- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Zugriffskontrolle & Berechtigungsmanagement


Was die EU-Datenschutz-Grundverordnung mit Zugriffkontrolle zu tun hat
Expertengespräch mit Dr. Ann Cavoukian zum Thema EU-Datenschutzgrundverordnung und Berechtigungsmanagement

- Anzeigen -





Autor: Varonis

Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen – und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

Unternehmen sollten den Zugriff auf Daten in jedem Fall auf die Personen beschränken, die auch das Recht haben darauf zuzugreifen. Und das sind diejenigen, die aus unternehmerischen beziehungsweise geschäftlichen Gründen mit diesen Daten notwendigerweise arbeiten. Dabei fasse ich den Begriff "unternehmerische beziehungsweise geschäftliche Notwendigkeit" bewusst weiter. Wenn Sie beispielsweise an ein Krankenhaus denken, können das all diejenigen Mitarbeiter sein, die sich um die Patienten kümmern. Unabhängig vom Kontext. Das kann auch im Labor sein wo das Personal vielleicht mit diversen Tests beschäftigt ist. Es gibt also durchaus verschiedene Bereiche, in denen Personen beschäftigt sind, die berechtigt sind auf die betreffenden Daten zuzugreifen. Diejenigen, die nicht direkt mit dem Wohlergehen der Patienten zu tun haben, verstanden im obigen Sinne sollten nur eingeschränkt auf diese Daten zugreifen können. Schließlich wollen Sie so weit als möglich verhindern, dass potenziell böswillig agierende Insider an die Daten gelangen genauso wie Sie vertrauliche Informationen vor neugierigen Blicken abschirmen.

Datenschutzvorfälle dieser Art sind geeignet gleichzeitig das Vertrauen in diejenigen zu zerstören, die legitim auf diese Daten zugreifen.

Gerade im Gesundheitswesen sollten ja nur die Personen auf sensible Daten zugreifen, die das im Rahmen einer Behandlung berechtigterweise tun. Für alle anderen sollten die Zugriffsrechte entschieden begrenzt werden. Das umzusetzen ist nicht immer ganz einfach, aber es ist tatsächlich unumgänglich um die Rechte der Patienten auf Privatsphäre zu wahren."

Drei Dinge, die Unternehmen tun sollten

1.
"Wenn ich mit Unternehmen und Institutionen über die Themen Vertraulichkeit und Datenschutz spreche, fange ich damit ganz oben in der Unternehmenshierarchie an. Beim Geschäftsführer, den Vorständen oder anderen Führungskräften. Die Botschaft ist ganz einfach: Sie müssen mit im Boot sein will man das Konzept wirksam umsetzen. Man braucht einen ganzheitlichen, holistischen Ansatz, wenn man das Privacy-Modell einführen will und der Ansatz kann nur top down funktionieren. Wenn es Ihnen gelingt die Botschaft ganz nach Vorne zu bringen, dass sie sich intensiv um den Datenschutz und die Privatsphäre Ihrer Kunden bemühen, ist das auch eine Botschaft, die ankommt. Sie sollten es ihre Kunden also wissen lassen: Für ihr jeweiliges Unternehmen hat Privacy Priorität und sie setzen die entsprechenden Richtlinien um. Das heißt, die dem Unternehmen anvertrauten Daten und Informationen werden ausschließlich zu dem Zweck genutzt für den sie erhoben wurden und zu keinem anderen. Ich spreche dann von Privacy by Default: Die Daten werden nur zu einem bestimmten Zweck erhoben und genutzt. Sollte es notwendig werden, die Daten noch in einem anderen, weitergehenden Kontext zu nutzen, wird das niemals ohne die ausdrückliche Einwilligung der Betroffenen geschehen.

2. "Der menschliche Faktor ist einer der entscheidenden bei diesem Konzept. Ich schlage also mindestens vierteljährliche Besprechungen vor, in denen wir die Botschaft auffrischen und gegebenenfalls vertiefen. Es reicht nicht, wenn sie auf einer Hierarchieebene stecken bleibt. Jeder im Unternehmen muss sie kennen und leben. Es kann nicht sein, was aber oft genauso passiert, dass ein Chief Privacy Officer das Konzept nur einigen wenigen erläutert. Der Kundensachbearbeiter mag vielleicht nicht an oberster Stelle der Firmenhierarchie stehen, aber er hat mit die größten Möglichkeiten Datenschutzverletzungen zu begehen. Jeder Angestellte sollte wie die Führungsetage verstanden haben, wie wichtig es ist die Privatsphäre und Vertraulichkeit von Daten zu schützen, warum das so wichtig ist und wie man diese Anforderung am besten umsetzt. Kümmern Sie sich darum die Botschaft "unters Volk" zu bringen. Es rechnet sich. Ich nenne das gelegentlich "Privacy Payoff". Damit ist nicht nur gemeint, dass sie aktiv den Schutz der Kundendaten betreiben, sondern auch, dass es sich in unternehmerischer Hinsicht auszahlt. Solche Maßnahmen sorgen dafür, dass Kunden Ihrem Unternehmen vertrauen und Sie als einen glaubwürdigen Partner betrachten. Unter dem Strich rechnet sich das für jedes Unternehmen."

3. "Der Prophet in eigenen Land gilt bekanntlich nicht viel. Laden Sie zu den Zusammenkünften einen externen Experten, eine externe Expertin ein, die Sie bei der Umsetzung des Konzepts unterstützen. Beispielsweise in dem sie darlegen, was im Einzelnen passieren kann, wenn es Unternehmen nicht gelingt die Daten ihrer Kunden zu schützen und Vertraulichkeit zu gewährleisten. Das letzte Jahr wurde allgemein mit dem wenig schmeichelhaften Titel "Year oft he Breach" betitelt. Noch nie hatten Datenschutzverletzungen ein derartiges Ausmaß und Schadenspotenzial angenommen.

Dass Angriffe auf Unternehmen, Institutionen, politische Mandatsträger und so weiter praktisch täglich Schlagzeilen gemacht haben, hatte aber zumindest ein Gutes. Es wurde leichter im eigenen Unternehmen klar zu machen was passieren kann, wenn man elementare Regeln des Datenschutzes missachtet, und mit welchen Konsequenzen Unternehmen und Beschäftigte rechnen müssen. Jobverlust, juristische und finanzielle Konsequenzen bis hin zur Insolvenz einer Firma.

Das klingt zunächst wenig positiv. Und ja, ich konfrontiere Unternehmen mit dem was passieren kann, aber ich würdige auch die Anstrengungen, die eine Firma bereits in Sachen Datenschutz unternommen hat. Es sind im Grund zwei Botschaften, die ich versuche zu verkaufen. Es gibt ganz reale und größtenteils fatale Folgen mit denen man bei einer Datenschutzverletzung zu rechnen hat. Das ist eine Seite. Wenn sich Unternehmen aber darum bemühen vertrauliche Daten ihrer Kunden entsprechend zu schützen, wird sich das in jeder Hinsicht auszahlen. Das erhöht die Motivation und unterstreicht ein weiteres Mal die Wichtigkeit eines umfassenden Privacy-Modells."
(Varonis: ra)

eingetragen: 12.03.17
Home & Newsletterlauf: 27.03.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert. Die IoT-Entwicklung durchdringt mittlerweile alle Facetten unseres Lebens. Entsprechend rasant ist das Innovationstempo in diesem Bereich. Es existieren viele Anwendungen, die klug und ausgereift sind, aber leider auch solche, die das genaue Gegenteil davon sind. Dessen ungeachtet sind die weitaus meisten Anwendungen sehr wirkungsvoll etwa in der Landwirtschaft oder im Gesundheitswesen. Das IoT ist also nicht mehr weg zu denken. Trotzdem mutet die Entwicklung bisweilen so an, als versuche jemand zu rennen bevor er noch überhaupt laufen gelernt hat. Übersetzt heißt das, IoT-Entwickler vernachlässigen eine Kernkomponente unserer vernetzten Welt, die Sicherheit.

  • Mustererkennung umgehen

    Ob Viren, Würmer, Bots, Trojaner oder Keylogger, viele der gängigen Malware-Formen bergen nicht nur ein hohes Schadenspotential, sondern sind auch überaus wandlungsfähig. Ein berüchtigtes Beispiel ist die CryptoWall-Ransomware, mit der Cyberkriminelle nach Schätzung des FBI mehr als 18 Millionen Dollar erbeutet haben. CryptoWall ist ein polymorpher Ransomware-Stamm, der in bekannter Manier Daten auf dem Computer des Opfers verschlüsselt und anschließend Lösegeld erpresst. Der in CryptoWall verwendete polymorphe Builder entwickelt dabei für jedes Angriffsziel eine im Wesentlichen neue Code-Variante, um der Entdeckung durch traditionelle Sicherheitslösungen zu entgehen. Polymorphe Malware ändert ständig ihre identifizierbaren Merkmale, beispielsweise durch Veränderung von Dateinamen und -typen, Verschlüsselung oder Komprimierung. Einige polymorphe Taktiken existieren bereits seit den 1990ern, doch in den letzten zehn Jahren hat sich eine neue Welle aggressiver polymorpher Malware entwickelt.

  • Unterschätztes Risiko Insider-Angriff

    Beim Stichwort Cyber-Bedrohung denkt man häufig an großangelegte Malware-Angriffe wie Ransomware, mit denen Kriminelle versuchen, das Firmennetzwerk zu kompromittieren. Unterschätzt wird jedoch oft eine Gefahr, die bereits im Firmengebäude sitzt: Die Insider-Bedrohung. Insider - seien es unachtsame Angestellte oder böswillige Mitarbeiter, die aus finanziellen oder persönlichen Motiven Daten stehlen oder gar löschen - sind ein enormes Risiko für die Datensicherheit in Unternehmen. Oft haben Angestellte, externe Auftragnehmer und andere Dritte legitimen Zugriff auf sensible Daten, um effektiv und flexibel arbeiten zu können. Dies stellt eine Herausforderung für Sicherheitsteams dar, denn es ist wesentlich schwieriger, Bedrohungen zu erkennen, wenn der betreffende Akteur gültigen Zugriff auf Unternehmensdaten hat. Mit entsprechenden Richtlinien und Technologien kann die Gefahr eines internen Datenverlustes oder -diebstahls jedoch erheblich reduziert werden.