Die DSGVO tritt auf den Tag genau in vier Monaten in Kraft. Ohne risikobasierten Ansatz bei der Verarbeitung personenbezogener Daten werden europäische Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und können somit auch hohe Strafen kassieren. Was Unternehmen über DSGVO-Compliance wissen müssen, erklärt Akamai Technologies in vier Schritten.

Unternehmen müssen jetzt geeignete Sicherheitsmaßnahmen einführen – und diese im Falle einer Datenschutzverletzung nachweisen können. Dieser Hinweis, der auch im neuesten Akamai-Whitepaper Effektiver Schutz von Webanwendungen nachzulesen ist, zeigt, wie wichtig es für Unternehmen ist, ihre Systeme ausführlich zu analysieren, um Risikobereiche zu ermitteln und die Compliance zu gewährleisten. Welche Maßnahmen hierbei als "geeignet" gelten, ist stückweit auch Auslegungssache, räumt Akamai ein.

Gerhard Giese, Manager Enterprise Security Architect bei Akamai Technologies, hält Unternehmen dringend dazu an, die Best Practices ihrer Branchen einzuhalten, um Kundendaten zu schützen und gegenüber Datenschutzbehörden nachweisen zu können, dass die getroffenen Sicherheitsmaßnamen geeignet waren:

"Unternehmen befinden sich in der Zwickmühle: Die DSGVO lässt zwar Auslegungsspielraum, aber Unternehmen müssen handeln, bevor die Verordnung in Kraft tritt. Wer nicht hinreichend nachweisen kann, dass er geeignete Maßnahmen zum Schutz personenbezogener Daten sowie zur Risikominimierung bei der Datenverarbeitung ergriffen hat, riskiert saftige Strafen. Im Falle einer Datenschutzverletzung liegt die Beweispflicht auf Seite der Unternehmen: Sie müssen nachweisen, dass ihre Maßnahmen geeignet waren. Unternehmen können sich also nicht mehr verstecken."

Compliance: keine leichte Aufgabe

Das oben genannte Akamai-Whitepaper weist auf einen wichtigen Punkt hin: Wenn Unternehmen die Zuverlässigkeit ihrer risikobasierten Sicherheitsstrategien nachweisen müssen, ist das meist schwieriger als erwartet. Bei Behörden kommt schnell die Frage auf, wie risikobasiert der Ansatz eines Unternehmens ist, wenn dieses nicht auf neueste Technologien zurückgreift und sich lediglich auf das eigene Wissen über die schnelllebige Cyber-Bedrohungslandschaft verlässt.

Giese ergänzt: "Viele Unternehmen verwenden Technologien, mit denen sie anfällig gegenüber Angriffen sind. Das können zum Beispiel VPN-Zugänge sein, die Externen Zugang zum Unternehmensnetzwerk erlauben. Unternehmen können oft nur eingeschränkt auf Attacken von außen reagieren oder brauchen länger als nötig, um Probleme zu erkennen und Lösungen zu implementieren, die ihre Webressourcen vor den entsprechenden Bedrohungen schützen. Firmen sollten sich ihre Sicherheitslösungen ganz genau anschauen und sich die Frage stellen, ob es eine bessere Möglichkeit gibt, personenbezogene Daten zu schützen. Wenn es eine einfache, praktische Lösung gibt, die bisher nicht implementiert wurde, sollten sie genau prüfen, ob sie mit der bestehenden Lösung die Risiken wirklich wie erforderlich "angemessen" minimieren."

Globale Unternehmen müssen außerdem lokale Compliance-Anforderungen erfüllen, die in jedem Land unterschiedlich sind und die Komplexität der Gewährleistung der Compliance erhöhen. Und wenn Länder ihre Datenschutzgesetze ändern, müssen globale Konzerne entsprechend reagieren. Zwar gibt es zwischen den verschiedenen Ländern Überschneidungen, aber durch die vielen feinen Abstufungen gestaltet es sich für die Unternehmen schwierig, die Einhaltung all dieser Verordnungen nachzuweisen.

Schritte zum Nachweis der DSGVO-Compliance

Was können Unternehmen jetzt tun? Akamai empfiehlt vier Schritte, wie Unternehmen im Zweifelsfall Datenschutzbehörden nachweisen können, dass sie einen ausreichenden risikobasierten Ansatz zum Schutz ihrer Webressourcen verfolgen:

1. Lernen Sie aus den Fehlern anderer
   Wenn Verantwortliche bis zum ersten Angriff warten, bevor sie auf eine neue Cyber-Bedrohung reagieren, sinkt die Wahrscheinlichkeit einer erfolgreichen Verteidigung. Sicherheitsanbieter können IT-Bedrohungen analysieren und diese Informationen zum Schutz ihrer anderen Kunden nutzen, noch bevor dort ein Angriff auftritt.
2. Pflegen und dokumentieren Sie die Web-Application-Firewall (WAF)-Regeln
   Bei einem Sicherheitsvorfall verlangen Datenschutzbehörden einen Nachweis über die Schritte, die zur Minimierung der Auswirkungen unternommen wurden. Bei Webressourcen hat eine effektive und regelmäßig aktualisierte Application Firewall Priorität, um auf die ständig neue Bedrohungslandschaft reagieren zu können.
3. Steuern Sie den Zugriff Dritter auf personenbezogene Daten
   Heutzutage benötigen auch Drittanbieter Zugang zu Daten im Unternehmensnetzwerk. Dieser Zugriff kann jedoch sowohl die personenbezogenen Daten als auch die allgemeine Sicherheit gefährden. Deshalb benötigen Unternehmen ein System, das den Zugang zu den entsprechenden Netzwerken überwacht und die Risiken durch nicht autorisierten Zugriff minimiert. Damit können sie den Datenschutzbehörden Nachweise zu entsprechenden Maßnahmen erbringen.
4. Schaffen Sie einen Puffer zwischen Ihrem Netzwerk und der Bedrohung
   Wenn sich die erste Verteidigungslinie eines Unternehmens erst am Netzwerkübergang befindet, sind Angriffe besonders gefährlich. Deshalb sollten Unternehmen einen Puffer, z. B. ein Content Delivery Network, zwischen ihrer eigenen Infrastruktur und den potenziellen Bedrohungen aufbauen. So werden Angriffe auf Ihre IT erkannt, bevor sie zum Problem werden und auch DDoS-Angriffen können frühzeitig abgewehrt werden.

Über Akamai

Akamai ermöglicht es den weltweit größten Unternehmen digitale Erlebnisse bereitzustellen und zu schützen. Die „Akamai Intelligent Edge Platform“ umgibt alles – vom Unternehmen bis zur Cloud – damit Kunden ihr Geschäft schnell, smart und sicher umsetzen können. Führende Marken weltweit setzen auf die agilen Lösungen von Akamai, um die Performance ihrer Multi-Cloud-Architekturen zu optimieren. Niemand bringt Entscheidungen, Anwendungen und digitale Erlebnisse näher an die Nutzer als Akamai – und hält dabei Angriffe und Bedrohungen fern. Das Akamai-Portfolio für Website- und Anwendungsperformance, Cloudsicherheit, Unternehmenssicherheit und Videobereitstellung wird durch einen herausragenden Kundenservice, Analysen und Rund-um-die-Uhr-Überwachung der Plattform erweitert. Warum weltweit führende Unternehmen auf Akamai vertrauen, erfahren Sie unter www.akamai.com, blogs.akamai.com/de oder unter @Akamai auf Twitter. Unsere globalen Standorte finden Sie unter www.akamai.com/locations.