Die DSGVO beim Datenschutz wird es nun ernst

Transkript

1 KURZÜBERSICHT DSGVO Die DSGVO beim Datenschutz wird es nun ernst Was besagt die DSGVO, was bedeutet sie und inwiefern sind Sie betroffen

2 Die DSGVO bedeutet eine drastische Änderung für Unternehmen, die personenbezogene Daten von EU-Bürgern besitzen und schützen müssen. Da die Bußgelder bei Verstößen gegen den Datenschutz oder Datenmissbrauch so hoch sind, sind die Datenrisiken des Internets nicht mehr nur ein IT-Problem. Im gesamten Unternehmen müssen Vorbereitungen für die Einhaltung des Datenschutzes getroffen werden und die Verantwortung dafür übernommen werden. Diese Kurzübersicht bietet einen Überblick über die wichtigsten Punkte der DSGVO und die drohenden Konsequenzen. Weitere Hilfe ist verfügbar. Was ist die DSGVO? Wir verbringen immer mehr Zeit online deshalb werden zu unserem Schutz neue Regeln benötigt. Die neue EU-Datenschutz-Grundverordnung (DSGVO) ist gegenüber der vorherigen Gesetzgebung ein großer Fortschritt. Sie bedeutet, dass EU-Bürger eine größere Kontrolle über und einen leichteren Zugriff auf ihre personenbezogenen Daten erhalten. Eine DSGVO-Konformität erfordert eine verstärkte Beurteilung, optimierte Erkennungsmechanismen und verbesserte Datensicherheitsrichtlinien für Unternehmen, die Daten besitzen. Ein kurzes Glossar IAM EU DSGVO IGA Identity and Access Management Europäische Union Datenschutz-Grundverordnung Identity, Governance and Administration

3 Warum wird die Verordnung eingeführt? Unser Leben online bedeutet, dass unsere personenbezogenen Daten oft weiter reisen als wir selbst. Wenn sie die Grenzen der EU verlassen, verschwimmen häufig die gesetzlichen Richtlinien. Die DSGVO bringt Konformität und steigert den Schutz eines wertvollen Gutes, das im Jahr 2020 jährlich 1 Billion Euro wert sein könnte. Wann tritt die Verordnung in Kraft? Die DSGVO gilt ab dem 25. Mai Der zweijährige Implementierungszeitraum hat bereits begonnen und lokale Datenschutzbeauftragte können schon jetzt Geldstrafen für Verstöße verhängen. Wer ist betroffen? Alle EU-Organisationen, die personenbezogene Daten besitzen. Organisationen innerhalb der EU, die Daten verarbeiten. Jede Organisation, die Informationen über EU-Bürger speichert, ganz gleich an welchem Ort. Jede Organisation, die Verbrauchern in der EU Waren oder Dienstleistungen anbietet. Aber der Brexit...?...wirkt sich nicht darauf aus. Die Frist für die DSGVO endet vor dem potenziellen Austritt und entbindet Unternehmen nicht von ihrer Verantwortung. Was wird sich ändern? Ein allumfassender Grundsatz für den stärkeren Schutz von personenbezogenen Daten. Dieser manifestiert sich in verstärkter Beurteilung, präventiven und aufdeckenden Kontrollen und verbesserten Datensicherheitsrichtlinien. Mehr Verantwortlichkeit. Unternehmen müssen: ihre Konformität nachweisen zum Beispiel durch Dokumentation/Aufzeichnung der Richtlinien, die Entscheidungen über die Verarbeitung zugrunde liegen. umfassende, angemessene Governance-Maßnahmen implementieren, wie z. B. Datenschutz-Folgenbeurteilungen und eingebauten Datenschutz. Datenmissbrauch innerhalb von 72 Stunden, nachdem sie Kenntnis davon erlangt haben, berichten Hohe Geldstrafen werden für die Nichteinhaltung oder direkten Datenmissbrauch verhängt. Geldstrafen umfassen: 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes für schweren Datenmissbrauch, je nachdem, welcher Wert höher ist 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes für sehr schweren Datenmissbrauch, je nachdem, welcher Wert höher ist. Wie sieht ein Datenmissbrauch aus? Gemäß den Bestimmungen der DSGVO ist ein Datenmissbrauch eine Sicherheitslücke, die zu Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten führt. Zum Beispiel könnte gemäß den Bestimmungen der DSGVO ein Krankenhaus haftbar gemacht werden, wenn aufgrund eines Mangels an geeigneten internen Kontrollen ein unautorisierter Zugriff auf Gesundheitsinformationen eines Patienten erfolgt. Für die DSGVO ist der unangemessene Zugriff auf Daten so schwerwiegend wie ein Verlust. Sind Sie bereit? Wahrscheinlich nicht. In dieser Umfrage* wurde festgestellt, dass Datenschutz für einige Unternehmen noch keine hohe Priorität hat. Während 67 Prozent der Unternehmen angaben, dass die regulatorische und rechtliche Konformität ein wichtiger Faktor für die Investition in Datenschutz sei, gab ein besorgniserregend hoher Anteil von 63 Prozent der Befragten an, dass sich ihre Datenschutz-Reife oder -Bereitschaft nur in den Anfangs- oder mittleren Stadien befindet. Der zweijährige Implementierungszeitraum für die DSGVO hat bereits begonnen und lokale Datenschutzbeauftragte können schon jetzt Geldstrafen für Verstöße verhängen. Besorgniserregend Ein besorgniserregend hoher Anteil von 97 Prozent der Unternehmen hat keinen Plan zur Erfüllung der DSGVO und 50 Prozent sind nicht sicher, ob sie im Jahr 2018 die DSGVO erfüllen können. Während 89 Prozent der Unternehmen der Meinung sind, dass sie ihren Datenschutzansatz aufgrund der DSGVO ändern müssen, geben nur 8 Prozent an, bereits konform zu sein. Die Micro Focus Lösung Nichts zu tun ist keine Option. Daher sollten Sie die DSGVO als Chance nutzen einen Rahmen für den Aufbau und die Verstärkung von zuverlässigem Datenschutz und hoher Integrität. Zum erfolgreichen Management der DSGVO-Umsetzung sind einerseits Technologie und andererseits Prozesse erforderlich. Wir können Ihnen mit einer fachkundigen Analyse Ihres Datenschutzprogramms helfen. Zwar garantiert dies keine Konformität, doch ist dies ein nützlicher Healthcheck, der vor Inkrafttreten der DSGVO die Strategien und Schutzfunktionen des Identity and Access Managements Ihres Unternehmens beurteilt. So ist es eine nützliche Vorbereitung auf das detaillierte DSGVO Data Protection Impact Assessment (DPIA). Identifizieren Sie potenzielle persönliche Risiken für die Privatsphäre von Einzelpersonen in der Verarbeitung ihrer Daten. DSGVO-Konformität vereint Wissen, Strategie und Technologie. Wir müssen uns mit jeder Phase chronologisch befassen und die richtige Technologie zum passenden Zeitpunkt implementieren. Bei weniger Einsatz können Unternehmen eventuell ihre Ziele nicht erreichen.

4

5 Micro Focus Identity-Powered Security-Funktionen Management und Governance von Rechten Einrichten effektiverer Zugriffskontrollen Überwachung der Benutzeraktivität Beispielfragen Identitätslebensdauer-Verwaltung Anforderungsmanagement Rollenverwaltung Zugriffsneuzertifizierung Kontrolle der Funktionstrennung Kontrolle ruhender, gefälschter und verwaister Konten Active Directory-Delegierung Verwaltung privilegierter Konten Verbund/Federation Single Sign-on Risikobasierte Authentifizierung Mehrstufige Authentifizierung Privilegienverwaltung für Superuser Passwortverwaltung gemeinsamer Konten Überwachung der Dateiintegrität Verwaltung von Sessions privilegierter Konten Überwachung der Benutzeraktivität Verwaltung von Sicherheitsvorfällen und -ereignissen Reporting und Analyse Wie stellen Sie auf fortlaufender Basis sicher, dass der Zugriff eines Benutzers auf personenbezogene Daten angemessen ist? Woher wissen Sie, dass Personen, die keinen Zugriff auf personenbezogene Daten benötigen, auch keinen Zugriff haben? Wie verhindern Sie, dass Personen, die keinen Zugriff auf personenbezogene Daten benötigen, Zugriff darauf erhalten? Wie schützen Sie die personenbezogenen Daten vor dem Risiko eines Zugriffs durch Missbrauch von Insider-Anmeldeinformationen? Wie schützen Sie personenbezogene Daten vor dem unangemessenen Zugriff mittels privilegierter Benutzer, beispielsweise Systemadministratoren? Wissen: In unserer Beurteilung heben wir Problembereiche hervor. Diese Problembereiche zu behandeln, ist ein wichtiger und positiver Schritt in Richtung Einhaltung der DSGVO. Folgende Fragen könnten gestellt werden: - Können Sie mit Sicherheit sagen, wer Zugriff auf personenbezogene Daten hat? - Wie unterscheiden Sie zwischen angemessenen Benutzern und Benutzern mit privilegierten Anmeldedaten, beispielsweise Systemadministratoren? - Welche personenbezogenen Daten besitzen Sie, wo werden sie gespeichert und wer kann darauf zugreifen? - Ist der Zugriff jedes Benutzers auf personenbezogene Daten weiterhin angemessen und wie überprüfen Sie das? - Welche Kontrollen schützen neben dem Passwort und den Benutzerrechten die personenbezogenen Daten? - Wie schützen Sie die personenbezogenen Daten vor dem Risiko eines Zugriffs durch Missbrauch von Insider-Anmeldeinformationen? Strategie: Für die Zwecke der DSGVO sind Datenschutz und IAM fast austauschbar. Das Grundprinzip der DSGVO ist der Datenschutz. Das Ausmaß der Strategie für IAM in einem Unternehmen bestimmt, wie gut das Unternehmen die DSGVO einhalten kann. In einem internen Entscheidungsprozess werden Maßnahmen und der Zeitpunkt der Ausführung der Maßnahmen bestimmt. Dem Plan werden Ressourcen zugeordnet. Die Strategie für Identity Powered Security (IPS) muss drei wichtige Punkte umfassen: 1. Management und Governance von Rechten: Micro Focus IGA-Tools stellen sicher, dass Personen nur über die Rechte verfügen, die sie benötigen. Wir arbeiten mit Kunden zur Überprüfung ihrer Konformität auf fortlaufender Basis zusammen. 2. Einrichten effektiverer Zugriffskontrollen: Insider- Anmeldeinformationen sind von Hackern begehrt¹. Daher erstellen unsere IAM-Tools die richtigen Zugriffskontrollen für den effektiven Schutz personenbezogener Daten ggf. mit strengeren Authentifizierungsmethoden. 3. Überwachung der Benutzeraktivität: Von zentraler Bedeutung ist es zudem sicherzustellen, dass Benutzer nur Zugriff auf das haben, was sie benötigen. Greifen Ihre privilegierten Benutzer auf Daten zu, die sie normalerweise nicht sehen? Wie steht es mit anderen Personen? Lösung: Der Schutz personenbezogener Daten ist in der DSGVO fest verankert und kann nur mithilfe eines effizienten Identity and Access Managements (IAM) erreicht werden. IAM besteht aus einer Reihe von gut definierten und nachvollziehbaren Funktionen. Die Tabelle ordnet diese Funktionen den Beispielfragen zu, die Unternehmen sich hinsichtlich ihrer Fähigkeit zum effektiven Schutz personenbezogener Daten und der Einhaltung der DSGVO stellen müssen. Die nächsten Schritte: Es gibt kein Patentrezept und kein Allheilmittel, das die DSGVO-Verpflichtungen jedes Unternehmens erfüllt. Aber eine integrierte Strategie, die unsere Expertise und unsere Produkte nutzt, könnte Ihre IT-Infrastruktur zukünftig vor Geldstrafen strategisch schützen, die ggf. das Geschäftswachstum beeinträchtigen könnten. Als ersten Schritt zur Verbesserung Ihrer Bereitschaft sollten Sie den aktuellen Status Ihrer IAM-Infrastruktur prüfen. Unsere kostenlose Datenschutzbeurteilung wird Ihre Prozesse und Technologie anhand der Anforderungen der DSGVO überprüfen. *Joint IAPP-EY Annual Privacy Governance Report Quelle: 2015 Black Hat Hacker Survey

6 Wenden Sie sich an uns, wenn Sie weitere Informationen wünschen: Telefon (gebührenfrei): Besuchen Sie unsere Websites microfocus.com suse.com Besuchen Sie uns in den sozialen Netzwerken facebook.com/microfocuscorp twitter.com/microfocus linkedin.com/company/micro-focus 135-DE / Micro Focus. Alle Rechte vorbehalten. Micro Focus und das Micro Focus-Logo sind Marken oder eingetragene Marken von Micro Focus oder seinen Tochter- oder Schwestergesellschaften in Großbritannien, den USA und anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber.