DSGVO-Compliance: Sicherheit und Datenschutz To-Go

Die Digitalisierung und Vernetzung unserer Kommunikationswege bringen nicht nur Vorteile, sondern bieten auch attraktive neue Angriffsflächen. Dem trägt die heuer in Kraft getretene EU-DSGVO Rechnung, indem sie von Unternehmen im Umgang mit persönlichen Daten (von EU-Bürger*innen) einiges verlangt – nach Artikel 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) sind dies beispielsweise:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität und Vertraulichkeit.

Der Verantwortliche ist nach Artikel 5 Absatz 2 für die Einhaltung der genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).

IT-Abteilungen stehen vor neuen Herausforderungen. Unternehmen müssen nach Artikel 32 („Sicherheit der Verarbeitung“) nachweislich sicherstellen, dass auch an Mobilgeräten geeignete organisatorische und technische Sicherheitsvorgaben nach Stand der Technik eingehalten werden, unter anderem:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Laptops, Smartphones oder Tablets müssen daher ab sofort verschlüsselt werden und es sind Backups zu erstellen. Es gilt zusätzliche Einfallstore, beispielsweise durch Berechtigungen am Gerät installierter Apps, abzusichern. Es dürfen nur entsprechend zertifizierte Apps installiert werden und im Zweifelsfall müssen alle Firmendaten via Fernzugriff gelöscht werden können. Private Daten und Apps sind von Unternehmensdaten zu trennen, beispielsweise mittels Container-Lösungen. Denn nur so können unerlaubte Datenzugriffe und unbefugte Offenlegung vollständig und nachweislich unterbunden werden. Zugleich können die Container die Verschlüsselung der Unternehmensdaten und der Kommunikation zwischen mobilem Endgerät und IT-Abteilung sicherstellen.

Alle Risiken und Sicherheitsvorkehrungen müssen zudem nach Artikel 35 („Datenschutz-Folgenabschätzung) bewertet und dokumentiert werden, und auch Artikel 32 Absatz 1d) fordert „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Ohne Einsatz eines Mobile Device Management-Systems sind auch diese Anforderungen kaum zu erfüllen.

Mobile Devices: flexible Nutzung trotz strikter Vorgaben       

Ein geeignetes MDM-System bietet auf einen Blick eine detaillierte Übersicht über Geräte mit Zugriff auf Unternehmensressourcen. Geräte und Applikationen können zentral verwaltet und inventarisiert werden. Auch die Softwareverteilung inklusive dem Ausrollen von Updates und Lizenzen sollte zentral steuerbar sein – selbstverständlich inklusive eines leistungsfähigen Malwareschutzes, Remote Control Features und automatischen Aktionen im Fall von Sicherheitsverletzungen.

Mobile Lösungen werden auch in Zukunft eine tragende Rolle in unserem privaten und beruflichen Leben spielen. Daher empfiehlt es sich, in eine zukunftsfähige Lösung zu investieren: Professionelle Konzepte, einfache Handhabung und zuverlässige Methoden lohnen sich. Nicht zuletzt in Anbetracht der empfindlichen Strafen im Falle einer Nicht-Compliance: Wer seine Datenschutzpflichten vernachlässigt, muss mit Strafgeldern von bis zu 20 Millionen Euro bzw. vier Prozent des weltweit erzielten Jahresumsatzes kalkulieren (Artikel 83 Absatz 5 „Allgemeine Bedingungen für die Verhängung von Geldbußen).

Linktipp:

IKARUS mobile.management: Mobility-Lösung für Firmenumgebungen

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download