Persönliche Testversion anfragen
Rückruf anfordern

Datensicherheit im Unternehmen mit Hilfe der IT nachkommen

    Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) ist derzeit Thema in nahezu jedem Unternehmen. Software Asset Management (SAM) unterstützt sie bei der Erfüllung der DSGVO-Grundsätze und der Datensicherheit in Ihrem Unternehmen.

    Zwei Jahre Schonfrist gewährte der Gesetzgeber, um die DSGVO-Vorgaben in Unternehmensprozesse zu überführen. Diese läuft am 25. Mai 2018 endgültig ab. Höchste Zeit, geeignete Maßnahmen rund um die Verarbeitung und den Schutz personenbezogener Daten zu implementieren. Diese Aufgabe geht weit über HR- oder CRM-Applikationen hinaus. Betriebe und damit letztlich die IT-Abteilung – sind gefordert, alle Systeme kontinuierlich im Griff zu halten. Denn Datenschutz und Datensicherheit im Unternehmen sind nur zu gewährleisten, wenn jedes IT-Asset bekannt und der Software-Lifecycle aus Discovery, Softwareverteilung und Patchmanagement so weit als möglich automatisiert ist.

    Für die Datensicherheit im Unternehmen ist Patchen Voraussetzung

    Artikel 32 der DSGVO beschreibt den wesentlichen Sicherheitsgrundsatz der Datenverarbeitung. Unternehmen wie auch ihre Auftragsverarbeiter sind verpflichtet, entsprechende technische und organisatorische Maßnahmen zu ergreifen. Schutzmechanismen mit Firewall, Antiviren-Software und Datenverschlüsselung reichen hierfür nicht aus. Denn veraltete und ungenehmigte Software stellt eine weit verbreitete Schwachstelle dar. Erst mit einem automatisierten Patch- und Updatemanagement, wie es eine ganzheitliche SAM-Lösung bietet, halten Unternehmen alle Applikationen kontinuierlich aktuell und beugen potentiellem Datenverlust durch Cyberangriffe wirksam vor.

    Der Arbeitsaufwand für das Patching lässt sich weiter reduzieren, wenn die SAM-Lösung bereits fertig paketierte Software-Updates zur direkten Verteilung bereitstellt. Somit werden Sicherheitslücken, die durch veraltete Release- und Patchstände entstehen, gar nicht erst geöffnet. Zudem empfiehlt Artikel 32 die Pseudonymisierung von User-Daten zu deren Schutz. Ein geeignetes Software- und Asset-Management-Tool bietet diese Möglichkeit auch für personenbezogene Daten im Lizenz- und IT Service Management.

    Überblick über die Datensicherheit im Unternehmen

    Voraussetzung für das kontinuierliche Patch- und Updatemanagement und damit die Datensicherheit im Unternehmen ist ein Überblick über sämtliche, genutzte Hard- und Software. Auch hier hilft eine Lösung für das Software und Asset-Management: Sie inventarisiert alle Geräte innerhalb eines Netzwerks, inklusive deren Konfiguration und sämtlicher installierter Programme. Bei mobilen Geräten ist das Auslesen der Konfiguration besonders wichtig, um beispielsweise festzustellen, ob die Festplatte verschlüsselt ist – ein Muss für die Sicherheit.

    Zur lückenlosen und regelmäßigen Erfassung gilt es mehrere Inventarisierungsmethoden zu kombinieren: agentenlos oder agentenbasiert, über Hersteller-API, Dienste, Fernzugriff, Skripte oder SNMP. Darüber hinaus muss das Tool erkennen, welche Geräte auf Terminal- und Citrix-Server zugreifen oder von der DHCP-Serverinfrastruktur eine IP-Adresse beziehen. Nach der Inventarisierung erfolgt ein automatisierter Abgleich mit dem autorisierten Gerätebestand. Unbekannte Geräte werden so auf Knopfdruck aufgedeckt und können – soweit zulässig – im Anschluss in die Liste freigegebener Devices aufgenommen werden.

    Eine intelligente Lösung muss zudem in der Lage sein, die vorhandene Software tagesaktuell mit einer Sicherheitsdatenbank abzugleichen und potenzielle Risiken aufzulisten. Im Idealfall kann der zuständige Mitarbeiter direkt aus dieser Übersicht die Softwareverteilung oder Deinstallation nicht-autorisierter Anwendungen durchführen. Eine automatisierte Software-Verteilung ist daher ein weiterer, zwingender Bestandteil besonders wichtig für die Datensicherheit im Unternehmen. Nur so sind alle Anwendungen – lizenzpflichtige wie lizenzfreie – stets auf dem neuesten Stand und DSGVO-compliant bestmöglich geschützt.

    Datensicherheit im Unternehmen verlangt begrenzten Datenzugriff

    Ein weiterer zentraler Grundsatz ist Artikel 5 der DSGVO. Er beschreibt die Datensparsamkeit und Zweckbindung. Das bedeutet: Unternehmen dürfen nur so viele Daten erheben und verarbeiten, wie tatsächlich benötigt werden. Darüber hinaus dürfen die Daten nur für den Zweck, zu dem sie erhoben wurden, auch genutzt werden. Dies wirkt sich unter anderem auf das Berechtigungsmanagement der IT aus. Denn nur die Mitarbeiter, welche die Daten benötigen, sollten Zugriff darauf haben. Zur Überprüfung der Rechte eignet sich eine Lösung, die Auswertungen für sämtliche Nutzer mit einer Darstellung der Ordnerfreigaben auf allen Fileservern liefert. Anhand dieser können die Zugriffsmöglichkeiten auf sensible Daten über Mitarbeiter, Kunden oder Lieferanten transparent dargestellt, regelmäßig geprüft und falls notwendig umgehend und präventiv eingeschränkt werden. Dies stärkt wiederum die Cybersecurity.

    Dokumentation der Verarbeitungstätigkeiten ist Pflicht

    Die DSGVO verlangt in Artikel 30 einen Nachweis für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, das sogenannte Verzeichnis von Verarbeitungstätigkeiten oder kurz: Verarbeitungsverzeichnis. Dieses muss unter anderem Auskunft darüber geben, in welchen Applikationen personenbezogene Daten gespeichert und verarbeitet werden und welche Unternehmensprozesse diese Daten nutzen. Des Weiteren muss für Datensicherheit im Unternehmen klassifiziert werden, wessen Daten verarbeitet werden, beispielsweise die von Mitarbeitern, Kunden oder Lieferanten.

    Grundvoraussetzung für die Erstellung des Verarbeitungsverzeichnisses ist also die lückenlose Discovery aller eingesetzten Anwendungen. Idealerweise bietet eine moderne SAM-Lösung zusätzlich die Möglichkeit, das gesamte Softwareportfolio lückenlos zu klassifizieren. Aus diesen Informationen lässt sich dann jederzeit bei Bedarf ein Großteil des in der DSGVO vorgeschriebenen Verarbeitungsverzeichnisses auf Knopfdruck generieren. Um den Dokumentationspflichten nachzukommen, ist zudem eine zusätzliche, automatisierte Dokumentation der Datenhaltung von Userinformationen und Berechtigungsrollen hilfreich.

    Fazit

    Die vier SAM-Kernelemente Discovery, Automation, Cybersecurity und Compliance entlasten nicht nur das Tagesgeschäft der IT. Sie erleichtern Unternehmen insbesondere auch die Erfüllung ihrer laufenden Pflichten aus der DSGVO. Damit bildet SAM das Fundament einer effizienten DSGVO-Umsetzung.

    Autor: Benedikt Gasch, CTO, Deskcenter Solutions AG

    Das könnte Sie auch interessieren

    Wie können wir Ihnen helfen?

    Melden Sie sich einfach per Telefon oder E-Mail.
    Wir freuen uns, von Ihnen zu hören!

    Share via
    Copy link
    Powered by Social Snap