- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Zugriffskontrolle & Berechtigungsmanagement


Was die EU-Datenschutz-Grundverordnung mit Zugriffkontrolle zu tun hat
Expertengespräch mit Dr. Ann Cavoukian zum Thema EU-Datenschutzgrundverordnung und Berechtigungsmanagement

- Anzeigen -





Autor: Varonis

Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen – und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

Unternehmen sollten den Zugriff auf Daten in jedem Fall auf die Personen beschränken, die auch das Recht haben darauf zuzugreifen. Und das sind diejenigen, die aus unternehmerischen beziehungsweise geschäftlichen Gründen mit diesen Daten notwendigerweise arbeiten. Dabei fasse ich den Begriff "unternehmerische beziehungsweise geschäftliche Notwendigkeit" bewusst weiter. Wenn Sie beispielsweise an ein Krankenhaus denken, können das all diejenigen Mitarbeiter sein, die sich um die Patienten kümmern. Unabhängig vom Kontext. Das kann auch im Labor sein wo das Personal vielleicht mit diversen Tests beschäftigt ist. Es gibt also durchaus verschiedene Bereiche, in denen Personen beschäftigt sind, die berechtigt sind auf die betreffenden Daten zuzugreifen. Diejenigen, die nicht direkt mit dem Wohlergehen der Patienten zu tun haben, verstanden im obigen Sinne sollten nur eingeschränkt auf diese Daten zugreifen können. Schließlich wollen Sie so weit als möglich verhindern, dass potenziell böswillig agierende Insider an die Daten gelangen genauso wie Sie vertrauliche Informationen vor neugierigen Blicken abschirmen.

Datenschutzvorfälle dieser Art sind geeignet gleichzeitig das Vertrauen in diejenigen zu zerstören, die legitim auf diese Daten zugreifen.

Gerade im Gesundheitswesen sollten ja nur die Personen auf sensible Daten zugreifen, die das im Rahmen einer Behandlung berechtigterweise tun. Für alle anderen sollten die Zugriffsrechte entschieden begrenzt werden. Das umzusetzen ist nicht immer ganz einfach, aber es ist tatsächlich unumgänglich um die Rechte der Patienten auf Privatsphäre zu wahren."

Drei Dinge, die Unternehmen tun sollten

1.
"Wenn ich mit Unternehmen und Institutionen über die Themen Vertraulichkeit und Datenschutz spreche, fange ich damit ganz oben in der Unternehmenshierarchie an. Beim Geschäftsführer, den Vorständen oder anderen Führungskräften. Die Botschaft ist ganz einfach: Sie müssen mit im Boot sein will man das Konzept wirksam umsetzen. Man braucht einen ganzheitlichen, holistischen Ansatz, wenn man das Privacy-Modell einführen will und der Ansatz kann nur top down funktionieren. Wenn es Ihnen gelingt die Botschaft ganz nach Vorne zu bringen, dass sie sich intensiv um den Datenschutz und die Privatsphäre Ihrer Kunden bemühen, ist das auch eine Botschaft, die ankommt. Sie sollten es ihre Kunden also wissen lassen: Für ihr jeweiliges Unternehmen hat Privacy Priorität und sie setzen die entsprechenden Richtlinien um. Das heißt, die dem Unternehmen anvertrauten Daten und Informationen werden ausschließlich zu dem Zweck genutzt für den sie erhoben wurden und zu keinem anderen. Ich spreche dann von Privacy by Default: Die Daten werden nur zu einem bestimmten Zweck erhoben und genutzt. Sollte es notwendig werden, die Daten noch in einem anderen, weitergehenden Kontext zu nutzen, wird das niemals ohne die ausdrückliche Einwilligung der Betroffenen geschehen.

2. "Der menschliche Faktor ist einer der entscheidenden bei diesem Konzept. Ich schlage also mindestens vierteljährliche Besprechungen vor, in denen wir die Botschaft auffrischen und gegebenenfalls vertiefen. Es reicht nicht, wenn sie auf einer Hierarchieebene stecken bleibt. Jeder im Unternehmen muss sie kennen und leben. Es kann nicht sein, was aber oft genauso passiert, dass ein Chief Privacy Officer das Konzept nur einigen wenigen erläutert. Der Kundensachbearbeiter mag vielleicht nicht an oberster Stelle der Firmenhierarchie stehen, aber er hat mit die größten Möglichkeiten Datenschutzverletzungen zu begehen. Jeder Angestellte sollte wie die Führungsetage verstanden haben, wie wichtig es ist die Privatsphäre und Vertraulichkeit von Daten zu schützen, warum das so wichtig ist und wie man diese Anforderung am besten umsetzt. Kümmern Sie sich darum die Botschaft "unters Volk" zu bringen. Es rechnet sich. Ich nenne das gelegentlich "Privacy Payoff". Damit ist nicht nur gemeint, dass sie aktiv den Schutz der Kundendaten betreiben, sondern auch, dass es sich in unternehmerischer Hinsicht auszahlt. Solche Maßnahmen sorgen dafür, dass Kunden Ihrem Unternehmen vertrauen und Sie als einen glaubwürdigen Partner betrachten. Unter dem Strich rechnet sich das für jedes Unternehmen."

3. "Der Prophet in eigenen Land gilt bekanntlich nicht viel. Laden Sie zu den Zusammenkünften einen externen Experten, eine externe Expertin ein, die Sie bei der Umsetzung des Konzepts unterstützen. Beispielsweise in dem sie darlegen, was im Einzelnen passieren kann, wenn es Unternehmen nicht gelingt die Daten ihrer Kunden zu schützen und Vertraulichkeit zu gewährleisten. Das letzte Jahr wurde allgemein mit dem wenig schmeichelhaften Titel "Year oft he Breach" betitelt. Noch nie hatten Datenschutzverletzungen ein derartiges Ausmaß und Schadenspotenzial angenommen.

Dass Angriffe auf Unternehmen, Institutionen, politische Mandatsträger und so weiter praktisch täglich Schlagzeilen gemacht haben, hatte aber zumindest ein Gutes. Es wurde leichter im eigenen Unternehmen klar zu machen was passieren kann, wenn man elementare Regeln des Datenschutzes missachtet, und mit welchen Konsequenzen Unternehmen und Beschäftigte rechnen müssen. Jobverlust, juristische und finanzielle Konsequenzen bis hin zur Insolvenz einer Firma.

Das klingt zunächst wenig positiv. Und ja, ich konfrontiere Unternehmen mit dem was passieren kann, aber ich würdige auch die Anstrengungen, die eine Firma bereits in Sachen Datenschutz unternommen hat. Es sind im Grund zwei Botschaften, die ich versuche zu verkaufen. Es gibt ganz reale und größtenteils fatale Folgen mit denen man bei einer Datenschutzverletzung zu rechnen hat. Das ist eine Seite. Wenn sich Unternehmen aber darum bemühen vertrauliche Daten ihrer Kunden entsprechend zu schützen, wird sich das in jeder Hinsicht auszahlen. Das erhöht die Motivation und unterstreicht ein weiteres Mal die Wichtigkeit eines umfassenden Privacy-Modells."
(Varonis: ra)

eingetragen: 12.03.17
Home & Newsletterlauf: 27.03.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 (!) verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Vorschriften im Gesundheitswesen

    Personenbezogene Daten geheim und sicher zu halten, ist im Gesundheitssektor immens wichtig. Mittlerweile ist es bereits 21 Jahre her seit Titel I des Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten verabschiedet wurde, um den Krankenversicherungsschutz für Arbeitnehmer und Familien zu gewährleisten. 2003 wurde Titel II als nationaler Standard für elektronische Transaktionen im Gesundheitswesen und nationale Kennzeichnungsvorschriften für Versorger, Krankenversicherungen und Mitarbeiter eingerichtet. Zu diesem Zeitpunkt wurden etliche Datenschutz- und Sicherheitsregeln zum Schutz elektronischer Gesundheitsdaten (e-PHI) definiert. Vor einigen Jahren haben der US-Kongress und das Department of Health and Human Services (Gesundheitsministerium HHS) im Cybersecurity Act von 2015 die Health Care Industry Cybersecurity (HCIC) Task Force eingerichtet. Grund war die wachsende Sorge um Risiken und Bedrohungen der Cybersicherheit für das Gesundheitswesen. Erst vor kurzem hat die Task Force ihre Ergebnisse in einem sehr detaillierten Report on Improving Cybersecurity in the Health Care Industry veröffentlicht. Der Report betont die Dringlichkeit der empfohlenen Maßnahmen angesichts der wachsenden Zahl komplexer Cyberbedrohungen. Das Gesundheitswesen müsse eben diese Maßnahmen zeitnah zum Schutz von Systeme und Patienten umsetzen.

  • Datensicherheit und Datenschutz

    Im Mai 2018 wird das EU-Regelwerk zum Datenschutz scharf gestellt. Unternehmen bleibt nicht viel Zeit, ihre IT für einen gesetzeskonformen Umgang mit personenbezogenen Daten umzubauen. Dabei ist mehr als Datenklassifizierung, Risikoanalyse und Dokumentation gefragt. Die gute Nachricht: Es ist noch nicht zu spät. Der Datenschutz in Europa wird vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab. Das Regelwerk, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt veröffentlicht. Die 28 EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit, alle Vorgaben umzusetzen. In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind.

  • Googeln für Hacker

    Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung. Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen - Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.