Sicherheit in Geschäftsprozesse integrieren


Neue EU-Datenschutzrichtlinie ein Meilenstein für die Transparenz in der IT-Sicherheit
Gegenwärtig investieren Unternehmen hohe Budgets, um gesetzlich vorgeschriebene Compliance-Audits zu absolvieren

(02.03.12) - Ende Januar 2012 hat die Europäische Kommission eine umfangreiche Reform der EU-Datenschutzrichtlinie vorgeschlagen, die das Recht auf Schutz der Privatsphäre im Internet verstärken und der digitalen Wirtschaft weiteren Schub verleihen soll. Einige Details dieser neuen Regularien werden sich gravierend auf die künftigen IT- und Sicherheitskonzepte der Unternehmen auswirken und fordern mehr Transparenz der Aktivitäten im Firmennetz.

Die neue EU-Datenschutzrichtlinie könnte sich als Meilenstein auf dem Weg zur Transparenz in der IT-Sicherheit erweisen – ähnlich den gesetzlichen Auflagen für Compliance nach dem Fall Enron. Treten die neuen Direktiven in Kraft, werden sie auch die Umsetzung von IT-Sicherheitsrichtlinien im Unternehmen massiv verändern.

Gegenwärtig investieren Unternehmen hohe Budgets, um gesetzlich vorgeschriebene Compliance-Audits zu absolvieren. Die Compliance-Abteilung wurde hierzu vom IT-Sicherheitsteam strikt getrennt. Dabei wurde jedoch vernachlässigt, dass auch die IT-Sicherheit und der IT-Betrieb von diesem Invest profitieren. So kann es nun passieren, dass ein Unternehmen zwar ein Audit erfolgreich absolviert, im täglichen Betrieb aber persönliche Daten verloren gehen. Denn ein Audit prüft in der Regel nur, ob bestimmte Prozesse vorhanden sind und ob die Beschreibung eines eingeführten Prozesses plausibel und sicher ist. Die praktische Überprüfung bleibt aus Kapazitätsgründen meist aus.

Die neue Richtlinie kann nun endlich dazu führen, dass IT-Sicherheitsprozesse tiefer in die Geschäftsprozesse integriert werden. Denn sie fordern Transparenz, eine Offenlegung und den Nachweis, ob, wann und wie Sicherheitsverstöße stattfinden. Und es folgen Konsequenzen bei Nichtbeachtung.

Die Beantwortung der Frage in Echtzeit "Wer hat im IT-System was getan” wird immer wichtiger. Auch wenn bisher niemand genau weiß, wie die künftige Definition von "schwerwiegende Sicherheitsverstöße" lauten wird, auf die sich die neue Richtlinie bezieht. Unternehmen sollten sich darauf einrichten, dass es sich sowohl um die Art, wie auch um die Anzahl verloren gegangener privater Datensätze handeln könnte.

Die Forderung, Verstöße "so schnell wie möglich" zu melden, bedeutet im Grunde: "Sobald man von einem Sicherheitsverstoß erfährt". Die Frage ist jedoch, wann und wer im Unternehmen zuerst informiert wird – der Systemadministrator, der IT-Leiter, der Datenschutzbeauftragte, die Geschäftsleitung oder vielleicht der Dienstleister, der die IT im Outsourcing betreut? Idealerweise erfahren alle zur selben Zeit davon – nämlich über Monitoring-Tools.

Interne und externe Vorfälle in Echtzeit erfassen
Die Erfassung von internen und externen Vorfällen in Echtzeit ist generell wichtig. Ein Schlüsselbereich ist jedoch das Monitoring der Aktivitäten von Anwendern wie IT-Administratoren, die privilegierten Zugang zu sensiblen, geschäftskritischen Daten haben. Um deren Zugriffe zu überwachen und sicher zu stellen, dass die aufgezeichneten Aktivitäten im Nachhinein nicht verändert oder gelöscht werden können, sind Monitoring-Tools unabdingbar.

Die Meldung über Vorfälle soll "falls machbar innerhalb von 24 Stunden” erfolgen, fordert die neue Richtlinie. Laut der jüngsten Studie von Verizon, dem Data Breach Investigation Report 2011, bleiben in Unternehmen Sicherheitslücken oft Wochen oder sogar Jahre lang unbemerkt offen. Die Ermittlung kleiner Vorfälle und Stichproben hat keine Priorität. Durch die neue EU-Richtlinie sind Unternehmen gezwungen, diese Haltung zu ändern – zumindest im Hinblick auf den Verlust von Personendaten. Logs und Log-Management sind die Grundlage jeder Monitoring-Methode. An Bedeutung gewinnen jetzt Log-Systeme, die große Datenmassen schnell und ohne Verluste bewältigen und lückenlose Ergebnisse liefern können.

Verschlüsselte Log-Dateien, in denen Firmen die Anwendernamen, Passwörter und andere sensible Daten speichern, sind ein Schlüsselelement, wenn es darum geht, den Verlust von Daten zu vermeiden, da diese Dateien nicht einfach zu dechiffrieren sind. (BalaBit IT Security: ra)

BalaBit IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Weitere Maßnahmen sollten folgen

    Die Deutsche Kreditwirtschaft (DK) begrüßt die Entscheidung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), den sektoralen Systemrisikopuffer für Wohnimmobilienfinanzierungen von zwei auf ein Prozent zu senken. Damit reagiert die Aufsicht auf die veränderten Marktbedingungen und kommt einer Forderung der Kreditwirtschaft nach. Der Schritt ist ein wichtiges Signal für die differenzierte und verantwortungsvolle Anwendung makroprudenzieller Instrumente.

  • Dringend gesetzliche Klarheit & Bürokratieabbau

    Als am 1. Juli 2024 die Pflegepersonalbemessungsverordnung (PPBV) in Kraft getreten ist, waren sich die meisten Krankenhäuser über die weitreichenden Folgen vermutlich noch gar nicht im Klaren. Denn: Auch wenn der ursprüngliche Gedanke aus dem Gesundheitsministerium durchaus begrüßenswert ist - nämlich Pflege und Versorgung im Gesundheitswesen zu verbessern - ist es wieder einmal das Wie, das eine Besserung der oftmals dramatischen Lage verhindert. In der Praxis erweist sich die Verordnung nämlich nicht als pragmatische Lösung für bessere Arbeitsbedingungen oder einen Abbau von zeitintensiver Bürokratie, sie ist ziemlich genau das Gegenteil: ein bürokratisches Monster, das an inhaltlicher Komplexität seinem eigenen Namen in nichts nachsteht.

  • Stärkung der Demokratie notwendiger denn je

    Transparency Deutschland (TI-D) hat den Koalitionsvertrag der neuen Regierung geprüft - die Bilanz fällt weitgehend ernüchternd aus. Mit Blick auf Lieferkettengesetz, Geldwäschebekämpfung sowie Klima- und Umweltpolitik seien leider erhebliche Rückschritte zu erwarten.

  • Bewertung von PCI DSS 4.0

    Am 31. März 2025 trat die neueste Version des Payment Card Industry Data Security Standard (PCI DSS) in Kraft - Version 4.0*. PCI DSS 4.0 verlangt nicht nur, dass digitale Identitäten eindeutig Personen zugeordnet werden, sondern legt zudem den Fokus auf die Aufrechterhaltung robuster Sicherheitsmaßnahmen angesichts sich ständig weiterentwickelnder Cyberbedrohungen. Organisationen, die mit Zahlungskartendaten arbeiten, müssen verbesserte Sicherheitsanforderungen umsetzen - darunter auch starke Multi-Faktor-Authentifizierung (MFA).

  • EU-Richtlinie gegen Diskriminierung muss kommen

    Auf EU-Ebene fanden weitere Verhandlungen zur "5. Antidiskriminierungsrichtlinie zur Anwendung des Grundsatzes der Gleichbehandlung ungeachtet der Religion oder der Weltanschauung, einer Behinderung, des Alters oder der sexuellen Ausrichtung" statt. Der Sozialverband VdK fordert die Bundesregierung auf, sich endlich dafür einzusetzen, dass diese verabschiedet wird.

E-Mail-Überwachung müsse gestoppt werden Abbau der "kalten Progression"

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen