So helfen Tools, die Datensicherheit zu überprüfen
Die Datenschutz-Grundverordnung (DSGVO / GDPR) fordert Verfahren, die die Sicherheits-Maßnahmen im Unternehmen regelmäßig auf ihre Wirksamkeit überprüfen, bewerten und evaluieren. Dabei helfen verschiedene Security-Werkzeuge.
Sicherheit der Verarbeitung
44 Prozent der von IDC befragten Organisationen haben bisher keine konkreten Maßnahmen gestartet, um die Anforderungen der DSGVO zu erfüllen. Darüber hinaus fehlt vielen immer noch der ganzheitliche Blick auf alle personenbezogenen Daten im Unternehmen.
Bei der Einführung DSGVO-relevanter Prozesse und Technologien gibt es weiterhin große Lücken. Insbesondere die IT-Security weist Mängel auf, so die Studie „EU-Datenschutz-Grundverordnung in Deutschland – Der Countdown läuft!“.
Es bleibt also viel zu tun, damit die Datensicherheit der DSGVO entspricht. Aber auch nach dem 25. Mai 2018, ab dem die Datenschutz-Grundverordnung anzuwenden ist, ist die Datensicherheit nicht in trockenen Tüchern:
- Zum einen müssen Unternehmen dafür sorgen, dass die Sicherheits-Maßnahmen dem Stand der Technik entsprechen. Sie zu aktualisieren und anzupassen ist deshalb Pflicht.
- Zum anderen fordert die DSGVO ausdrücklich ein Verfahren, das die Maßnahmen regelmäßig auf ihre Wirksamkeit hin überprüft und bewertet (Artikel 32 DSGVO).
Organisatorische Maßnahmen
Dazu gehören organisatorische Maßnahmen wie die Pflege des Verzeichnisses der Verarbeitungstätigkeiten. Es ist eine wichtige Grundlage für die Prüfungen.
Dazu gehören darüber hinaus Prüfungs-Leitfäden und Checklisten, die die Verantwortlichen bearbeiten und in die Datenschutz-Dokumentation aufnehmen.
Tools, die technisch Datensicherheit überprüfen
Aber auch technische Werkzeuge sind hilfreich, also Lösungen, die technisch die Datensicherheit hinterfragen. Möchte ein Unternehmen zum Beispiel überprüfen, wie es um die Verschlüsselung personenbezogener Daten steht, sind spezielle Tools nützlich, die den Stand der Verschlüsselung bei den einzelnen Verfahren der Datenverarbeitung ermitteln.
Webserver-Verschlüsselung
Mit bestimmten Werkzeugen lässt sich für die verschiedenen Orte der Datenverarbeitung eine Übersicht generieren, ob und wie stark die Daten verschlüsselt sind:
- Ein Tool, das die Verschlüsselung bei Webservern prüft, ist der SSL-Check von Qualys (SSL Server Test). Es prüft nicht nur, ob verschlüsselt wird, sondern auch, wie stark die Verschlüsselung ist.
- Auch eine Aufsichtsbehörde kann die Webseiten-Verschlüsselung prüfen. Das zeigt der Online-Service „HTTPS-Check“ des Bayerischen Landesamts für Datenschutzaufsicht. Es ist ratsam, selbst die unzureichende Verschlüsselung festzustellen, bevor dies die Aufsicht tut.
Lesen Sie auch die anderen Teile unserer Serie zu DSGVO-Tools: |
---|
Sicherheitslücken aufspüren
Bei der Kontrolle der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, spielt es eine Rolle, ob es Sicherheitslücken gibt, die genau diese Punkte in Gefahr bringen.
Sicherheitslücken lassen sich etwa durch Schwachstellen-Scanner aufdecken. Auf dem Markt gibt es eine Vielzahl an Lösungen dafür, wie
- Open Vulnerability Assessment System (OpenVAS),
- Greenbone,
- Nessus,
- AVDS Vulnerability Assessment and Management,
- Core Vulnerability Insight,
- Qualys Vulnerability Management,
- Rapid7 Nexpose,
- io Vulnerability Management und
- F-Secure.
Es gibt also keinen Grund, warum Unternehmen Schwachstellen sehr spät oder gar nicht entdecken. Tatsächlich besteht die Gefahr, dass Datendiebe die Schwachstellen weitaus früher finden.
Um Datenschutz-Verletzungen und Datenpannen zu vermeiden, gilt es, diesen Vorsprung der Angreifer zu verhindern.
Hier helfen Tools, die regelmäßig und automatisch Schwachstellen scannen.