Vor fünf Jahren trat die Datenschutz-Grundverordnung (DSGVO) in Kraft und hat besonders bei Datenschützenden für Begeisterung gesorgt. Ihr Einfluss auf die IT-Sicherheit ist dagegen nur nebensächlich erwähnt worden. Dabei hat sich die DSGVO doch gleich auf mehreren Ebenen als förderlich erwiesen.
Am 25. Mai 2018 wurde die deutsche Datenschutz-Grundverordnung (DSGVO), auf europäischer Ebene die General Data Protection Regulation (GDPR) rechtsverbindlich. Als vorrangige Aufgaben galt es den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen und gleichzeitig einen freien Datenverkehr innerhalb des europäischen Binnenmarktes zu ermöglichen. Die Prinzipien „Privacy by Design“ und „Privacy by Default“, die verpflichtende Rolle eines/einer Datenschutzbeauftragten in Unternehmen und Behörden und das „Recht auf Vergessenwerden“, sind die bekanntesten Elemente der Gesetze.
Nicht explizit zu ihrem Aufgabenkatalog gehört hingegen die Verbesserung der IT-Sicherheit. Dennoch hat die Umsetzung der DSGVO-Vorgaben im Vergleich zu anderen Gesetzen starkt dazu beigetragen. Mit diesem unbeabsichtigten Effekt hat ihre Einführung Industrie und Unternehmen dazu bewegt, verstärkte Anstrengungen für mehr Datenschutz und -sicherheit zu unternehmen. Dazu zählen:
Systemhärtungen für eine bessere Angriffsabwehr
Datenschutzverstöße resultieren am meisten aus IT-Vorfällen. Mit dem Inkrafttreten der DSGVO wurde es notwendig, Systeme zu härten, um sie gegen Angriffe von außen, aber auch aus dem Inneren zu schützen. Firewalls und Intrusion-Detection-Systeme, die unerwünschten Datenverkehr erkennen und blockieren, kommen insbesondere bei Frontend-Systemen zum Einsatz. Um Backend-Systeme zu härten und das Ausspähen von sensiblen Daten zu erschweren, wurden Verschlüsselungstechnologien und die Multi-Faktor-Authentifizierung etabliert.
Datensicherheit für eine stärkere Cyber Resilienz
Mit der geschaffenen Voraussetzung, können digitale Assets, wie Dokumente, Dateien oder Videos, nun besser vor Angriffen, Verschlüsselungen durch Ransomware, Diebstahl und unautorisiertem Zugriff geschützt werden. Die Entwicklung von umfassenden Defense-in-Depth-Strategien zur Cyber Resilienz ermöglicht es, Systemunterbrechungen, die durch Cyberkriminelle verursacht wurden, frühzeitig zu erkennen, abzuwehren und zu beseitigen. Die kontinuierliche Überprüfung von Zugriffsrechten (Authentifizierung) und regelmäßige Penetrationstest, die Systeme auf ihre Sicherheitsmaßnahmen prüfen und dadurch mögliche Schwachstellen aufdecken können, sind ebenfalls Teile der weitreichenden Defense-Strategien.
Strikte Datentrennung für eine umfangreichere Sicherheit
Durch die Datenschutz-Grundverordnung müssen berufliche Daten und Applikationen strikt von privaten getrennt werden. Auf der Hardware-Seite entwickelten sich Konzepte wie Bring Your Own Device (BYOD) oder Corporate-Owned, Personally-Enabled (COPE), die nicht nur ultramobiles Arbeiten, sondern auch die Nutzung eines einzigen Kommunikations-Gerätes für alle Zwecke ermöglichten. Dank neuer Sofware-Technologien wie der Containerisierung konnten private und berufliche Daten auf den Geräten strikt voneinander getrennt werden, sodass diese Konzepte sicher und vor allem DSGVO-konform umgesetzt werden konnten.
Verschärfte Compliance-Regeln für mehr Sensibilisierung
Nicht nur auf technischen Seite wirkte die DSGVO auf die IT-Sicherheit ein, sie stieß auch Änderungen auf der Verfahrensebene an. Die Regelverschärfungen führen dazu, dass Unternehmen gezwungen sind, interne Abläufe ständig zu überprüfen und anzupassen, damit sie DSGVO-konform bleiben. Durch die Verschärfung der Compliance-Regeln, mussten neue Methoden, Prozesse und Werkzeuge entwickelt werden. So entstanden beispielsweis Development und IT-Operations (DevOps) und Security Operations (SecOps). Typische Beispiele für die Verschärfung der Compliance-Regeln sind regelmäßige Datenschutzaudits und Sensibilisierungsmaßnahmen für Mitarbeitende.
Die Einführung der Datenschutz-Grundverordnung hat sich positiv auf die IT-Sicherheit ausgewirkt. Neben technischen und organisatorischen Fortschritten hat sie insbesondere zur Sensibilisierung von Unternehmen und Mitarbeitenden im Hinblick auf Sicherheitsfragen beigetragen.