- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Datenschutz-Folgenabschätzung durchführen


Essentielle Schritte, um die Security-Herausforderungen der DSGVO zu bewältigen – Teil 2
Die Möglichkeiten einer Organisation, die Risiken bei der Verarbeitung personenbezogener Daten einzudämmen und diese Eindämmung zu dokumentieren, ist in mehrfacher Hinsicht entscheidend

- Anzeigen -





Teil 1 der Serie behandelte Fragen rund um Frameworks, personenbezogene Daten und Schatten-IT. Doch die DSGVO hält in vielen Bereichen täglicher Geschäftsabläufe weitere Herausforderungen bereit. Die Vorgaben einzuhalten ist für Unternehmen jedoch geschäftskritisch. Das gilt aus zwei Gründen: Zum einen ist es schnell mit dem Vertrauen von Partnern und Kunden vorbei, wenn es eine erfolgreiche Attacke, ein Datenleck oder Ähnliches gibt – das Geschäft nimmt Schaden. Zum anderen können Verstöße gegen die Vorgaben bestraft werden, auch wenn sich kein Zwischenfall ereignet. Die möglichen Geldbußen sind schmerzhaft und betragen bis zu vier Prozent des weltweiten Jahresumsatzes.

Teil 2 der Serie von Tenable Network Security beleuchtet und erklärt deshalb drei weitere essentielle Schritte, um die Security-Herausforderungen der DSGVO zu bewältigen.

Unternehmen sollten feststellen, ob die Art und Weise, wie sie Daten verarbeiten, als "hohes Risiko" gilt.
Laut Erwägungsgrund 89 der Verordnung sind Verarbeitungsvorgänge, die ein "hohes Risiko" für personenbezogene Daten mit sich bringen, "insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist".

Demnach können Verarbeitungsvorgänge mit hohem Risiko praktisch überall im Unternehmen stattfinden. Sicherheitshalber sollten die Verantwortlichen grundsätzlich davon ausgehen, dass eine bestehende oder geplante Verarbeitung ein hohes Risiko darstellt. Dann können sie entsprechende Maßnahmen treffen.

Es ist wichtig, eine Datenschutz-Folgenabschätzung durchzuführen.
Laut US-Bundesgesetz müssen alle amerikanischen Bundesbehörden eine so genannte Privacy Impact Assessment (PIA) durchführen. Erst dann können sie eine neue Erfassung personenbezogener Daten einleiten und IT entwickeln oder beschaffen, mit der sie Daten erfassen, verwalten und verbreiten können. In Kanada gelten eigene PIA-Anforderungen und auch in UK sind PIAs – wenngleich nicht vorgeschrieben – durchaus üblich. Die entsprechende EU-Verordnung schreibt in Artikel 35, Datenschutz-Folgenabschätzung, eine Abschätzung vor, wenn "eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, ... voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" hat.

Informationssicherheitsmanager, die das NIST Cybersecurity Framework nutzen, können die Kategorien in dessen Identifizierungsfunktion anwenden, um die Folgenabschätzung zu unterstützen. In ähnlicher Weise können Informationssicherheitsmanager, die ISO/IEC 27002 nutzen, zur Unterstützung der Abschätzung die Informationsklassifizierung und Sicherheit der Richtlinie in Entwicklungs- und Support-Prozessen anwenden.

Maßnahmen zur Eindämmung von Risiken treffen und dokumentieren.
Die Möglichkeiten einer Organisation, die Risiken bei der Verarbeitung personenbezogener Daten einzudämmen und diese Eindämmung zu dokumentieren, ist in mehrfacher Hinsicht entscheidend. Laut Erwägungsgrund 83 müssen Verantwortliche und Auftragsverarbeiter die Risiken der Verarbeitung beurteilen und dann geeignete Maßnahmen zu ihrer Eindämmung treffen. Falls die Verarbeitung ein "hohes Risiko" mit sich bringt, das nicht ausreichend eingedämmt werden kann, empfiehlt die Verordnung dem Verantwortlichen, die Aufsichtsbehörde zu konsultieren (Erwägungsgründe 84 und 90).

Falls der Schutz personenbezogener Daten verletzt wurde, muss der Verantwortliche angesichts einer geplanten Geldbuße ebenfalls die getroffenen Eindämmungsmaßnahmen dokumentieren (Art. 33(3)(d)), die Aufsichtsbehörde konsultieren (Art. 36) und zudem die Wirksamkeit dieser Maßnahmen nachweisen (Art. 83(2)(c)). Auftragsverarbeiter sind in einem solchen Fall ebenfalls aufgefordert, ihre technischen und organisatorischen Maßnahmen zur Risikominderung (Art. 28(1)) und zur Schadensminderung (Art. 83(2)(c)) zu dokumentieren.
(Tenable Network Security: ra)

Teil: 1
Industriestandards für den Datenschutz

eingetragen: 10.09.17
Home & Newsletterlauf: 25.09.17


- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Schutz vor digitalen Attacken: Zehn Tipps

    Modern vernetzte Häuser bergen Risiken - ungeschütztes WLAN kann gehackt werden, was gefährliche Folgen haben kann. Es wird vor allem dann gefährlich, wenn das Haus mit vielen, mit dem "Internet der Dinge" (IoT) verbundenen Geräten ausgestattet ist. Eines dieser Geräte zu hacken, würde es Kriminellen ermöglichen, Zugriff auf das gesamte Netzwerk zu erhalten und intelligente Geräte zu steuern. Identitätsdiebstahl kann dann zur Übernahme von Bankkonten, Sozialversicherungsnummern oder anderen privaten Daten führen. Einige Methoden, die normalerweise dazu genutzt werden, Netzwerkprobleme zu erkennen und zu lösen, können in den Händen von Verbrechern zu mächtigen und leicht zu nutzenden Hacking-Werkeugen werden. "Sniffing" beispielsweise, ist eine Methode, die das Netzwerk täuscht, damit es Daten zuerst an den Computer des Hackers sendet und so Daten eines Netzwerkes sichtbar macht.

  • Hackerangriffe werden immer raffinierter

    Die Anzahl von Cyber-Attacken steigt ebenso rasant wie deren Variantenreichtum: Egal ob Phishing-Links, die Weiten des Darknets oder Malware - Hackerangriffe werden immer raffinierter, ihre Folgen immer schwerwiegender. Unternehmen stehen vor großen Herausforderungen, entsprechende Maßnahmen zu treffen und ihre Daten zu schützen. Im Expertentipp gibt Björn Blatt, Geschäftsführer der readypartner GmbH und Experte für Digital-Strategie und digitale Wirtschaft sowie Spezialist für Cloud- und Kommunikationsservices, Tipps, wie Unternehmen sich und ihre Daten vor Cyber-Attacken bewahren.

  • Tipps für eine bessere Sicherheit des Smart Home

    Sophos präsentiert gemeinsam mit Koramis Ergebnisse des Forschungsprojekts "Haunted House". Aktuelle Zahlen zeigen mehr als 70.000 Zugriffsversuche von 24.089 einzelnen IPS auf das virtuelle Haus. Hiermit wird deutlich: Das Haunted House ist kein einmaliges Geisterphänomen sondern eine dauerhafte Gefahr für private Smart Homes - sofern diese nicht fachgerecht eingerichtet sind. Und dies ist nur die eine Seite des Spuks: Parallel zu den Zugriffsversuchen auf das "Haunted House" erforscht das Projekt mithilfe von Suchmaschinen wie Shodan oder Cenys auch, wie viele Smart Home Komponenten mehr oder weniger einfach über das Internet zugänglich sind. Ein im Oktober hierfür gestarteter Scan fand bis heute mehr als 68.000 offene Web-Schnittstellen von bekannten Smart-Home-Komponenten, die vor allem in Privathaushalten eingesetzt werden.

  • TLS-Verschlüsselung keine Herausforderung

    Die Sicherheitslücke "KRACK" in der WPA2-Verschlüsselung bei WLAN-Verbindungen in aller Munde. Sie führt dazu, dass Angreifer potentiell den Datenverkehr mitlesen und neue Daten einstreuen können. Allgemeine Gefahren und Sicherheitsanweisungen für Privatnutzer werden breit diskutiert, unbeachtet bleiben dagegen bisher die speziellen Gefahren, die KRACK für Unternehmen mit sich bringt. Die Aufklärung zur Sicherheitslücke KRACK bezieht sich insbesondere auf Themen wie Onlinebanking und Onlineshopping. Es wird geraten, beim Surfen im Internet nur verschlüsselte Verbindungen mit dem kleinen Schlosssymbol in der Browserzeile und HTTPS statt HTTP zu nutzen. Damit ist eine Ende-zu-Ende-Verschlüsselung unabhängig von der WLAN-Verbindung umgesetzt.

  • Sicherheitsrisiken minimieren

    Eine nachlässig gepflegte IT-Infrastruktur macht es Hackern leicht, an wichtige Firmendaten zu kommen. Der weltweit agierende Sicherheitsspezialist Trustwave verrät, welche neun Arbeitsschritte jedes Unternehmen durchführen sollte, um Sicherheitsrisiken auf ein Minimum zu reduzieren und Eindringlinge so schnell wie möglich aufzuspüren. Im Regelfall ist es für Cyberkriminelle ein Leichtes, Malware und andere Schadprogramme ins Netzwerk einzuschleusen. Schuld an Datenpannen sind oft ungepatchte Anwendungen, schwache Passwörter oder Mitarbeiter, die auf eine Phishing-Nachricht hereinfallen. Es gibt aber ausreichend Möglichkeiten, die Sicherheitsrisiken zu minimieren.

Tenable Network Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.