News Ticker

Frist zur Umsetzung der DSGVO rückt näher: Palo Alto Networks empfiehlt Unternehmen umfassende Bestandsaufnahme vor neuen Investitionen

Bis zum Mai 2018 muss die Datenschutz-Grundverordnung (DSGVO/GDPR) der Europäischen Union in den Mitgliedstaaten in gültiges Recht umgesetzt werden. Dies ist auch die Frist, die Unternehmen verbleibt, um der neuen gesetzlichen Regelung gerecht zu werden. In vielen Unternehmen laufen diesbezüglich bereits gezielte Anstrengungen. Die vorherrschende Meinung in den Unternehmen ist, dass dies zusätzliche Investitionen erfordert, was zu einem bestimmten Teil auch der Fall sein dürfte. Palo Alto Networks weist die Unternehmen jedoch darauf hin, dass es oftmals möglich ist, aus den bestehenden Investitionen „mehr herauszuholen“ und die vorhandenen Technologien effizienter einzusetzen.

Tools für Data Loss Prevention (DLP) und Verschlüsselung gelten als primäre Anforderungen zum Schutz von Daten, bringe jedoch spezielle Herausforderungen bei der Implementierung mit sich. Oft können ganzheitliche Sicherheitslösungen dazu beitragen, den Umfang dieser Herausforderungen und die damit verbundenen Kosten zu reduzieren.

So kann eine moderne Firewall den Aufwand und die Kosten für einen besseren Schutz des Lebenszyklus von personenbezogenen Daten reduzieren. Der allzu verbreitete erste Gedanke beim Datenlebenszyklus-Management besteht darin, zu versuchen, alle Daten zu klassifizieren. Dies ist jedoch kaum zu leisten, da jeden Tag neue Daten oder neue Instanzen von vorhandenen Daten generiert werden. Hier ist eine Änderung der Denkweise sinnvoll. Diese sollte nicht darin bestehen, herauszufinden, wo sich alle personenbezogenen Daten befinden, sondern stattdessen von vornherein festzulegen, wo diese sein können und sollten. So lässt sich der Umfang reduzieren, in dem DLP-Tools eingesetzt werden müssen.
Die meisten Unternehmen haben bereits einen Einblick in persönliche Daten in bekannten Geschäftsprozessen. In der Praxis wird dies meist durch CRM-Tools (Customer Relationship Management), Bedrohungsanalyse-Lösungen und HR-Systeme abgedeckt. Es gibt jedoch immer noch eine beträchtliche Lücke zwischen dem, wo strukturierte Daten sich tatsächlich befinden und wo sie vermutet werden. Es geht darum, die Punkte zu identifizieren, an denen diese Daten zu unstrukturierten Daten werden.

Kommen im Unternehmen effektive Layer-7-Firewalls zum Einsatz, können diese verwendet werden, um die Anwendungsnutzung in Echtzeit abzubilden. Auf diese Weise wird ersichtlich, welche Anwendungen mit welchen anderen kommunizieren, welche nach außerhalb des Unternehmens kommunizieren und welche Benutzer dies in welchem Umfang tun.

Das Hauptziel besteht darin, das Zero-Trust-Modell umzusetzen: die persönlichen Daten im Unternehmen zu segmentieren, um eine Bewegung der Daten einzuschränken, zu verhindern, dass daraus unstrukturierte Daten werden und, was noch wichtiger ist, den Umfang der Sicherheitsanforderungen zu verringern. Ebenso lässt sich mit dieser Sichtbarkeit definieren, an welchen Stellen eine Verschlüsselung erforderlich ist. Zudem können die Punkte festgelegt werden, an denen sich die Daten niemals befinden sollten oder auf die nicht zugegriffen werden darf.

Hinzu kommt die Verwaltung der persönlichen Daten selbst: Eine gute Layer 7-Firewall wird in der Regel eine gewisse Inhaltskontrolle beinhalten. Wenn bereits eine DLP-Lösung besteht, die Daten markiert, sollte die Firewall auch in der Lage sein, die in die Daten eingefügten Tags zu nutzen. Die Firewall kann normalerweise den verschlüsselten Datenverkehr überprüfen, was den Zugriff auf Daten ermöglicht, die die DLP-Lösung sonst nicht analysieren könnte. Abhängig von der Konfiguration lässt sich die Firewall auch nutzen, um mehrere Durchsetzungspunkte einzurichten, wenn der Netzwerkverkehr segmentiert wird.
Wenn kein DLP-Tool installiert ist, aber die Datenflüsse persönlicher Informationen gesteuert werden sollen, bietet eine Layer-7-Firewall auf jeden Fall die Möglichkeit, irgendeine Art von Inhaltsüberprüfung durchzuführen. Auch wenn diese nicht so umfassend ist wie bei einem DLP-Tool, ermöglicht sie die Erfassung regulärer Inhalte (Wörter, gebräuchliche Strukturformen wie Bankkartendaten etc.) in gängigen Dateitypen. Damit steht eine schlanke Variante der Überwachung bereit, die in einigen Fällen jedoch bereits ausreicht.

DLP und Verschlüsselung sind wichtig zur Verwaltung des Lebenszyklus persönlicher Daten. Diese Maßnahmen können jedoch aus der Perspektive von Investitions- und Betriebskosten teuer sein. Andere Tools und Prozesse können verwendet werden, um die Abhängigkeit von diesen Lösungen zu reduzieren. Die DSGVO bietet die seltene Gelegenheit, die bestehende Strategie auf den Prüfstand zu stellen. Viele Unternehmen haben bereits in modernste Technologien wie eine Next-Generation-Firewall investiert, die all diese Dinge abdeckt, aber sie wird trotzdem wie eine 20 Jahre alte Port- und Protokoll-Firewall verwendet, die auf Layer 3 arbeitet.

Palo Alto Networks empfiehlt Unternehmen eine detaillierte Bestandsaufnahme, bevor sie „doppelt“ investieren. Welche Funktionen werden im Kern bereits abgedeckt, was bieten die zusätzlichen Komponenten an Mehrwert? Die erforderlichen Funktionen sollten den Sicherheitsaufgaben zugeordnet werden. Dann gilt es zu überlegen, wie sich die Prozesse optimieren lassen, um den Umfang und Aufwand der Sicherheitsmaßnahmen zu reduzieren.

Die Traffic-Segmentierung und das Zero-Trust-Modell sind dabei keine spezifische Empfehlung für die DSGVO-Compliance, aber kommen der Anforderung der DSGVO, Lösungen auf dem neuesten Stand der Technik einzusetzen, entgegen. Letztlich geht es darum, die Verbreitung von personenbezogenen Daten einzuschränken. Dies bedeutet, weniger schützen zu müssen – und damit ein geringeres Risiko für das Unternehmen.