DE | English
Avoiding data breaches – 8 steps for businesses.
The EU General Data Protection Regulation (GDPR) has now been in force for over a year. The number of data breach reports received by the Data Protection and Freedom of Information supervisory authority in Baden-Württemberg has increased more than tenfold compared to the same period last year and shows no signs of slowing down. What can businesses do to stay secure?

Share article

  1. 1.
  2.  
  3. Die Verantwortung annehmen.
  4. Das Unternehmen oder die Behörde, die eine Software einsetzt oder einen Dienst beauftragt, ist für die rechtmäßige Verarbeitung der Daten verantwortlich – nicht, wie häufig angenommen, der Hersteller der Software oder der beauftragte Dienstleister. Daher müssen die Verantwortlichen die Rechtmäßigkeit der jeweiligen Datenverarbeitung prüfen. Liegt eine Auftragsverarbeitung durch einen Dienstleister vor, muss das Unternehmen einen Auftragsdatenverarbeitungsvertrag schließen. Nutzt ein Dienstleister Daten auch zu eigenen Zwecken, liegt in der Regel eine gemeinsame Verantwortung vor und das Unternehmen muss sicherstellen, dass die Verarbeitung rechtmäßig erfolgt.

  5.  

  1. 2.
  2.  
  3. Den Stand der Technik beachten.
  4. Die DSGVO fordert in Artikel 32 in Bezug auf die IT-Sicherheit unter anderem die Beachtung des Stands der Technik sowie des Risikos für die Rechte und Freiheiten der Betroffenen. Der oder die Verantwortliche im Unternehmen muss also den Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen beachten, der nach Auffassung führender Fachleute das Erreichen des vorgegebenen Ziels gesichert erscheinen lässt. Es gilt also, aktuelle Entwicklungen in der IT-Sicherheit zu verfolgen und sich beispielsweise am BSI-Grundschutz zu orientieren.

  5.  

  1. 3.
  2.  
  3. Zugriffsrechte beschränken.
  4. Für alle Daten gilt die Absicherung nach dem Need-to-know-Prinzip: Nur wer die Informationen für seine Aufgaben benötigt, sollte in der Lage sein, sie einzusehen. Selbst der IT-Administrator sollte keinen direkten Zugriff auf Informationen in Datenbanken oder Applikationen haben, das gilt insbesondere für sensible Daten. Dabei muss technisch sichergestellt sein, dass ein Zugriff auf solche Daten nicht möglich ist, beispielsweise durch Verschlüsselung.

  1. 4.
  2.  
  3. Datenträger verschlüsseln.
  4. Ein sehr häufiger Grund für Datenpannen sind seit jeher verlorene oder gestohlene Datenträger, wie zum Beispiel Mobilgeräte, USB-Sticks, Festplatten, Speicherkarten oder Notebooks. Insbesondere Mobilgeräte sollten daher verschlüsselt werden. Jedes moderne Betriebssystem bringt eigene Verschlüsselungsverfahren mit (etwa BitLocker, FileVault, LUKS oder GELI).

  5.  

  1. 5.
  2.  
  3. E-Mails verschlüsseln. 
  4. Die Verantwortlichen sollten E-Mails und Dateianhänge mit Ende-zu-Ende-Verschlüsselung versenden und empfangen. Die Technologie steht bereits seit Jahrzehnten bereit. Eine alleinige Transportverschlüsselung reicht insbesondere bei sensiblen Daten oft nicht aus, da sie lediglich den Transportweg sichert.  
  5.  

Weitere Informationen siehe IT-Grundschutzkatalog des BSI.

  1. 6.
  2.  
  3. Fernwartungszugänge absichern. 
  4. Unternehmen sollten ihre externen Kommunikationsverbindungen beispielsweise über VPN und eine Zwei-Faktor-Authentifizierung absichern. Die Daten sollten ausschließlich verschlüsselt mit einem Verschlüsselungsverfahren nach dem aktuellen Stand der Technik übertragen werden.


  5. Näheres dazu im IT-Grundschutzkatalog.

  6.  
  7.  



  8.  
  1. 7.
  2.  
  3. Tracking durch Drittanbieter reduzieren. 
  4. Mit der DSGVO gelten auch neue Regelungen für Tracking auf Webseiten und in Smartphone-Apps. Bei einer Reichweitenanalyse durch Dritte ist oftmals eine informierte, freiwillige, aktive, vorherige und widerrufbare Einwilligung der Betroffenen nötig. 

  5.  

     

    Weitere Informationen siehe FAQ des LfDI.
  6.  

  1. 8.
  2.  
  3. Datenpanne melden
  4. Wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten kommt, greift die Meldepflicht. Innerhalb von 72 Stunden muss das Unternehmen die Datenschutzverletzung bei der zuständigen Datenschutzbehörde melden. Zu den meldepflichtigen Fällen zählt bereits ein Datenverlust. Die Verantwortlichen müssen außerdem prüfen, ob die Betroffenen über den Vorfall zu informieren sind. Dies hängt davon ab, wie hoch das Risiko für die persönlichen Rechte und Freiheiten ist.

Contact person.

Heiner Golombek
Head of the Data Protection and Security Competence Centre
Bechtle IT Systems Integrator Neckarsulm

heiner.golombek@bechtle.com

 

 

Links.

 

Newsletter. 

Get the best from the Bechtle update every two months directly into your mailbox. Click here to register:
 

NEWSLETTER

 

 

Keep on reading.

Bechtle gets on the bike for a good climate.

The Bechtle Corporate Workspace at Citrix Synergy.

Inspiration for the workplace of the future: an interview with trend scout Raphael Gielgen.

Published on Jul 17, 2019.