Warenkorb

keine Produkte im Warenkorb

EU-Datenschutz-Grundverordnung – Wie Sophos helfen kann

Es ist nun doch schon eine Weile her, als das EU-Parlament die neue Datenschutz-Grundverordnung, oder kurz und knackig auch EU-DSGVO genannt, am 14. April 2016 beschlossen hat. Dieses tritt nun am 25. Mai 2018 in Kraft und Firmen hatten also knapp zwei Jahre Zeit, sich auf die neue Regelung vorzubereiten. In der Zwischenzeit hat man viel darüber gelesen, da auch US Unternehmen in der Pflicht sind, die General Data Protection Regulation (GDPR) einzuhalten.

In diesem Artikel möchten wir aufzeigen, inwiefern Sophos dabei helfen kann, die neue Datenschutz-Grundverordnung zu erfüllen. Wir gehen nicht im Detail darauf ein, was in den 11 Kapiteln, unterteilt in 99 Artikel, der Datenschutz-Grundverordnung steht. Vieles ist ohnehin aktuell noch recht schwammig formuliert und eine genaue Festlegung der Texte fällt schwer. Da haben die Lobbyisten gute Arbeit geleistet, denn grössere Unternehmen können sich jahrelange Gerichtsprozesse leisten, um über die Formulierungen noch zu verhandeln. Für KMUs ist dies allerdings nicht so toll, denn wir hätten es doch lieber klar definiert. Die ersten Prozesse werden zeigen, wie manche Artikel zu verstehen sind.

Gleich zu Beginn, da wir als Avanet in der Schweiz zu Hause sind: Ja, auch Schweizer Firmen mit EU Kunden sind von der EU Datenschutz-Grundverordnung betroffen.

Viele Unternehmen machen daher momentan gar nichts und nehmen das Risiko in Kauf, verklagt zu werden. Einige Staaten haben auch bereits angekündigt, dass man gar nicht die Ressourcen hätte, den Beschwerden nachzugehen.

Was hat es also mit dieser neuen Grundverordnung auf sich?

Hier ein paar Beispiele, um ein Gefühl dafür zu bekommen, worum es geht und inwiefern die IT-Security helfen kann:

  • EU Bürger haben das Recht, bei Firmen ihre persönlichen Daten einzufordern.

→ Hier haben einige Firmen doch bereits ein Problem. Unter Umständen ist eine Arbeitskraft Stunden beschäftigt, um diese Daten zusammenzutragen.

  • EU Bürger können das Löschen ihrer Daten beantragen.

→ Auch hier eine kleine Herausforderung an die IT, denn auch die Backups sind damit gemeint. Einzelne Datensätze aus Backups löschen kann nicht jede Software. Zumal steht dies auch im Konflikt mit der Datenaufbewahrung.

  • Werden einem Unternehmen Daten gestohlen, besteht eine Meldepflicht, ausser die Daten wurden verschlüsselt.

→ Genau mit diesem Beispiel sind wir nun beim Thema, denn hier spielt die IT-Security ganz plötzlich eine wichtige Rolle.

IT-Security muss ernst genommen werden

Uns persönlich gefällt es natürlich, dass die Datenschutz-Grundverordnung weitere Argumente liefert, dass das Thema IT-Security einfach ernst genommen werden muss. Wer es ignoriert und immer noch das Gefühl hat, er brauche keine saubere Lösung für sein Unternehmen, wird früher oder später für grobe Fahrlässigkeit bestraft. Zu oft sehen wir auch heute noch PCs, Server oder andere Systeme, die ohne einen Schutz direkt am Internet hängen! Dabei werden immer wieder aktuelle Updates und Patches ignoriert.

Auch wenn Windows XP keine Patches mehr bekommt, heisst das nicht, dass das System nun sicher ist. Manche mögen jetzt lachen, aber es gibt wirklich Leute, die das glauben!

Wir erleben zudem sehr häufig, dass Leute mit Browsern im Internet surfen, die sehr lange keine Updates mehr erhalten haben. Nutzt einen modernen Browser, der sicherheitstechnisch auf dem aktuellsten Stand ist.

Ransomware Industrie denkt um

Wir leben in einer Zeit, in welcher Ransomware und Exploits zu den erfolgreicheren Angriffsmethoden gehören. Diese Industrie bereitet sich natürlich auch auf den 25. Mai vor. Es wurde bereits neue Ransomware gesichtet, welche die Daten nicht mehr verschlüsselt und für die Entschlüsslung Bitcoins verlangt, sondern Firmendaten im Hintergrund über Wochen hinweg ins Internet lädt und anschliessend folgende Meldung anzeigt:

Wir haben deine Daten! Überweise uns XXX Bitcoins, oder wir werden diese veröffentlichen.

Nun hilft auch das Backup nichts mehr, welches viele als Lösung gegen die Verschlüsslung der bisherigen Ransomware hatten. Werden die Daten veröffentlicht, kommt einerseits der Imageschaden und andererseits eine Strafe der EU, welche bis zu 20 Mio. Euro oder 4% vom Jahresumsatz betragen kann.

Schutz: Simpel und verhältnismässig günstig

Es gibt ein paar einfache Grundregeln, die man befolgen sollte:

  • Nutzt ein aktuelles Betriebssystem (PC, Server, Smartphone, IoT Devices)
  • Macht regelmässige Softwareupdates
  • Installiert einen professionellen Antivirus

→ Unserer Meinung nach ist Avira, Avast, Windows Defender und Co hier zu wenig, wenn man deren Technologie betrachtet. Ich schreibe absichtlich Technologie, denn das Marketing oder der Webseitentexter dieser Lösungen macht seinen Job wirklich gut. Wenn man den Beschreibungen Glauben schenkt, schützen auch diese kostenlosen Produkte gegen alles. Zusätzlich würde ich trotzdem immer Sophos Intercept X empfehlen. Für Server gibt es die Sophos Server Protection.

  • Verschlüsselt eure Datenträger (Festplatten, USB-Sticks usw.)

→ Hilft beim Verlust eines Geräts. Bitlocker für Windows und FileVault für macOS ist hier eine gute Lösung. Man kann dies auf ein paar wenigen Rechnern manuell aktivieren oder bei vielen Geräten über die Sophos Device Encryption zentral verwalten.

  • Verschlüsselt eure Dateien

→ Hier gibt es Software, wie VeraCrypt (auch kostenloser Nachfolger von Truecrypt) oder Cryptomator. Als Nachteil sehe ich beim Ersten, dass alles in einen Container abgelegt wird, was aus vielen Gründen umständlich und nicht sehr sicher ist (z. B. nur ein Passwort für alle Daten). Bei Cryptomator (kostenlos) ist dies besser gelöst. Jede Datei wird mit einem eigenen Schlüssel verschlüsselt (auch der Dateiname) und die Dateien bleiben einzeln, was für ein Backup auch besser ist, als die Containerlösung. Was gibt es hier von Sophos? Für kleinere Firmen aus unserer Sicht noch nichts wirklich Brauchbares. Ausser, man hat Lust, einen Windows Server mit DB und AD Anbindung zu betreiben. In diesem Fall wäre Sophos SafeGuard eine gute Lösung. Egal welches Produkt ihr einsetzt, eine gute Verschlüsselung steht und fällt mit einem sicheren Passwort! Nehmt aber auch nicht überall das gleiche „sichere“ Passwort.

Die DSGVO nennt Verschlüsselung explizit als geeignete Methode zum Schutz von Daten im Falle einer Datenpanne (Artikel 34).

  • Benutzer Trainieren

→ Mit Schutzmechanismen verhält es sich doch immer so: Sie sollten vorhanden sein, aber im besten Fall nie gebraucht werden. Genau so verhält es sich ja auch z. B. mit einem Backup. Doch manche Benutzer wissen es nicht besser und klicken auf jeden Link und reagieren positiv auf Phishingmails, was sich wiederum negativ auf die IT-Sicherheit auswirken kann. Aus diesem Grund gibt es z. B. Sophos Phish Threat. Damit lassen sich Phishing-Kampagnen erstellen und Mitarbeiter testen. Im Nachgang werden diese dann geschult. Mit dieser Methode soll das Bewusstsein gesteigert werden, dass eine E-Mail nicht immer echt ist, auch wenn sie nahezu perfekt kopiert wurde.

  • Mobile Geräte absichern

→ Firmen-Emails, Kontakte und Kalender befinden sich sehr oft auf mobilen Geräten. Auch Firmendaten trägt man heute selbstverständlich mit sich herum. Darum sollte man die Notebooks, Smartphones oder Tablets schützen und einheitliche Richtlinien definieren oder zur Not löschen können. Dabei hilft Sophos Central Mobile.

  • Sichere Netzwerke

→ Wenn man nun Minimum 50% der oben genannten Punkte erfüllt, kann man sich der Netzwerksicherheit widmen. Eine richtig konfigurierte Firewall kann einiges bewirken und auch die drahtlosen Netzwerke können damit gesichert werden. Sophos XG Firewall.

  • E-Mails verschlüsseln

→ Wie lange spricht man schon davon, E-Mails zu verschlüsseln? Sehr lange! Aber nur in gewissen Branchen hat sich dies durchgesetzt, da es noch immer nicht sehr komfortabel ist. Sophos hätte hier auch ein paar Lösungen am Start, aber auch da muss ich ehrlich sagen, dass meiner Ansicht nach diese weder KMU-tauglich, noch ausgereift sind.

Dies sind grob die Punkte, die wir euch nahelegen möchten, damit ihr nicht unter den Ersten seid, die unverhofft gegen die DSGVO verstossen. 😉

Patrizio
Patrizio

Newsletter abonnieren

Wir versenden monatlich einen Newsletter mit allen Blogbeiträgen des jeweiligen Monats.