheit sowie der Erfüllung gesetzlicher Vorschriften. Torsten Allar ist Berater für ISO nach IT-Grundschutz und externer Datenschutzbeauftragter verschiedener Unternehmen. 3

5 Mehr zu Lumension Lumension, Inc., ist ein weltweit führendes Unternehmen im Bereich Operationelle Endpunktsicherheit. Lumension entwickelt, integriert und vertreibt Sicherheitssoftwarelösungen, die Unternehmen den effizienten Schutz sensibler Informationen und die bedarfsgerechte Verwaltung kritischer Risiken für ihre Netzwerke und Endpunkte ermöglichen. Internationaler Hauptsitz N. Greenway-Hayden Loop, Suite 100 Scottsdale, AZ USA Telefon: fax: Über Lumension-Kunden rund um den Globus profitieren von optimaler Sicherheit und einer erfolgreichen IT-Strategie dank der bewährten und preisgekrönten Lösungen von Lumension dazu gehören Schwachstellenmanagement, Endpunktschutz, Datensicherheit, Reporting und Konformitätsgarantie. Lumension ist zudem für seinen ausgezeichneten Kundenservice bekannt und stellt Supportleistungen rund um die Uhr bereit, 24 Stunden am Tag, 365 Tage im Jahr. Der Hauptsitz des Unternehmens befindet sich in Scottsdale, Arizona (USA). Darüber hinaus verfügt Lumension über Zweigniederlassungen auf der ganzen Welt, u. a. in Virginia und Florida (USA), in Luxemburg, Großbritannien, Spanien, Australien, Indien, Hongkong und Singapur. Lumension, das bedeutet IT-Sicherheit und Erfolgsgarantie. Weitere Informationen finden Sie auf der Website www. lumension.com. Schwachstellenmanagement Endpunktschutz Datensicherheit Reporting und Konformitätsgarantie 4