- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Zugriffskontrolle & Berechtigungsmanagement


Was die EU-Datenschutz-Grundverordnung mit Zugriffkontrolle zu tun hat
Expertengespräch mit Dr. Ann Cavoukian zum Thema EU-Datenschutzgrundverordnung und Berechtigungsmanagement

- Anzeigen -





Autor: Varonis

Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen – und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

Unternehmen sollten den Zugriff auf Daten in jedem Fall auf die Personen beschränken, die auch das Recht haben darauf zuzugreifen. Und das sind diejenigen, die aus unternehmerischen beziehungsweise geschäftlichen Gründen mit diesen Daten notwendigerweise arbeiten. Dabei fasse ich den Begriff "unternehmerische beziehungsweise geschäftliche Notwendigkeit" bewusst weiter. Wenn Sie beispielsweise an ein Krankenhaus denken, können das all diejenigen Mitarbeiter sein, die sich um die Patienten kümmern. Unabhängig vom Kontext. Das kann auch im Labor sein wo das Personal vielleicht mit diversen Tests beschäftigt ist. Es gibt also durchaus verschiedene Bereiche, in denen Personen beschäftigt sind, die berechtigt sind auf die betreffenden Daten zuzugreifen. Diejenigen, die nicht direkt mit dem Wohlergehen der Patienten zu tun haben, verstanden im obigen Sinne sollten nur eingeschränkt auf diese Daten zugreifen können. Schließlich wollen Sie so weit als möglich verhindern, dass potenziell böswillig agierende Insider an die Daten gelangen genauso wie Sie vertrauliche Informationen vor neugierigen Blicken abschirmen.

Datenschutzvorfälle dieser Art sind geeignet gleichzeitig das Vertrauen in diejenigen zu zerstören, die legitim auf diese Daten zugreifen.

Gerade im Gesundheitswesen sollten ja nur die Personen auf sensible Daten zugreifen, die das im Rahmen einer Behandlung berechtigterweise tun. Für alle anderen sollten die Zugriffsrechte entschieden begrenzt werden. Das umzusetzen ist nicht immer ganz einfach, aber es ist tatsächlich unumgänglich um die Rechte der Patienten auf Privatsphäre zu wahren."

Drei Dinge, die Unternehmen tun sollten

1.
"Wenn ich mit Unternehmen und Institutionen über die Themen Vertraulichkeit und Datenschutz spreche, fange ich damit ganz oben in der Unternehmenshierarchie an. Beim Geschäftsführer, den Vorständen oder anderen Führungskräften. Die Botschaft ist ganz einfach: Sie müssen mit im Boot sein will man das Konzept wirksam umsetzen. Man braucht einen ganzheitlichen, holistischen Ansatz, wenn man das Privacy-Modell einführen will und der Ansatz kann nur top down funktionieren. Wenn es Ihnen gelingt die Botschaft ganz nach Vorne zu bringen, dass sie sich intensiv um den Datenschutz und die Privatsphäre Ihrer Kunden bemühen, ist das auch eine Botschaft, die ankommt. Sie sollten es ihre Kunden also wissen lassen: Für ihr jeweiliges Unternehmen hat Privacy Priorität und sie setzen die entsprechenden Richtlinien um. Das heißt, die dem Unternehmen anvertrauten Daten und Informationen werden ausschließlich zu dem Zweck genutzt für den sie erhoben wurden und zu keinem anderen. Ich spreche dann von Privacy by Default: Die Daten werden nur zu einem bestimmten Zweck erhoben und genutzt. Sollte es notwendig werden, die Daten noch in einem anderen, weitergehenden Kontext zu nutzen, wird das niemals ohne die ausdrückliche Einwilligung der Betroffenen geschehen.

2. "Der menschliche Faktor ist einer der entscheidenden bei diesem Konzept. Ich schlage also mindestens vierteljährliche Besprechungen vor, in denen wir die Botschaft auffrischen und gegebenenfalls vertiefen. Es reicht nicht, wenn sie auf einer Hierarchieebene stecken bleibt. Jeder im Unternehmen muss sie kennen und leben. Es kann nicht sein, was aber oft genauso passiert, dass ein Chief Privacy Officer das Konzept nur einigen wenigen erläutert. Der Kundensachbearbeiter mag vielleicht nicht an oberster Stelle der Firmenhierarchie stehen, aber er hat mit die größten Möglichkeiten Datenschutzverletzungen zu begehen. Jeder Angestellte sollte wie die Führungsetage verstanden haben, wie wichtig es ist die Privatsphäre und Vertraulichkeit von Daten zu schützen, warum das so wichtig ist und wie man diese Anforderung am besten umsetzt. Kümmern Sie sich darum die Botschaft "unters Volk" zu bringen. Es rechnet sich. Ich nenne das gelegentlich "Privacy Payoff". Damit ist nicht nur gemeint, dass sie aktiv den Schutz der Kundendaten betreiben, sondern auch, dass es sich in unternehmerischer Hinsicht auszahlt. Solche Maßnahmen sorgen dafür, dass Kunden Ihrem Unternehmen vertrauen und Sie als einen glaubwürdigen Partner betrachten. Unter dem Strich rechnet sich das für jedes Unternehmen."

3. "Der Prophet in eigenen Land gilt bekanntlich nicht viel. Laden Sie zu den Zusammenkünften einen externen Experten, eine externe Expertin ein, die Sie bei der Umsetzung des Konzepts unterstützen. Beispielsweise in dem sie darlegen, was im Einzelnen passieren kann, wenn es Unternehmen nicht gelingt die Daten ihrer Kunden zu schützen und Vertraulichkeit zu gewährleisten. Das letzte Jahr wurde allgemein mit dem wenig schmeichelhaften Titel "Year oft he Breach" betitelt. Noch nie hatten Datenschutzverletzungen ein derartiges Ausmaß und Schadenspotenzial angenommen.

Dass Angriffe auf Unternehmen, Institutionen, politische Mandatsträger und so weiter praktisch täglich Schlagzeilen gemacht haben, hatte aber zumindest ein Gutes. Es wurde leichter im eigenen Unternehmen klar zu machen was passieren kann, wenn man elementare Regeln des Datenschutzes missachtet, und mit welchen Konsequenzen Unternehmen und Beschäftigte rechnen müssen. Jobverlust, juristische und finanzielle Konsequenzen bis hin zur Insolvenz einer Firma.

Das klingt zunächst wenig positiv. Und ja, ich konfrontiere Unternehmen mit dem was passieren kann, aber ich würdige auch die Anstrengungen, die eine Firma bereits in Sachen Datenschutz unternommen hat. Es sind im Grund zwei Botschaften, die ich versuche zu verkaufen. Es gibt ganz reale und größtenteils fatale Folgen mit denen man bei einer Datenschutzverletzung zu rechnen hat. Das ist eine Seite. Wenn sich Unternehmen aber darum bemühen vertrauliche Daten ihrer Kunden entsprechend zu schützen, wird sich das in jeder Hinsicht auszahlen. Das erhöht die Motivation und unterstreicht ein weiteres Mal die Wichtigkeit eines umfassenden Privacy-Modells."
(Varonis: ra)

eingetragen: 12.03.17
Home & Newsletterlauf: 27.03.17


Varonis: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Volumetrische DDoS-Angriffe abwehren

    Experten sind sich einig. IoT-Geräte - gerade für Endverbraucher - bekommen mangelnde Sicherheit quasi automatisch mitgeliefert. Und wir in den letzten Wochen die Quittung. Für Sicherheitsspezialisten keine große Überraschung, sie warnen schon lange. Die jüngsten Angriffe aber haben gezeigt, in welche Dimensionen uns IoT-basierte Botnetze bei DDoS-Angriffen katapultieren und welche Schäden sie in der Lage sind anzurichten. Die Attacke auf den DNS-Provider Dyn im Oktober dieses Jahres war ein solcher Weckruf. Das prognostizierte Szenario ist keine bloß theoretische Annahme mehr, sondern real. Und es gibt Handlungsbedarf. Unternehmen und Verbraucher fragen sich angesichts einer steigenden Zahl von im Internet der Dinge verbundenen Geräten wie sie sich besser schützen können. Es ist kein großes Geheimnis, dass IoT-fähige Geräte aus sicherheitstechnischer Hinsicht wenig überzeugend sind. Die überwiegende Zahl von ihnen integriert kaum Sicherheitsmechanismen, und ist mit äußerst simplen Standard-Passwörtern ausgestattet. Das macht die Geräte für potenzielle Angreifer zu einer leichten Beute. Die Folge: Hacker machen sie beispielsweise zum Teil eines Botnetzes von dem DDoS-Angriffe mit enormer Bandbreite ausgehen können.

  • S/MIME und wie es funktioniert

    S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist eine relativ bekannte Technologie um E-Mails zu verschlüsseln. S/MIME basiert auf asymmetrischer Verschlüsselung, um E-Mails vor unerwünschtem Zugriff zu schützen. Zusätzlich dient S/MIME dazu E-Mails digital zu signieren, um den legitimen Absender einer Nachricht als solchen zu verifizieren. Das macht S/MIME zu einer effektiven Waffe gegen verschiedene Arten von Phishing-Angriffen. Das ist, kurz gefasst, worum bei S/MIME geht. Wenn es allerdings darum geht, S/MIME praktisch einzusetzen, taucht meist noch eine Reihe von Fragen beim Anwender auf.

  • Zugriffskontrolle & Berechtigungsmanagement

    Gesetze, Vorschriften und Konzepte sind immer nur so tragfähig sind wie die Menschen, die sie umsetzen sollen, tatsächlich dahinter stehen - und mehr noch: wie sehr die Beteiligten in die Entscheidungen mit einbezogen werden. Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University's Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Ihr Credo hat sich nach eigenen Aussagen in der Praxis bestens bewährt: "Sie würden vermutlich überrascht sein, wie sehr Kunden sich unter diesen Bedingungen im gesamten Prozess engagieren. Warum? Weil Sie zunächst eine Vertrauensbasis geschaffen haben. Und: Ihre Kunden fühlen sich mit ihrem Bedürfnis nach Privatsphäre und Datenschutz ernst genommen."

  • Schutz der Privatsphäre als Standard

    Dr. Ann Cavoukian, eine kanadische Datenschützerin, hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Privacy by Design ist übrigens ganz und gar keine neue Idee und wurde bereits 1990 entwickelt. Es erlangt allerdings vor allem in Bezug auf das Internet der Dinge wieder verstärkt Bedeutung. Gerade in der Wirtschaft war und ist allerdings vielfach zu hören, dass sich Privacy by Design-Grundsätze nur eingeschränkt mit technologischem Fortschritt und wirtschaftlicher Prosperität verbinden lassen. Das sieht Cavoukian, die auch Regierungsbehörden und Unternehmen berät, anders. Ihrer Meinung nach lässt sich ein Big Data-Anspruch sehr wohl mit dem Schutz der Privatsphäre verbinden. Die Botschaft von Cavoukian mutet simpel an, die ehemalige Politikerin und Wissenschaftlerin ist aber überzeugt, dass es möglich ist Daten zu erheben und gleichzeitig die Privatsphäre zu schützen.

  • DDoS-Angriffe, die unterschätzte Gefahr

    Distributed-Denial-of-Service (DDoS)-Attacken haben es in den letzten Monaten und Wochen zu einiger Popularität gebracht. Eine ganze Reihe von spektakuläre Angriffen hat die Headlines beherrscht (und das nicht nur wie sonst in den Fachmedien). Dazu gehörten beispielsweise die Angriffe auf fünf große russische Banken sowie das UK "FBI" wie The Register vermeldete. Und am Montag dieser Woche staatliche Server in Luxemburg. Im Licht dieser Attacken betrachtet wird schnell deutlich wieso es für Firmen und Institutionen so wichtig ist, sich vor den potenziellen und zum Teil nicht sofort ersichtlichen Folgen eines solchen Angriffs zu schützen. DDoS-Angriffe sind längst nicht mehr allein dazu da einen bestimmten Dienst, eine bestimmte Website, ein Unternehmen durch eine Flut von Serveranfragen lahm zu legen. Sie haben sich inzwischen deutlich weiter entwickelt und dienen immer häufiger dazu groß angelegte Cyberangriffe zu verschleiern. Dazu gehören alle Arten von Datenschutzverletzungen, die nicht zuletzt finanzielle Schäden anrichten.