Die DSGVO und ihre positiven Konsequenzen für die IT-Sicherheit

Es war der 25. Mai 2018, als die deutsche Datenschutz-Grundverordnung (DSGVO) beziehungsweise die General Data Protection Regulation (GDPR) als EU-Recht in Kraft traten. Ihre beiden vornehmsten Aufgaben sollten der Schutz personenbezogener Daten innerhalb der Europäischen Union und, was häufig vergessen wird, der freie Datenverkehr innerhalb des europäischen Binnenmarktes sein. Die größten Bekanntheitsgrade erreichten Prinzipien wie Privacy by Design und Privacy by Default, die verpflichtende Rolle eines Datenschutzbeauftragten in Unternehmen und Behörden sowie nicht zuletzt das viel zitierte „Recht auf Vergessenwerden“. 

Die Verbesserung der IT-Security gehörte dagegen nicht explizit zum Aufgabenkatalog. Doch im Gefolge der Umsetzung von DSGVO-Vorgaben hat sie mehr zur Steigerung der Sicherheit beigetragen als jedes IT-Sicherheitsgesetz selbst. Ein Effekt, der so gar nicht beabsichtigt war. Aber ihre Einführung hat Industrie und Unternehmen in diesem sensiblen Punkt zu verstärkten Anstrengungen gezwungen. Materna Virtual Solution hat die Konsequenzen genauer unter die Lupe genommen:

1. Die Härtung von Systemen: Die meisten Datenverstöße resultieren aus IT-Vorfällen. So wurde es mit der DSGVO notwendig, sowohl das Eindringen von außen zu erschweren als auch die Daten innerhalb des Systems gegen erfolgreiche Attacken zu schützen. Bei den Frontend-Systemen erfolgte dies vor allem durch den Einsatz von Firewalls und Intrusion-Detection-Systemen, die unerwünschten Datenverkehr erkennen und blockieren. Die Backend-Systeme wurden gegen die Ausspähung sensibler Daten unter anderem durch den Einsatz von starker Datenverschlüsselung und Zwei-Faktor-Authentifizierung besser geschützt.
2. Datenmanagement und Datensicherheit: Zusätzlich wurden die Voraussetzungen dafür geschaffen, digitale Assets wie Dokumente, Dateien oder Videos besser vor Angriffen, Verschlüsselung durch Ransomware, Diebstahl und unautorisiertem Zugriff zu schützen. So wurden umfassende Defense-in-Depth-Strategien zur Cyberresilienz entwickelt und umgesetzt, die durch Cyberkriminelle verursachte Systemunterbrechungen erkennen, abwehren und beseitigen. Dazu zählen auch die laufende Überprüfung von Zugriffsrechten (Authentifizierung) oder regelmäßige Penetrationstests, die die Effektivität der Sicherheitsmaßnahmen prüfen und potenzielle Schwachstellen aufdecken.
3. Die strikte Trennung von beruflichen und privaten Daten: Durch die DSGVO wurde es auch notwendig, berufliche Daten und Applikationen strikt von privaten zu trennen. Das galt und gilt vor allem für die ultramobile Arbeit. Nachdem sich auf der Hardware-Seite Konzepte wie Bring Your Own Device (BYOD) oder Corporate Owned Personally Enabled (COPE) durchgesetzt haben, wird dafür häufig nur ein einziges Kommunikations-Gerät genutzt. Deshalb wurde es erforderlich, durch Software-Technologien wie die Containerisierung berufliche und private Daten unabhängig vom Nutzerverhalten strikt voneinander zu trennen.
4. Die Verschärfung der Compliance-Regeln: Neben den technischen Maßnahmen für Hard- und Software wurden durch die DSGVO auch Änderungen auf der Verfahrensebene der IT notwendig. Die Verschärfung der Regeln zwingt Unternehmen dazu, ihre internen Abläufe ständig zu überprüfen und anzupassen, um die Einhaltung der DSGVO sicherzustellen. Dazu zählen die Verschärfung von Compliance-Regeln ebenso wie der Schub für die IT-Entwicklung durch neue Methoden, Prozesse und Werkzeuge wie DevOps oder SecOps. Typische Beispiele sind regelmäßige Datenschutzauditierungen sowie Datenschutzschulungen für Mitarbeiter.

„Für die IT-Sicherheit hat sich die Einführung der DSGVO überraschend positiv ausgewirkt“, erklärt Christian Pohlenz, Security Experte bei Materna Virtual Solution. „Sie hat dadurch einen enormen Schub auf allen Ebenen erfahren: technisch, organisatorisch und auch durch die wachsende Sensibilität von Unternehmen und Mitarbeitern für Sicherheitsfragen.“