Datenschutzmanagement

Antworten auf Herausforderungen der DSGVO

Wavebreakmedia

Mit dem Inkrafttreten der DSGVO können Datenleaks in Zukunft auch einen finanziellen Schaden bedeuten. Foto: ©Wavebreakmedia/Depositphotos.com

Um keine bösen Überraschungen bei der DSGVO zu erleben und zum Schutz vor Hackerangriffen und kriminellem Datenklau, sollten Unternehmen daher einige wichtige Fragen klären. Datenschutzverletzungen zerstören das Kundenvertrauen und schaden der Marke. Das ist bekannt. Mit dem Inkrafttreten der DSGVO können Datenleaks künftig zusätzlich einen unmittelbaren finanziellen Schaden bedeuten. So drohen gemäß der Datenschutz-Grundverordnung empfindliche Geldbußen, wenn Unternehmen Vorfälle nicht innerhalb von 72 Stunden den zuständigen Behörden melden.

Unternehmen benötigen dringender denn je ein umfassendes Konzept für das Datenschutzmanagement. Tatsächlich erfüllen jedoch viele Unternehmen nicht einmal die Grundvoraussetzungen der Sicherheit – was Hackern in die Karten spielt. Laut Forrester Research ist der Zugriff auf Daten über Sicherheitslücken die beliebteste externe Einfallsmethode. Um dieses Risiko zu minimieren und die Sicherheits-Compliance zu verbessern, sollten Unternehmen daher einige grundlegende Fragen adressieren können:

1. Welche Software-Assets befinden sich im Unternehmen?

Eine vollständige Übersicht über den gesamten installierten Software-Bestand eines Unternehmens hilft bei der Konsolidierung des Softwareportfolios. So lassen sich die Angriffsfläche für Hackerangriffe und das Risiko von Software-Sicherheitslücken verringern. Zudem können Freeware und nicht autorisierte Software, die ein potentielles Risiko darstellen, identifiziert und gegebenenfalls entfernt werden.

Eine erhöhte Transparenz ist auch entscheidend für die Überprüfung der datenschutzrechtlichen Richtlinien: Je besser der Überblick, desto leichter lässt sich feststellen, welche Anwendungen personenbezogene Daten verwenden und wo folglich besondere Vorsicht geboten ist.

Software Asset Management (SAM)-Tools unterstützen Unternehmen dabei, umfassende Hardware- und Softwaredaten zu sammeln und so die nötige Kontrolle und Transparenz über den gesamten IT-Bestand sicherzustellen.

2. Welche Open Source Software wird in unternehmensinternen Anwendungen genutzt?

IT-Verantwortliche sollten zu jeder Zeit einen Überblick darüber haben, welche Open-Source-Software (OSS) und Komponenten von Drittanbietern gerade im Unternehmen genutzt werden. Das hat einen Grund: Die Einbindung von Open-Source-Komponenten ist bei Entwicklern weit verbreitet und stellt einen enormen Risikofaktor dar. Tatsächlich kennen die meisten Unternehmen nicht mal 10% der in ihren Anwendungen genutzten OSS. Im Fall einer neu veröffentlichten Sicherheitslücke ist dann kaum feststellbar, ob und wie stark die eigene Software betroffen ist. Automatisierte Lösungen unterstützen Unternehmen bei der Bestandsaufnahme von OSS und der Durchsetzung gesetzlicher Richtlinien.

3. Stützt sich die Sicherheitsstrategie auf Vulnerability Intelligence?

Unternehmen müssen ständig über bekannte Schwachstellen auf dem Laufenden sein und wissen, inwiefern die eigene IT-Infrastruktur bedroht ist. Eine effektive Sicherheitsstrategie stützt sich daher auf Vulnerability Intelligence und nutzt Lösungen für das Software Vulnerability Management. In Kombination mit Software Asset Management können so Sicherheitslücken mit dem Bestand installierter Software abgeglichen werden, um frühzeitig zu warnen. OSS lässt sich zusätzlich mit einer Software Composition Analysis überprüfen.

4. Welche Software ist von einer Sicherheitslücke tatsächlich betroffen?

Nachdem alle Software-Ressourcen in einer Bestandsliste erfasst und Vulnerability Intelligence aufgebaut wurde, kann ungepatchte, gefährdete Software auf Servern, Desktops, Laptops, Tablets und anderen mobilen Geräten effizient und eindeutig identifiziert werden. So können sich Unternehmen auf ihr Kerngeschäft konzentrieren und schnell reagieren.

5. Welche Softwareschwachstellen sind besonders kritisch und müssen zuerst behoben werden?

Nachdem alle Sicherheitslücken identifiziert wurden, können diese entsprechend ihres Gefährdungsgrads priorisiert und mithilfe von Patches geschlossen werden. Implementierte Richtlinien und Workflows für das Schwachstellenmanagement helfen dabei, den Prozess noch schneller und effizienter zu gestalten. Alle Verfahren zur Behebung (Remediation) sollten zudem vollständig dokumentiert und gemäß entsprechender Service Level Agreements (SLAs) durchgeführt werden.

Neben der Beantwortung dieser fünf Fragen, ist es bei der Entwicklung einer Sicherheitsstrategie für die DSGVO zudem Folgendes ratsam:

  • Lokale Administratorrechte einzuschränken, um die Angriffsfläche für Hacker so gering wie möglich zu halten und das Einschleusen von Malware zu verhindern.
  • Einen Enterprise-App-Store zur Durchsetzung von Unternehmensrichtlinien einzurichten, um die volle Kontrolle über den Softwarebestand zu gewinnen und die Entstehung einer Schatten-IT zu vermeiden.
  • Neue Software und Updates von Beginn an auf Sicherheitsrisiken zu überprüfen und dabei festen Freigabeprozessen zu folgen.
  • Ein zuverlässiges Management von End-of-Life (EOL)-Anwendungen zu etablieren, damit Anwendungen, die nicht mehr von den Anbietern gepatcht oder unterstützt werden, vollständig entfernt oder auf eine neue Version aktualisiert werden können.
  • Eine einheitliche Datengrundlage für IT-Sicherheit und IT-Betrieb zu schaffen, um in puncto Sicherheitslücken und Maßnahmen auf dem neuesten Stand zu bleiben.

Ein umfassendes Konzept für das Datenschutzmanagement ist spätestens mit DSGVO ein Muss für jedes Unternehmen. Die Ausweitung der gesetzlichen Regelungen kann jedoch auch als Chance verstanden werden, grundlegende Sicherheitsmaßnahmen über alle Technology Assets hinweg zu implementieren und so das digitale Risiko auf ein Minimum zu reduzieren.


Über den Autor Thomas Reiber

Thomas Reiber ist Regional Vice President DACH bei Flexera. Das Unternehmen bietet innovative Lösungen, um Software zu kaufen, zu verkaufen, zu managen und sicherer zu machen. Als Regional Vice President unterstützt Thomas Reiber Kunden in Deutschland, Österreich und der Schweiz beim Software Asset Management (SAM), sowie der Softwarelizenzoptimierung.

0Kommentare

Es wurde bisher noch kein Kommentar verfasst. Starten Sie die Diskussion!

Die von Ihnen erstellten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unsere Redaktion. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.