Datenschutz und Datensicherheit gehen Hand in Hand und bilden das perfekte Paar. Aber diese Beziehung ist wie so häufig im realen Leben komplex. Eine Data Loss Prevention (DLP) Lösung kann eine von mehreren Möglichkeiten sein, welche die beiden Disziplinen auf Lebzeiten binden kann. Hierzu fünf kritische Erfolgsfaktoren.
1 – Gesetzliche Vorgaben
Art. 7 Abs. 1 im revidierten Datenschutzgesetz (revDSG) legt fest, dass die Datenbearbeitung technisch und organisatorisch so auszugestalten ist, dass die Datenschutzvorschriften eingehalten werden. Die Datenschutzverordnung (VDSG) geht dabei nicht auf konkrete IT-Sicherheitsanforderungen oder Mindestanforderungen an die Datensicherheit ein. Vielmehr werden Beispiele von Massnahmen wie Zugriffs- oder Transportkontrollen aufgeführt. Die Bearbeitung hat nach dem Grundsatz von Privacy by Design zu erfolgen. Doch wie kann dies ein Unternehmen sicherstellen und einhalten?
Der Gesetzgeber hat versucht, mit Dokumenten wie dem „Leitfaden zu den technischen und organisatorischen Massnahmen des Datenschutzes“ oder des „IKT-Minimalstandards“ Hilfsmittel in die Hand zu geben. Daneben gibt es etablierte Standards wie beispielsweise der ISO 27001/2, welcher Anforderungen der Informationssicherheit vorgibt. Das Was (es zu tun gilt) ist also definiert, doch sieht es bekanntlich beim Wie deutlich anspruchsvoller aus.
2 – Schutzziele der Informationssicherheit
Bei der Informationssicherheit geht es hauptsächlich um die Sicherstellung der vier Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit. Personendaten wie Kundendaten werden in Unternehmen häufig als vertraulich klassifiziert. Ursachen für Verletzungen der Datensicherheit können beispielsweise kriminelles Hacking, menschliches Versagen, Social Engineering Attacken, Malware, unbefugte Nutzung (Missbrauch oder Betrug) oder Datendiebstahl sein. Wie kann also mit effektiven und automatisierten Verfahren gewährleistet werden, dass Personendaten nicht abfliessen oder offengelegt werden?
3 – Data Loss Prevention (DLP)
Für einen wirksamen Datenschutz müssen Unternehmen nicht nur wissen, auf welchen Kanälen vertrauliche Daten verarbeitet und allenfalls weitergeleitet werden. Es braucht auch eine Übersicht, wo diese Informationen abgelegt sind.
Eine Lösung zur Transparenz und Nachvollziehbarkeit ist Data Loss bzw. Leakage Prevention (DLP). DLP hat die Aufgabe, unerwünschten Datenabfluss und somit Datenoffenlegungen zu verhindern. DLP ermöglicht die regelbasierte Identifizierung von Dateien mit spezifischen Datenattributen wie Kundennamen oder Kontonummern. DLP überwacht die Interaktionen der Mitarbeitenden auf E-Mail, Web-Verkehr, Dateiablagen sowie Endgeräten. Diese Kanäle werden inhaltlich auf sensitive Daten überprüft und mit einem Standard-Regelwerk (Policies) verglichen. Werden Verstösse aufgedeckt, wird ein Security Incident aufbereitet und ausgelöst.
Daneben gibt es weitere Sicherheitsmassnahmen wie Network Access Control (NAC), Endpoint Detection & Response (EDR) Lösungen, Information Rights Management (IRM) etc., welche den Datenschutz breit unterstützen.
4 – Meldepflicht bei Datenschutz-Verstössen
Gemäss Art. 24 revDSG müssen Verantwortliche dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) Verletzungen der Datensicherheit melden, wenn es zu einer Gefährdung der Grundrechte auf informationelle Selbstbestimmung beziehungsweise auf Privatsphäre von betroffenen Personen führen kann. Gegenüber dem EDÖB meldepflichtig sind nur eingetretene Persönlichkeits- oder Grundrechtsverletzungen, nicht jedoch erfolgreich abgewehrte oder untaugliche Cyberangriffe.
Ein Datenschutzvorfall liegt vor, wenn personenbezogene Daten
– unwiederbringlich vernichtet werden oder verloren gehen oder
– unbeabsichtigt oder unrechtmässig verändert oder offenbart werden oder
– Unbefugten zugänglich werden.
Bei einem meldepflichtigen Fall kann eine DLP-Lösung zusätzlich helfen, die Nachweise mitsamt notwendigen Angaben zum Fall zu erbringen.
5 – Erfolgsfaktoren und Fazit
Das Informationssicherheitsdispositiv sollte mit einem Information Security Management System (ISMS) gelenkt und gesteuert werden. Dieses ist nach dem Zwiebelschalenmodell aufzubauen was bedeutet, dass mehrere Verteidigungslinien ineinanderwirken und aufeinander abgestimmt sind. Damit DLP-Systeme erfolgreich im Unternehmen implementiert werden können, müssen alle Mitarbeitenden aktiv beteiligt werden. Außerdem muss der DLP-Ansatz im Identitätsmanagement, Monitoring, bei der Verschlüsselung sowie in Zugriffskontrollen integriert sein.
Zusätzlich zur Überwachungsmöglichkeit sowie zur Steuerung der Aktivitäten können DLP-Lösungen auch verwendet werden, um Datenströme im Unternehmensnetzwerk zu filtern und zu schützen. Dies setzt voraus, dass (Personen-)Daten klassifiziert und markiert sind, beispielsweise mit einem Label welches voraussetzt, welche Sicherheitsmassnahmen relevant sind und angewendet werden.
Somit trägt ein DLP-System massgeblich dazu bei, Compliance-Anforderungen aus Datenschutzgesetz und Regulatorien nachweisbar erfüllen zu können.
