Mit der PITS – Public IT Security und der it-sa liegen zwei Messeflaggschiffe des Jahres hinter den Anbietern und Anwendern von Cyber-Security-Lösungen. Die Nachfrage nach Antworten auf sicherheitsrelevante IT-Fragestellungen bleibt auf erwartet hohem Niveau – aber welche Themen sorgen aktuell bei den IT-Verantwortlichen für die meiste Bewegung?
Im Zuge der weiter fortschreitenden Digitalisierung der Arbeitswelt und des Privatlebens rückt interessanterweise der Mensch wieder immer stärker in den Fokus. Mitarbeiter arbeiten oft über ihre Smartphones und Tablets auch von unterwegs. Gleichzeitig werden immer mehr Anwendungen und Daten über interne oder externe Cloud-Anwendungen und das Internet zur Verfügung gestellt, die wichtigen Unternehmensdaten sind also auch „unterwegs“. Da wird es naturgemäß eine immer komplexere Aufgabe, Datenflüsse und Zugriffe im Sinne einer integrierten Cyber Security abzusichern.
Wer darf wann von wo über welche Geräte auf was zugreifen – und wie kann ich das wirkungsvoll kontrollieren? Das ist derzeit die Kernfrage, die sich IT-Verantwortliche stellen müssen. So gibt es zum Beispiel Informationen, die ein Mitarbeiter auch per WLAN im Café aufrufen darf, andere aber nur von seinem Arbeitsplatz im Firmennetz aus. Oder der Geschäftsführer hat beispielsweise Zugriff auf andere Informationen und Anwendungen als der Service-Techniker.
Die Schlagworte auf der Lösungsseite sind hier Access Management zur Steuerung von Zugriffen und Identity Management zur Verwaltung von Rechten und Rollen. Damit lassen sich unabsichtliche Datenverluste oder Informationslecks wirkungsvoll vermeiden und die Chancen für absichtliche Angriffe minimieren.
Übergreifende Überwachung und umfangreichere Steuerung können auch über ein so genanntes Security Information & Event Management (SIEM) realisiert werden. Als sehr leistungsstarkes und umfangreiches Hilfsmittel wird SIEM derzeit insbesondere von größeren Unternehmen verstärkt nachgefragt. SIEM-Systeme überwachen den kompletten Datenfluss und Zugriffe auf Daten und Anwendungen und sind in der Lage, Unregelmäßigkeiten zu erkennen und automatisch Gegenmaßnahmen zu ergreifen und vereinen damit gleich mehrere Aspekte der Cyber Security wie Kontrolle, Analyse, Maßnahmen und Optimierungsansätze.
Wenn beispielsweise über die Zugangsdaten eines Mitarbeiters, der sonst stets nur zu Bürozeiten von seinem Schreibtisch in Hamburg aus auf eine Anwendung zugreift, plötzlich mitten in der Nacht ein Zugriffsversuch aus Sao Paolo erfolgt, ist hier aller Wahrscheinlichkeit nach etwas im Argen und der Zugang kann vorsorglich gesperrt werden. Gleichzeitig ermöglichen die durch das SIEM gesammelten Daten grundsätzliche Optimierungen der eigenen Schutzmaßnahmen und Arbeitsabläufe.
Zur Unterstützung besonders berechtigter Benutzergruppen wie etwa Administratoren oder technischen Mitarbeiten stehen aktuell vor allem auch Lösungen für ein Privileged User Management, das für die Kontrolle von kritischen Rechten und Konten zuständig ist, auf der Wunschliste vieler IT-Verantwortlichen. Privileged User Management schützt Organisationen vor vorsätzlichem aber auch unbewusstem Missbrauch privilegierter Berechtigungen.
Neben diesen operativen „Dauerbrennern“ sorgen rechtliche Aspekte wie die anstehende Datenschutzgrundverordnung der EU (EU-DSGVO) mit erweiterten gesetzlichen Anforderungen für viel Gesprächsbedarf. Ab Mai 2018 müssen alle Unternehmen, die mit Kundendaten jeglicher Art arbeiten – also eigentlich alle – viel genauer überwachen und dokumentieren, wie sie Kundendaten speichern, nutzen und löschen. In diesem Zusammenhang reichen die aktuell noch offenen Punkte in vielen Organisationen und Unternehmen von grundlegenden Verständnisfragen zu den gesetzlichen Vorgaben bis zu technischen Einzelheiten. Oftmals besteht beispielsweise in historisch gewachsenen Systemwelten und angesichts zahlreicher beteiligter Abteilungen und Prozesse noch nicht einmal ausreichende Klarheit darüber, welche Daten überhaupt von den neuen Vorgaben betroffen sind, wo, von wem und wie diese gespeichert und verarbeitet werden, wie diese sich identifizieren lassen und welche Maßnahmen notwendig sind, um hier zukünftig rechtssicher zu agieren.
Um hier verlässliche Klarheit zu erlangen und systematisch vorgehen zu können, hilft eine bewusst prozessorientierte Methodik, wie sie CONET in enger Zusammenarbeit mit einem Kunden entwickelt hat. Diese stellt sicher, dass alle betroffenen Prozesse zuverlässig identifiziert, analysiert und im Bedarfsfall angepasst oder neu aufgesetzt werden können. Dabei werden schnell erste Ergebnisse erzielt, die ebenso schnell in erste Maßnahmen münden und schrittweise umgesetzt werden können.
Kern der Lösungen ist dabei die Erweiterung des Geschäftsprozessmanagements um die Inhalte des Datenschutzes. Dazu gehören die Prozessanalyse und Identifikation der personenbezogenen Daten, die Abgrenzung sowie Abbildung der Verarbeitungstätigkeiten auf Basis der identifizierten Prozesse und die anschließende Ableitung und Initiierung notwendiger technisch-organisatorischer Maßnahmen (TOM). Darauf folgen die Durchführung einer Datenschutzfolgeabschätzung und Risikobewertung, wobei je Verfahren die Notwendigkeit, die Verhältnismäßigkeit sowie die Risiken für die Rechte und Freiheiten des betroffenen Individuums zu bewerten sind. Schließlich leiten sich daraus die Definition der Prozessabläufe zur Einführung der Lösch- und Sperrkonzepte (inklusive Rollen- und Berechtigungskonzepte) und die Erstellung eines Konzepts zur technischen Umsetzung der Informations- und Dokumentationspflichten zur Auftragsverarbeitung nach § 28f DSGVO und § 26 DSGVO sowie Einzeldokumentationspflichten nach § 7 und § 8 DSGVO und § 33f DSGVO ab.
Letztlich führen alle diese Maßnahmen gemeinsam dazu, dass die vorhandenen Prozesse und Systeme in definierten Einzelschritten überschaubar und effizient so angepasst werden können, dass sie den neuen Anforderungen wie Dokumentation und Datensparsamkeit gerecht werden. Dies verursacht trotz iterativen Vorgehens natürlich entsprechende Aufwände, denen sich Unternehmen – nicht nur in regulierten Märkten – und auch gerade der öffentliche Sektor aber zügig werden stellen und für die entsprechende personelle und finanzielle Ressourcen eingeplant werden müssen.
Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.