Sysbus
ArtikelCompliance

Personenbezogene Daten in den Griff bekommen

gg

In den letzten Jahren – spätestens durch die Einführung der DSGVO – ist es für Unternehmen immer wichtiger geworden, genau zu wissen, wo ihre Daten gespeichert sind. Die Identifikation dieser relevanten Daten ist zwar zeit- und ressourcenaufwendig, mittels entsprechender Lösungen aber durchaus zu bewältigen. Das Wissen über die gespeicherten personenbezogenen Daten bildet auch die Grundlage für den zweiten wesentlichen Aspekt der Datenschutz-Grundverordnung: Den effektiven Schutz dieser Daten.

Ist also das scheinbare Hauptproblem (Wo sind unsere Daten gespeichert?) gelöst, tauchen neue Fragen und Herausforderungen auf: Wer hat Zugriff auf diese Daten? Haben (ausschließlich) die richtigen Personen Zugriff? Wer ist für die Daten verantwortlich? Welche Daten sollten oder müssen gelöscht oder archiviert werden? Und vor allem: Wie können diese Daten effektiv geschützt werden?

Bild: Varonis

Generell gilt: Je weniger Mitarbeiter Zugriff auf die sensiblen Daten haben, desto geringer ist das Risiko eines Vorfalls. Entsprechend sollte ein Privilegienmodell auf Basis der minimalen Rechtevergabe durchgesetzt werden. Durch das „need-to-know“-Prinzip erhalten nur diejenigen Mitarbeiter Zugriff, die ihn für ihre Arbeit auch tatsächlich benötigen. Um dies präzise zu steuern, empfiehlt sich die Einführung von Datenverantwortlichen (data owner). Diese gehören nicht der IT-Abteilung, sondern den jeweiligen Fachabteilungen oder Projektgruppen an und können gut bewerten, wer entsprechende Rechte (wie lange) benötigt.

Was muss wie geschützt werden? Selbstverständlich ist es sinnvoll, sämtliche Daten innerhalb eines Unternehmens zu schützen, aber nicht alle benötigen eben die gleichen Schutzmaßnahmen. Bei personenbezogenen Daten sieht die DSGVO etwa im Falle eines Datenschutzverstoßes eine Meldung innerhalb von 72 Stunden nach dessen Identifizierung vor. Unternehmen müssen also zügig in der Lage sein, zu erklären, was passiert ist, wie es passiert ist und wer beziehungsweise was betroffen ist. Auch aus diesem Grund müssen Unternehmen wissen, wer was mit welchen Daten macht, also eine Datei erstellt, darauf zugreift, ändert, verschiebt oder löscht, und ob sich ein Mitarbeiter (beziehungsweise dessen Konto) auffällig verhält. Mittels intelligenter Analyse des Nutzerverhaltens kann so abnormales Verhalten rasch erkannt (und automatisiert) unterbunden werden.

Ähnliche Beiträge:

  1. Varonis sagt mit Datensicherheitsplattform fragmentiertem Security-Ansatz den Kampf an
  2. Das Noisy-Neighbour-Syndrom in den Griff bekommen
  3. Das Daten-GPS – Wissen, wo die Daten liegen
  4. GDPR & Transfer personenbezogener Daten: Verschlüsselte Daten bieten die meiste Sicherheit – auch finanziell

Das könnte dir auch gefallen

Wann braucht mein Unternehmen DevOps?

gg

XDR ist nicht gleich XDR

dcg

RPA Fast Lane: CGI begleitet Unternehmen in einer Woche zur RPA-Lösung

gg