Welche Auswirkungen hat die GDPR auf Unternehmen, die Webzugriff für Anwendungen bieten?

3. Welche Auswirkungen hat die neue EU-Datenschutzgrundverordnung auf Unternehmen, die Webzugriff für Anwendungen bieten?

 

Laut Breach Level Index wurden seit 2013 fünf Milliarden Datensätze gestohlen, das ergibt im Schnitt erstaunliche 3.5 Millionen pro Tag. Gemäss einem Quorcirca Bericht fielen 68% der befragten Organisationen einem Cyberangriff zum Opfer, wovon 36% in der Folge einen Datenverlust erlitten. Um massive Lecks zu verhindern, wurde die ursprünglich auf das Jahr 1995 zurückgehende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr kürzlich aktualisiert. Sie figuriert nun als Datenschutzgrundverordnung (EU-DSGVO) oder dem synonymen englischsprachigen Begriff General Data Protection Regulation (GDPR), die am 4. Mai 2016 publiziert wurde und ab dem 25. Mai 2018 ihre Anwendung finden wird. Sie soll für die auf breiter Basis gewünschte Harmonisierung des Datenschutzes innerhalb der EU sorgen. Die GDPR ist auch mit Blick auf eine energischere Dursetzung der Cybersicherheit hin konzipiert – bei Nichteinhaltung drohen empfindliche Strafen, die sich bis auf bis zu EUR 20 Mio. oder 4% des (gesamten weltweiten) Jahresumsatzes belaufen können.

In einer Zeit, in der Datenschutz wichtiger ist als je zuvor, stellt sich die Frage: Wie deckt die GDPR die allgewärtige Natur der Daten ab, die mittels Web-Apps erstellt, gemanaged und versandt werden?

Was ist die GDPR?

Grenzüberschreitende Geschäfte sind heute für viele Organisationen der Normalfall. Die GDPR wurde ausgearbeitet, um einen einheitlichen Umgang beim Schutz von personenbezogenen Daten und der Privatsphäre im gesamten EU-Raum sicherzustellen. Anders ausgedrückt, in allen EU-Mitgliedsländern gelten die gleichen Datenschutzbestimmungen. Selbst das vereinigte Königreich, das sich im Juni dieses Jahres für den «Brexit» entschlossen hat, wird sich trotzdem am GDPR orientieren müssen, so wie jedes andere Land, das mit Europa Waren- oder Dienstleistungsgeschäfte machen will.

Die GDPR-Regeln sind breit und weitreichend. Sie decken alles ab, was unter Personally Identifying Information (PII) fällt, inklusive E-Mail-Adressen, Geburtsdatum, Name etc. Dies gilt für B2C- wie auch für B2B-Organisationen und betrifft beide, Daten-Verantwortliche sowie Daten-Verarbeiter. Es ist zu erwarten, dass Datenschutzbeauftragte für die Umsetzung der Verordnung in Organisationen zur Norm werden, die innerhalb oder mit Europa Handel treiben.

Im Vergleich zur ursprünglichen Richtlinie (95/46/EG) geht die GDPR bezüglich der Erwartungen und der Richtlinien zum Datenschutz viel weiter. Sie deckt dabei auch Aspekte ab wie:

  • Pseudonymisierung von Daten
  • Verschlüsselung personenbezogener Daten
  • Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten
  • Die Zugänglichmachung personenbezogener Daten für den Inhaber mit der Möglichkeit, bei Bedarf die Angaben zu aktualisieren
  • Fortlaufende Unterhalts- und Belastbarkeitsprüfungsmassnahmen für Systeme

Datenverarbeiter sind nun auch dazu verpflichtet, Datenschutzverletzungen zu melden. Für die Nichteinhaltung der Richtlinien und bei versäumter Meldungserstattung sind Bussgelder und Strafen vorgesehen. Verständlicherweise verursacht die GDPR in allen Branchen Besorgnis.

Gemäss einer aktuellen Studie ist die Hälfte der IT-Entscheider in Unternehmen der Ansicht, den GDPR Compliance-Anforderungen nicht gerecht zu werden. Bei den Information Security Officers glauben drei Viertel, dass die GDPR den IT-Einkauf und die Bereitstellung von Sicherheitsleistungen massiv beeinflussen wird. Ohne Zweifel gehört die GDPR weltweit zu den weitreichendsten und wirkungsvollsten Sicherheits- und Datenschutzbestimmungen, die je in Angriff genommen wurden.

Wie wirkt sich GDPR auf Web-Apps aus?

Eine kürzlich veröffentlichte Studie für den Bereich Shadow-IT und Cloud Web-Services stellt auf der Grundlage von 15 Verordnungsrichtlinien fest, dass 98% der Cloud-Apps nicht bereit für GDPR sind. Die Verordnung gründet auf dem soliden Prinzip des Privacy by Design (PbD) bzw. Data Protection by Design (DPbD) oder, in anderen Worten,  «Datenschutz durch Technik». Entsprechend werden beim Design sowie bei der Entwicklung und Umsetzung von Web-Apps und den damit verbundenen Komponenten diese Prinzipien zu berücksichtigen sein, um mit der GDPR übereinzustimmen.

Doch was bedeuten PbD oder DPbD konkret? Zwei GDPR-Richtlinien gehen darauf ein:

Erwägungsgrund 39: Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. … Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Erwägungsgrund 49: Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams — CERT, beziehungsweise Computer Security Incident Response Teams — CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen.

Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.

Diese Prinzipien decken, gelinde gesagt, ein sehr weites Spektrum ab, doch es wird erwartet, dass «damit Unternehmen ermutigt werden, innovativer zu werden und neue Ideen, Verfahren und Technologien zu entwickeln, um personenbezogene Daten zu schützen

Es gibt zwei grundlegende Bereiche, in denen United Security Providers bei der Sicherstellung der GDPR-Compliance Unterstützung bietet.

Schutz vor Web-basierten Angriffen: Die Schaffung einer «application layer security», inklusive Schutz von Webfacing-Systemen vor Cyberangriffen. Herkömmlichere Werkzeuge wie Netzwerk-Firewalls oder Intrusionsprävention (IP) schützen das System nicht vor modernen Web-basierten Angriffen von der Art, wie sie vom OWASP Top Ten Web Vulnerability Project festgehalten wird. Web Application Firewalls (WAF) sind die Tools der nächsten Generation, die entworfen wurden, um Web-basierte Angriffe zu bewältigen. WAFs werden auf breiter Basis in PCI-Umgebungen eingesetzt und bieten entsprechenden Schutz bei den OWASP Top Ten Schwachstellen. Mehrere in den «OWASP Top Drei» enthaltene Aspekte können mit einer WAF abgedeckt werden. Dazu gehören Injection Attacks («Einschleusungsangriffe») gegen Web-basierte Datenbanken, Cross-Site-Scripting, XSS, («Webseitenübergreifendes Skripting») und Cross Site Request Forgery, CSFR, («Websiteübergreifende Anfragenfälschung»).

Schutz dank robuster Authentisierung: Das drittwichtigste Thema innerhalb der OWASP Top Ten dreht sich um «broken authenthication» (fehler- oder schadhafte Authentisierung) Massnahmen. Risiko-basierte und Mehrfaktor-Authentisierung stellen beide effektive Massnahmen gegen Cyber-Attacken dar. Hingegen bringt das Passwort als Einzel-Authentisierung viele Risiken mit sich: Das reicht von der Verwendung schwacher Passwörter oder der mehrfachen Wiederverwendung des gleichen Passworts über verschiedene Systeme bis zum simplen Aufschreiben. Erforderlich ist eine sichere Barriere zwischen dem Internet und den Benutzerverzeichnissen einer Organisation. Adaptive Authentisierung erlaubt es Organisationen, je nach potenziellem Risiko den Grad der Authentisierung entsprechend anzugleichen bzw. zu erhöhen. Dazu können eine Vielzahl von Faktoren gehören, z.B. den gegenwärtigen Aufenthaltsort des Nutzers, die Art des Zugriffgeräts, der Zugriffszeitpunkt oder andere Policies, die Nutzergruppenprofile verwenden wie die Sensitivität einer Anwendung oder die zu dem Zeitpunkt zugegriffenen Daten. Weiter ermöglicht Single Sign-On (SSO) die Verwendung starker User Credentials über alle internen, gehosteten oder externen SaaS (föderierte Identität) Umgebungen hinweg, was zu nahtlosem Zugriff und einem verbesserten Nutzererlebnis verhilft.

In einem Schritt «GDPR-ready» werden

IT-Security-Anbieter reagieren auf den wachsenden Bedarf nach skalierbarem Grundschutz für Webanwendungen, der den GDPR-Prinzipien entspricht. United Security Providers ist ein Unternehmen, das es sich zur Aufgabe gemacht hat, Security-Bedürfnisse von heute und morgen zu erfüllen. USP gehört zu den europäischen Security-Leaders und sorgt seit 1997 für den Schutz von globalen Finanzdienstleistungen, Web-Applikationen und Daten. Der USP Secure Entry Server® bietet beides, Webanwendungsschutz und robuste Benutzerauthentisierung in einer Komplettlösung. Der USP Secure Entry Server® wird den Anwendungsservern vorgeschaltet und regelt für sie die Kommunikation mit den Clients. So werden Anwendungen nie direkt angegangen. Der USP Secure Entry Server® vereinfacht nicht nur die Zugriffsinfrastruktur, sondern hilft auch bei der Erfüllung von Sicherheitspolicies und Compliance-Anforderungen. Zudem verstärkt er die Rückverfolgbarkeit und erhöht die Nachvollziehbarkeit.

Europaweite Harmonisierung

Ein ausgesprochen positiver Effekt der GDPR ist die Security-Harmonisierung über alle EU-Länder hinweg. Normen erweisen sich oft als hilfreich, wenn es darum geht, ein Ethos der Planbarkeit und der Kontrolle zu schaffen. So gesehen ist die GDPR ein willkommenes Update. Es ist zu hoffen, dass einheitliche Regeln auf EU-Niveau einerseits den Ruf des europäischen Datenschutzes fördern und andererseits das Vertrauen in die Online-Umgebung stärken und Europa zu einem attraktiveren Handelspartner machen.

Natürlich bleibt die Compliance mit den weitreichenden und präzisen GDPR-Erwartungen eine beträchtliche Herausforderung. Der Mai 2018 mag einem noch weit weg erscheinen, doch er nähert sich rasch. Jetzt gilt es die richtigen Werkzeuge auszusuchen. Sie helfen, ihr Unternehmen auf die sich laufend verändernden Technologien mit all ihren Herausforderungen vorzubereiten und die Hürden für eine GDPR-Compliance zu überwinden. Der damit verbundene umfassende Datenschutz sowie die Risikominimierung bringen Ihrer Organisation und den Kunden substanzielle Vorteile.