August 24, 2017

Die neue DSGVO der EU: So erkennen Sie Sicherheitsrisiken


Zahlreiche Sicherheitsexperten bestätigen, dass sich in der Vergangenheit die Maßnahmen zum Schutz der persönlichen Rechte nicht annähernd so rasch weiterentwickelt haben, wie neue Technologien eingeführt wurden. Das Ergebnis? Persönliche Daten waren noch nie so schlecht geschützt.

Die neue Datenschutz-Grundverordnung der EU (DSGVO) wird auf diese Problematik auf unterschiedliche Weise eingehen, u. a. anhand einer Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung in gewissen Fällen. Die Datenschutz-Grundverordnung der EU gilt für alle Unternehmen weltweit, die mit Daten über EU-Bürger zu tun haben.

Datenschutzfolgenabschätzung

Gemäß den Leitunterlagen der DSGVO ist unter gewissen Umständen – auch wenn das betreffende Unternehmen persönliche Daten via neuer Technologien benutzen möchte – die Durchführung einer Datenschutzfolgenabschätzung erforderlich.

Im Zuge dieser Bewertung sollen Sicherheitsrisiken erkannt werden, die bei der Datenverarbeitung auftauchen. Im Zuge dieser Bewertung wird eine Analyse darüber erstellt, auf welche Art und Weise die geplante Benutzung der persönlichen Informationen eventuell ein Sicherheitsrisiko darstellen könnte. Im Anschluss werden Alternativen vorgeschlagen, wie diese Risiken minimiert werden könnten.

Die Verwendung einer systematischen Vorgehensweise hat mehrere Vorteile: die Daten werden besser geschützt, und es steht außerdem eine umfassende Dokumentation über den gesamten Prozess zur Verfügung. Diese belegt vor dem Gesetzgeber, aber auch vor der eigenen Belegschaft sowie vor Geschäftspartnern und Kunden, dass das Unternehmen Informationssicherheit ernst nimmt. Damit kann durchaus eine Minimierung der Haftung, sowie Reduzierung negativer Schlagzeilen oder eventueller Imageschäden einhergehen.

5 Tipps zur Bewertung von Sicherheitsrisiken

Die nachfolgenden Schritte helfen dabei, an einem Arbeitsplatz Sicherheitsrisiken für sensible Daten zu erkennen:

Schritt 1: Klären Sie bereits in der Anfangsphase Ihres Vorhabens, ob eine rechtliche Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung vorliegt. Unter jenen Beispielen, die einer rechtlichen Verpflichtung obliegen, finden sich z. B. ein neues Projekt mit Nutzung persönlicher Daten, neue IT-Systeme, die persönliche Daten speichern und abrufen, oder Datenaustausch mit einem anderen Unternehmen.

Schritt 2: Klären Sie, welche Daten-Management-Prozesse erforderlich sind und ermitteln Sie, in welcher Weise die persönlichen Daten – sei es in digitaler oder Papierform  – über die gesamte Existenzdauer hinweg übermittelt, weitergeleitet und gespeichert werden. Erstellen Sie ein Diagramm darüber, wie die Informationen durch Ihr Unternehmen fließen.

Schritt 3: Suchen Sie nun sämtliche möglichen Sicherheitsrisiken in Ihrem Arbeitsprozess und bewerten Sie diese. In welchen Bereichen herrscht ein besonders großes Risiko für ein Datenleck? Wer sind die potenzielle Angreifer und welche Beweggründe könnten sie haben?

Schritt 4: Arbeiten Sie Empfehlungen aus, wie jede Risikoquelle in jedem einzelnen Schritt reduziert werden kann. Halten Sie Schutzmaßnahmen fest und dokumentieren Sie auch, wie diese vertraulichen Informationen vor einer unerwünschten Offenlegung geschützt werden.

Schritt 5: Führen Sie Maßnahmen zum Schutz vertraulicher Daten und persönlicher Informationen gegen rechtswidrige Datenverarbeitung und Offenlegung ein. Beispiele:

  • IT-Kontrollen während Authentifizierungsprozessen, Verschlüsselung, Sicherheitssoftware, Zugriffskontrollen etc.,
  • Umfassende Richtlinien und Prozesse für Dokumentenmanagement und Aufbewahrungsfristen
  • Laufende Schulungen zur Sensibilisierung der eigenen Mitarbeiter für unerlaubtes Verarbeiten bzw. für den Schutz sensibler Daten. (Der Schutz wie auch immer gearteter Daten muss im und außerhalb des Arbeitsplatzes priorisiert werden.)
  • Implementieren von Prozessen für einen sicheren Arbeitsplatz, z. B. die Clean Desk Policy bzw. die Shred-it all Policy.
  • Holen Sie sich einen Aktenvernichtungsexperten für die sichere Vernichtung Ihrer vertraulichen Unterlagen ins Unternehmen – nicht nur für Ihre Dokumente, sondern auch für Festplatten und andere elektronische Medien.

Fangen Sie noch heute damit an, Ihr Unternehmen zu schützen! 

Sie möchten mehr darüber erfahren, wie Shred-it Ihre Unterlagen und Festplatten schützt? Bitte kontaktieren Sie uns für einen Kostenvoranschlag oder einen Sicherheitsrisiko-Check.