Die Checkliste zur grundlegenden IT-DSGVO-Sicherheit

25. August 2017

5 Min. Lesezeit

Bereiten Sie Ihre IT-Ausrüstung und -Abteilung auf eine der grössten Herausforderungen (und Möglichkeiten) im kommenden Jahr vor.

Die Checkliste zur grundlegenden IT-DSGVO-Sicherheit (Desktop)

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU DSGVO) alle anderen Datenschutzvorschriften Europas ersetzen. Damit gehen hohe Bussgelder einher: bis zu 20 Mio. Euro oder 4 Prozent des globalen Umsatzes der Organisation (je nachdem, welcher Betrag höher ist). In den Niederlanden wurde die DSGVO bereits im Rahmen des Gesetzes zur Anzeigepflicht bei Verstössen gegen die Datensicherheit umgesetzt, die am 1. Januar 2016 in Kraft trat.

Die DSGVO beinhaltet zwei Aspekte. Sie schützt die Datenrechte der EU-Bürger und ihre Privatsphäre d. h. ihre personenbezogenen Daten. Jeder, der im Binnenmarkt Geschäfte tätigt, muss sich an diese Verordnung halten. Dies umfasst auch Unternehmen, die nicht in der EU angesiedelt sind und mit EU-Kunden Geschäfte machen.

Letzteres fällt zweifelsohne in den Zuständigkeitsbereich der IT. Es gibt jedoch erhebliche Überschneidungen. Verlässliche, mehrstufige Endpunkt-Sicherheitsmassnahmen, die zum Datenschutz beitragen und auf Netzwerk-, Gerät- und Nutzerebene aktiv sind, tragen stark zum Schutz der entsprechenden Rechte bei.

Es gibt keine schnellen Lösungen bei der Cybersicherheit. Eine robuste Verteidigungsstrategie erfordert einen mehrstufigen Ansatz, der Netzwerke, Geräte und Menschen einschliesst. Bei HP arbeiten wir nach der Richtlinie, die Sicherheitsmerkmale jeder Lösung, jedes Dienstes und jedes Produkts an erste Stelle zu setzen. Massgefertigte Sicherheit lässt Produkte entstehen, die sich optimal und sicher in das Netzwerk unseres Kunden integrieren lassen.

Wenn Sie mit Geräten arbeiten können, die vollständige Sicherheit bieten, wird die Datensicherung immens vereinfacht. Durch Hardware von HP und das neueste, sicherste Betriebssystem von Microsoft sind Ihre Geräte besser geschützt – Windows 10 Pro ist für Unternehmen gemacht.

Die Art und Weise unserer Datennutzung, -sammlung und -speicherung muss sich ändern. Ein Beispiel: Das Recht, vergessen zu werden, fordert von allen Organisationen, alle Daten eines EU-Bürgers, einschliesslich aller Kopien, zu löschen, wenn dieser dies verlangt. In diesem Zusammenhang ist es notwendig, eine umfassende Datenübersicht zu erstellen, aus der hervorgeht, welche Daten wo gespeichert werden und wer Zugriff darauf hat. Für Cyber-Sicherheit gilt im Grunde das Gleiche.

Vor diesem Hintergrund stellen wir Ihnen 10 grundlegende Massnahmen vor, die Sie bis Mai 2018 einleiten sollten.

Stufe 1: Situationsanalyse

Die erste Stufe dient dazu, sich einen Überblick Ihrer Situation zu verschaffen. Wenn es Ihnen gelingt, einen realistischen Überblick über Ihren aktuellen Status zu bekommen, werden Sie abschätzen können, wie viele Änderungen Sie vornehmen müssen, um den Anforderungen zu entsprechen.

1. Prüfen Sie Ihre Daten

Stellen Sie sicher, dass Sie wissen, wo Ihre Daten abgelegt sind und wer über welche Geräte darauf zugreifen kann.

2. Prüfen Sie Ihre Dienstleistungspartner

Stellen Sie sicher, dass auch alle Dienstleistungspartner (Cloud-Sicherung, SaaS etc.), die auf Ihre Daten zugreifen können, der DSGVO oder einer offiziell genehmigten Gerichtsbarkeit für Datenschutz entsprechen.

3. Prüfen Sie alle autorisierten und nicht-autorisierten Geräte, die Zugang zu personenbezogenen Daten haben

Stellen Sie sicher, dass Ihnen alle Geräte bekannt sind, die Zugang zu personenbezogenen Daten haben (offiziell genehmigt oder nicht).

Stufe 2: Zugriffssteuerung

Die zweite Stufe besteht darin, den Zugriff auf Unternehmensdaten zu steuern, dauerhaft nachzuvollziehen, wer Zugriff hat und zu verhindern, dass es Sicherheitslücken gibt, über die auf alles zugegriffen werden kann.

1. Kontrolle privilegierter Administrationsrechte

Sorgen Sie dafür, dass nur einige wenige Personen administrative Massnahmen ergreifen können. Dadurch wird das Risiko verringert, dass andere die Kontrolle über das Netzwerk ergreifen.

2. Sorgen Sie für einen stufenweisen Zugriff auf personenbezogene Daten

Kontrollieren Sie den Datenzugriff nach dem Need-to-Know-Prinzip. Diese Beschränkung sollte sich auf den Nutzer, das verwendete Gerät und das Netzwerk beziehen, aus dem die Anfrage kommt.

3. Stellen Sie sicher, dass ein Fernzugriff auf Unternehmensdaten möglich ist und Datenlöschungsrechte vorliegen

Stellen Sie sicher, dass Sie dazu in der Lage sind, Daten von allen Geräten mit Zugang zu personenbezogenen Daten abzurufen und zu löschen – insbesondere im Fall von Verlust oder Diebstahl.

Stufe 3: Mehrstufige Sicherheitsmassnahmen

Die letzte Stufe besteht darin, verlässliche Sicherheitssysteme zu implementieren, anhand derer es möglich ist, Angriffe zu identifizieren und entsprechend zu reagieren. Im Idealfall wird Prävention betrieben, aber das ist unrealistisch. Denken Sie daran, es gibt keine schnellen Lösungen bei der Cybersicherheit. HP empfiehlt ein mehrstufiges Sicherheitssystem, das einen zusammenhängenden und vielseitigen Ansatz zu der stetig wechselnden Cybersicherheitslandschaft bietet.

1. Investieren Sie wenn nötig in neue, sicherere Geräte

Biometrische Multi-Faktor-Authentifizierung, Bluetooth-Sperre, Sichtschutz und ein selbstheilendes BIOS (das weltweit erste von HP) sind dabei behilflich, auf Geräteebene für Datenschutz zu sorgen – Hardware und Software, die zusammen arbeiten, bieten eine umfassendere Abdeckung und die neuesten Sicherheitsfunktionen, wie HP-Geräte mit Windows 10 Pro.

2. Implementieren Sie Richtlinien, die regelmässige Untersuchungen und Sicherheitssoftware-Updates vorschreiben

Herkömmliche Netzwerkschutzmassnahmen (Virenschutz, Malware-Schutz und Firewall) sind vielleicht nicht absolut sicher, aber dennoch wichtig. Regelmässige Updates sind sehr wichtig.

3. Implementieren Sie Erkennungs- und Reaktionssoftware, die in Echtzeit arbeitet

Sichern Sie Ihre Endgeräte durch praktische Echtzeit-Reaktionsmassnahmen im Fall eines Angriffs (die es z. B. ermöglichen, Quarantänemassnahmen bezüglich Prozessen und Geräten einzuleiten sowie diese zu beenden oder abzuschliessen). Beziehen Sie ein Tool für das Security Information and Event Management (SIEM) ein.

4. Schulen Sie Ihre Mitarbeiter hinsichtlich des Themas Cyber-Sicherheit

58 Prozent der Cyber-Bedrohungen sind auf die Nachlässigkeit oder Arglist von Insidern zurückzuführen. Führen Sie grundlegende Schulungen durch, um zu vermeiden, dass es zu Fehlern wie dem Öffnen von Anhängen unbekannter Absender kommt.

Abgesehen davon, dass sie der Sicherheit dienen, ermöglichen es diese Massnahmen, den folgenden wesentlichen Vorgaben der DSGVO zu entsprechen:

  • Melden von Datenschutzverletzungen innerhalb von 72 Stunden und Erfüllung der Sorgfaltspflicht

  • Das Recht, vergessen zu werden: Löschung aller Daten eines EU-Bürgers, wenn dieser darum bittet

  • Datenübertragbarkeit: Bereitstellung aller personenbezogenen Daten eines EU-Bürgers in einem ihm zugänglichen Format

  • Internationale Übertragungen: Gewährleistung, dass Daten nur an andere Organisationen weitergegeben werden, die den DSGVO-Vorgaben ebenfalls entsprechen oder deren Gerichtsbarkeiten als „angemessen“ eingestuft werden

HP hat Sicherheit als Herzstück seines Produktdesigns festgelegt und vor der Herstellung des Geräts die besten Sicherheitspraktiken integriert. Sicherheit steht an erster Stelle. Auf diese Art hat unser HP EliteBook x360 mit Windows 10 Pro die Auszeichnung als sicherstes Business-Convertible* verdient. Wir wissen mehr denn je, dass Sicherheit an erster Stelle stehen sollte und nicht nur ein Zusatz ist. Seit Jahren wird diese Strategie von HP vertreten.

Wenn Sie Hilfe bei der Vereinfachung Ihres Sicherheitsangebots benötigen, könnte HPs Device as a Service genau das Richtige für Sie sein. Es bietet ein modernes Verbrauchsmodell, das Mitarbeiter mit der richtigen Hardware und Zubehör, Software (wie Windows 10 Pro), Lebenszyklusservices und Support sowie Sicherheit in einem grossen Angebot ausstattet. Der einfachste Weg, immer up-to-date und sicher zu bleiben.

 

*Sicherstes Gerät auf Grundlage der einzigartigen, umfassenden Sicherheitsfunktionen von HP, ohne zusätzliche Kosten; >1 Million Stück Jahresabsatz Stand 1. Dezember 2016 von HP Elite PCs mit Intel 7th Gen Intel® Core™-Prozessoren, Intel® Integrated Graphics und Intel® WLAN. Dünnstes Gerät auf Grundlage von Mitbewerbern mit >1 Million Stück Jahresabsatz, Convertibles ohne ablösbaren Bildschirm mit Windows Pro OS und Intel® Core™ vPro™-Prozessoren der 6. oder 7. Generation ab 1. Dezember 2016.