EU-DSGVO erfordert transparente Netzwerke

Gestern, am 25. Mai, ist die Schonfrist für Unternehmen abgelaufen. Jetzt müssen Sie die DSGVO umgesetzt haben. Doch vier von fünf Unternehmen in Deutschland haben nach eigener Aussage die DSGVO-Deadline verpasst. Und selbst bis Ende des Jahres werden es voraussichtlich nur drei von vier Unternehmen schaffen, regelkonform zu werden, so Capgemini. Für Industrie-Unternehmen ist der Schutz von Daten mit Personenbezug eine besondere Herausforderung. Gerade im Rahmen des IIoTs (Industrial Internet of Things) und damit bei der Maschine-zu-Maschine-Kommunikation (M2M) fallen neben technischen, unpersönlichen Informationen auch personenbezogene Daten an. Industrie-Unternehmen müssen also unterscheiden, welche Daten unter die DSGVO fallen und welche nicht. So hat beispielsweise auch eine IP-Adresse bereits einen Personenbezug. Aber auch Maschinendaten enthalten oft Kennnummern, Standortdaten oder andere eindeutige Kennzeichen, die sich auf Personen wie den Maschinenführer beziehen lassen.

 Datenfluss im Netzwerk überwachen

Dementsprechend sollten Industrie-Unternehmen ihre Arbeitsabläufe nochmals genau auf die DSGVO-Konformität untersuchen. Ein wichtiger Aspekt sollte hierbei unbedingt die laufende Überwachung der Datenverarbeitungsprozesse sein. Denn wer zwischen „DGSVO-relevanten“ und nicht personenbezogenen Daten unterscheiden will, muss nachvollziehen können, welche Daten wann und wo ausgetauscht und verarbeitet werden. Dabei reicht es allerdings nicht aus, nur unmittelbar beteiligte Prozesse zu überwachen. Da die IT-Landschaften von Industrie-Unternehmen im Zeitalter des IIoT immer komplexer und Maschinen zunehmend voneinander abhängig sind, sollte das gesamte Netzwerk analysiert werden. Mit einem Netzwerk-Monitoring können sich Unternehmen einen vollständigen Überblick über alle Netzwerkaktivitäten in Echtzeit verschaffen. Sie können nachvollziehen, welche Daten zwischen den Maschinen ausgetauscht und wo sie gespeichert werden – etwa im Rechenzentrum oder in der Cloud. Diese Einsicht ist wichtig, um beispielsweise der Auskunftspflicht (Artikel 15) oder dem Recht auf Vergessenwerden (Artikel 17) der DSGVO nachkommen zu können.

Artikel 32 DSGVO verlangt ständige Verfügbarkeit von Daten

Aber auch der Artikel 32 der DSGVO ist ein wichtiger Paragraf, der die Überwachung des gesamten Netzwerks erfordert. Er schreibt unter anderem vor, dass personenbezogene Daten…

  • anonymisiert und verschlüsselt werden müssen
  • ihre Integrität nicht verlieren, vertraulich behandelt werden und Unternehmen fähig sind, die Verfügbarkeit der Daten und ihrer Datenverarbeitungssysteme sicherzustellen
  • im Falle eines Datenverlusts oder technischen Ausfalls schnell wiederhergestellt werden können
  • einem angemessenen Schutzniveau bei der Datenverarbeitung unterliegen und die Schutzmaßnahmen regelmäßig überprüft, bewertet sowie evaluiert werden.

Diese Anforderungen können Unternehmen nur erfüllen, wenn sie völlige Transparenz über alle Datenflüsse haben. Vor allem bei verschlüsselten Daten muss ganz genau hingeschaut werden. Es darf nicht passieren, dass personenbezogene Daten widerrechtlich an falsche Empfänger verschickt werden oder im Netzwerk „verloren gehen.“ Ebenso müssen Unternehmen potenzielle Netzwerkausfälle und drohenden Datenverlust frühzeitig erkennen können, um entsprechend schnell darauf zu reagieren.

Cyberattacken frühzeitig erkennen

Darüber hinaus stellen besonders Cyberattacken eine große Gefahr für den Datenschutz dar. Gerade sogenannte Distributed-Denial-of-Service (DDoS) -Angriffe bergen enorme Risiken für Unternehmen, die auf Netzwerke und Webseiten als integrale Bestandteile ihrer Geschäftstätigkeit angewiesen sind. Und dies trifft heute im Prinzip auf fast alle Unternehmen und deren Dienste zu, ob Online-Banking, Internet-Handel, Reisebuchungen, Patientenportale, Telekommunikation oder B2B-Lösungen. Server oder andere Komponenten werden im Falle eines Angriffs solange mit Anfragen, also mit Datenverkehr, überlastet, bis diese nicht mehr verfügbar sind. Wird das Netzwerk lahmgelegt, gestaltet sich auch der Zugriff auf sowie der Schutz von Daten schwierig. 2017 waren Unternehmen in der DACH-Region mit 22 DDoS-Angriffen pro Stunde konfrontiert. Wer also seinen Geschäftsbetrieb und auch die Sicherheitsanforderungen entsprechend Artikel 32 der DSGVO nicht gefährden will, muss sich auf solche Attacken vorbereiten. Ein netzwerkübergreifendes Monitoring kann Auffälligkeiten und Anomalien aufdecken bevor diese zu einem Netzwerkausfall führen.

Egal, ob Unternehmen die DSGVO bereits umgesetzt haben oder nicht, es bleibt die Herausforderung, bereits initiierte Schutzmaßnahmen auch kontinuierlich zu überprüfen. aus diesem Grund ist es wichtig, sich einen ständigen Überblick über alle Datenflüsse zu verschaffen. Denn nur dann sind Unternehmen in der Lage, Daten auch künftig DSGVO-konform zu verarbeiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.