- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Zugriffskontrolle & Berechtigungsmanagement


Was die EU-Datenschutz-Grundverordnung mit Zugriffkontrolle zu tun hat
Expertengespräch mit Dr. Ann Cavoukian zum Thema EU-Datenschutzgrundverordnung und Berechtigungsmanagement

- Anzeigen -





Autor: Varonis

Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen – und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

Unternehmen sollten den Zugriff auf Daten in jedem Fall auf die Personen beschränken, die auch das Recht haben darauf zuzugreifen. Und das sind diejenigen, die aus unternehmerischen beziehungsweise geschäftlichen Gründen mit diesen Daten notwendigerweise arbeiten. Dabei fasse ich den Begriff "unternehmerische beziehungsweise geschäftliche Notwendigkeit" bewusst weiter. Wenn Sie beispielsweise an ein Krankenhaus denken, können das all diejenigen Mitarbeiter sein, die sich um die Patienten kümmern. Unabhängig vom Kontext. Das kann auch im Labor sein wo das Personal vielleicht mit diversen Tests beschäftigt ist. Es gibt also durchaus verschiedene Bereiche, in denen Personen beschäftigt sind, die berechtigt sind auf die betreffenden Daten zuzugreifen. Diejenigen, die nicht direkt mit dem Wohlergehen der Patienten zu tun haben, verstanden im obigen Sinne sollten nur eingeschränkt auf diese Daten zugreifen können. Schließlich wollen Sie so weit als möglich verhindern, dass potenziell böswillig agierende Insider an die Daten gelangen genauso wie Sie vertrauliche Informationen vor neugierigen Blicken abschirmen.

Datenschutzvorfälle dieser Art sind geeignet gleichzeitig das Vertrauen in diejenigen zu zerstören, die legitim auf diese Daten zugreifen.

Gerade im Gesundheitswesen sollten ja nur die Personen auf sensible Daten zugreifen, die das im Rahmen einer Behandlung berechtigterweise tun. Für alle anderen sollten die Zugriffsrechte entschieden begrenzt werden. Das umzusetzen ist nicht immer ganz einfach, aber es ist tatsächlich unumgänglich um die Rechte der Patienten auf Privatsphäre zu wahren."

Drei Dinge, die Unternehmen tun sollten

1.
"Wenn ich mit Unternehmen und Institutionen über die Themen Vertraulichkeit und Datenschutz spreche, fange ich damit ganz oben in der Unternehmenshierarchie an. Beim Geschäftsführer, den Vorständen oder anderen Führungskräften. Die Botschaft ist ganz einfach: Sie müssen mit im Boot sein will man das Konzept wirksam umsetzen. Man braucht einen ganzheitlichen, holistischen Ansatz, wenn man das Privacy-Modell einführen will und der Ansatz kann nur top down funktionieren. Wenn es Ihnen gelingt die Botschaft ganz nach Vorne zu bringen, dass sie sich intensiv um den Datenschutz und die Privatsphäre Ihrer Kunden bemühen, ist das auch eine Botschaft, die ankommt. Sie sollten es ihre Kunden also wissen lassen: Für ihr jeweiliges Unternehmen hat Privacy Priorität und sie setzen die entsprechenden Richtlinien um. Das heißt, die dem Unternehmen anvertrauten Daten und Informationen werden ausschließlich zu dem Zweck genutzt für den sie erhoben wurden und zu keinem anderen. Ich spreche dann von Privacy by Default: Die Daten werden nur zu einem bestimmten Zweck erhoben und genutzt. Sollte es notwendig werden, die Daten noch in einem anderen, weitergehenden Kontext zu nutzen, wird das niemals ohne die ausdrückliche Einwilligung der Betroffenen geschehen.

2. "Der menschliche Faktor ist einer der entscheidenden bei diesem Konzept. Ich schlage also mindestens vierteljährliche Besprechungen vor, in denen wir die Botschaft auffrischen und gegebenenfalls vertiefen. Es reicht nicht, wenn sie auf einer Hierarchieebene stecken bleibt. Jeder im Unternehmen muss sie kennen und leben. Es kann nicht sein, was aber oft genauso passiert, dass ein Chief Privacy Officer das Konzept nur einigen wenigen erläutert. Der Kundensachbearbeiter mag vielleicht nicht an oberster Stelle der Firmenhierarchie stehen, aber er hat mit die größten Möglichkeiten Datenschutzverletzungen zu begehen. Jeder Angestellte sollte wie die Führungsetage verstanden haben, wie wichtig es ist die Privatsphäre und Vertraulichkeit von Daten zu schützen, warum das so wichtig ist und wie man diese Anforderung am besten umsetzt. Kümmern Sie sich darum die Botschaft "unters Volk" zu bringen. Es rechnet sich. Ich nenne das gelegentlich "Privacy Payoff". Damit ist nicht nur gemeint, dass sie aktiv den Schutz der Kundendaten betreiben, sondern auch, dass es sich in unternehmerischer Hinsicht auszahlt. Solche Maßnahmen sorgen dafür, dass Kunden Ihrem Unternehmen vertrauen und Sie als einen glaubwürdigen Partner betrachten. Unter dem Strich rechnet sich das für jedes Unternehmen."

3. "Der Prophet in eigenen Land gilt bekanntlich nicht viel. Laden Sie zu den Zusammenkünften einen externen Experten, eine externe Expertin ein, die Sie bei der Umsetzung des Konzepts unterstützen. Beispielsweise in dem sie darlegen, was im Einzelnen passieren kann, wenn es Unternehmen nicht gelingt die Daten ihrer Kunden zu schützen und Vertraulichkeit zu gewährleisten. Das letzte Jahr wurde allgemein mit dem wenig schmeichelhaften Titel "Year oft he Breach" betitelt. Noch nie hatten Datenschutzverletzungen ein derartiges Ausmaß und Schadenspotenzial angenommen.

Dass Angriffe auf Unternehmen, Institutionen, politische Mandatsträger und so weiter praktisch täglich Schlagzeilen gemacht haben, hatte aber zumindest ein Gutes. Es wurde leichter im eigenen Unternehmen klar zu machen was passieren kann, wenn man elementare Regeln des Datenschutzes missachtet, und mit welchen Konsequenzen Unternehmen und Beschäftigte rechnen müssen. Jobverlust, juristische und finanzielle Konsequenzen bis hin zur Insolvenz einer Firma.

Das klingt zunächst wenig positiv. Und ja, ich konfrontiere Unternehmen mit dem was passieren kann, aber ich würdige auch die Anstrengungen, die eine Firma bereits in Sachen Datenschutz unternommen hat. Es sind im Grund zwei Botschaften, die ich versuche zu verkaufen. Es gibt ganz reale und größtenteils fatale Folgen mit denen man bei einer Datenschutzverletzung zu rechnen hat. Das ist eine Seite. Wenn sich Unternehmen aber darum bemühen vertrauliche Daten ihrer Kunden entsprechend zu schützen, wird sich das in jeder Hinsicht auszahlen. Das erhöht die Motivation und unterstreicht ein weiteres Mal die Wichtigkeit eines umfassenden Privacy-Modells."
(Varonis: ra)

eingetragen: 12.03.17
Home & Newsletterlauf: 27.03.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.