Wie Banken und Versicherer teure DSGVO-Fehler vermeiden können

Auch zwei Jahre nach der Einführung gehen die Meinungen über die EU-Datenschutz-Grundverordnung (EU-DSGVO) weit auseinander. Während Brüssel sie als Beispiel für die ordnungspolitische Stärke der EU sieht – schließlich hat sie so auch weltweit einen Rechtsrahmen für den Umgang mit Daten geschaffen – sehen gerade viele Unternehmen die Verordnung weiterhin kritisch. Unsicherheiten bleiben. Zugleich steigt die Zahl gemeldeter Verstöße und ruft so auch die Behörden auf den Plan. Allein zwischen dem 25. Mai 2018 und dem 27. Januar dieses Jahres wurden den hiesigen Behörden nach Angaben der internationalen Anwaltskanzlei DLA Piper mehr 37.000 Datenschutzverstöße gemeldet.

von  Stefan Möller, Senior Manager Sopra Steria

Die Frage, wie die eigenen Systeme DSGVO-sicher ausgestaltet werden, bleibt also aktuell. Die Antwort findet sich in vier Punkten, mit denen sich die Verantwortlichen in den Unternehmen auseinandersetzen müssen. Punkt 1: Er findet sich im Artikel 32 Absatz 1 unter der Überschrift „Sicherheit der Verarbeitung“ in der DSGVO. Dort heißt es, dass Verantwortliche unter Berücksichtigung des „Stands der Technik“ geeignete technische und organisatorische Maßnahmen ergreifen sollen. Doch was genau ist „Stand der Technik“?

Was der „Stand der Technik“ besagt

Zunächst einmal handelt es sich um einen „unbestimmten Rechtsbegriff“. Genau das macht den Umgang damit so kompliziert und die Umsetzung in der Praxis komplex. Nach der Drei-Stufen-Theorie des Bundesverfassungsgerichts („Kalkar-Beschluss“ BVerfG, 08.08.1978 – 2 BvL 8/77) steht der Terminus zwischen den „anerkannten Regeln der Technik“ und dem „Stand der Wissenschaft“.

Grundsätzlich lassen sich unter „Stand der Technik“ alle technischen Verfahren und Systeme zusammenfassen, die angemessen dokumentiert und veröffentlicht worden sind und deren Einsatz sich bei vielen im typischen Umfeld bewährt hat.”

Die Auswahl und Implementierung von technischen Sicherheitsmaßnahmen muss durch angemessen ausgebildete Sicherheitsexperten und unter Verwendung anerkannter Sicherheitsstandards erfolgen. Sowohl die ausgewählten Schutzmaßnahmen als auch die dafür eingesetzten technischen Systeme wiederum müssen wirksam und dokumentiert sein. Ziel der Forderung nach „Stand der Technik“ ist, für ein bekanntes Betriebsumfeld ein definiertes Sicherheitsniveau und dessen Angemessenheit nachweisen zu können. Das gelingt dann zuverlässig, wenn eine Umsetzung stringent gemäß BSI Grundschutz-Kompendium oder gemäß der Normenfamilie ISO/IEC27000 erfolgt. So weit, so unklar.

Wie das Sicherheitsniveau festgelegt wird

Das führt zu Punkt 2: das Sicherheitsniveau, das erreicht werden muss. Das hängt zum einen vom Schutzbedarf der Daten ab, zum anderen vom jeweiligen Verarbeitungsumfeld. Der Schutzbedarf wird z.B. im Rahmen der Sicherheitskonzeption gemäß BSI Standard 200-2 ermittelt und basiert auf einer Reihe von systematischen Risikobetrachtungen. Das Verarbeitungsumfeld ergibt sich dabei aus dem Zusammenspiel unterschiedlicher Faktoren, wie z.B. Organisationsart, Standorte, Geschäftsprozesse, Systemverbund etc. Aber was genau ist der Schutzbedarf der Daten?

Ein gutes Beispiel hierfür ist ein Customer Relationship Management (CRM), bei dem je nach Nutzungszweck Kundenstammdaten und Informationen über individuelles Einkaufsverhalten, Auftragseingänge, Kundenanfragen und Marketing-Kampagnen sowie der Newsletter-Versand zusammenkommen können. Nicht selten sind auch beliebige Supportprozesse für Bestandskunden im CRM abgebildet. Jede Bank, jeder Versicherer und auch jedes andere Unternehmen ist daher gut beraten, für dieses Umfeld eine strukturierte Bedrohungsanalyse vorzunehmen, um die Frage zu klären, welche Ziele Kriminelle haben, welche organisatorischen sowie technischen Schwächen sie nutzen, wie sie konkret vorgehen könnten, welche Rolle Fahrlässigkeit dabei spielen kann und was möglicherweise bei einem Systemausfall geschieht.

Der Sicherheitsvorfall, der für Kriminelle letztlich nur ein Business-Case ist, kann für das angegriffene Unternehmen schnell zur kaum beherrschbaren Katastrophe werden – das ist insbesondere dann der Fall, wenn Daten nachhaltig verloren sind oder gefälscht wurden.”

Das maximal annehmbare Schadensszenario und seine Folgen

Der Schutzbedarf für die Geschäftsprozesse und IT-Systeme im Beispiel CRM leitet sich also auch aus dem theoretisch maximal annehmbaren Schadensszenario für die Organisation selbst inkl. aller Betroffenen ab. Die Liste negativer Folgen, die so ein Sicherheitsvorfall haben kann, ist lang und umfasst nicht abschließend:
• Verletzung von Vorschriften und Gesetzen (Stichwort: Bußgelder)
• Kontrollverlust bei der Unternehmenssteuerung
• Verlust von Aufträgen beim Kunden sowie von Vertrauen am Markt und bei den Aktionären,
• entgangene Gewinne
• Kosten durch Nacharbeiten, Leerlauf von Mitarbeitern und Rechtsstreitereien um Haftungsfragen
• Kosten durch fällig werdende Entschädigungen
Mit der DSGVO kommen bei den Bußgeldern finanzielle Risiken von signifikanter Bedeutung ins Spiel.

Für Banken und Versicherer sowie letztlich alle Unternehmen gibt es also viele gute Gründe, den Sicherheitsvorfall erst gar nicht eintreten zu lassen. Die einzurichtenden Schutzmaßnahmen sollten daher identifizierbare Schadenseintritts- und Folgeszenarien so gut wie möglich abwenden.

Die Bewertung des Schutzbedarfs ist auch im Hinblick auf das nachhaltige Management des Sicherheitsniveaus als Balance zwischen Wirksamkeit und Wirtschaftlichkeit von sowohl organisatorischen als auch technischen Sicherheitsmaßnahmen wichtig.”

Eine gut gemachte Sicherheitskonzeption wird alle diese Aspekte berücksichtigen.

Um nochmal einen Bogen zum „Stand der Technik“ zu schlagen: Die Königsklasse unter den risikoorientierten Sicherheitsmaßnahmen kommt in Organisationen zum Einsatz, die ein systemgestütztes „Security Information and Event Management“ (SIEM) implementiert haben. Unter Einsatz von Künstlicher Intelligenz (KI) wird eine kontinuierliche, prädiktive Sicherheitsanalyse auf Basis der Echtzeitauswertung von aktuellen Betriebszuständen (eigene Systemprotokolle), angereichert durch relevante Informationen aus externen Quellen ermöglicht. Durch die Überwachung der unternehmenseigenen Sicherheitssysteme wird laufend die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen überwacht und bei Überschreiten von Schwellwerten Alarm ausgelöst. Ein SIEM leistet für den Security Manager das gleiche, was ein Radar für den Schiffskommandanten leistet – es macht für das menschliche Auge Unsichtbares sichtbar.

Die Brücke zwischen Standard-Datenschutzmodell und Cyber Security

Wir kommen nun zu Punkt 3: Für jede Art von Verarbeitung personenbezogener Daten ist zu definieren, wie die Gewährleistungsziele des anerkannten Standard-Datenschutzmodells vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) – Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Intervenierbarkeit, Nicht-Verkettung und Datenminimierung – umzusetzen sind. Diese Ziele stellen die grundlegenden Anforderungen zum Design und zur Implementierung von technischen und organisatorischen Sicherheitsmaßnahmen gemäß Artikel 32 DSGVO.

Der Weg zur Umsetzung der Gewährleistungsziele führt über grundlegende Fragestellungen, neben vielen anderen insbesondere auch im Hinblick auf IT-Compliance- und Informationssicherheitsrisiken. Welche Schwächen im Prozess- und System-Design des gewählten Verarbeitungsverfahrens werden sich wie negativ für die Organisation und insbesondere die Betroffenen auswirken und müssen daher von Beginn an verhindert werden? Aber auch: Wie könnten Eindringlinge beispielsweise an Kundendaten gelangen, und was werden sie bei erfolgreichem Zugriff auf bestimmte Bestandteile eines Systemverbundes wahrscheinlich tun? Wie kann ein Unternehmen eine fahrlässige oder vorsätzliche Datenfälschung erkennen, wie einem Datenverlust vorbeugen?

Jedes identifizierbare Schadensszenario gilt es abzuwenden – mit einem intelligent gewählten Zusammenspiel technischer und organisatorischer Maßnahmen, die in einem Datenschutz- und Sicherheitskonzept dokumentiert und zur Produktivsetzung implementiert sein müssen.”

Auch hier offenbart sich das Synergiepotenzial aus dem Zusammenwirken von Informationssicherheitsmanagement und Datenschutzmanagement.

Warum Systemaudits und Penetrationstests wichtig sind

Zum Nachweis der Wirksamkeit des eingerichteten „Schutzwalls“ bieten sich schon zur Abnahme sowohl Prozess- als auch Systemaudits (Schwachstellenanalyse, Health Checking) durch interne oder externe, unabhängige Experten und ggf. auch eine Zertifizierung zum Nachweis der Compliance an.

Als sehr effektiv gelten auch sogenannte Penetrationstests, bei denen sich von der Organisation selbst beauftragte Teams von Spezialisten als Hacker getarnt versuchen, unter realen Bedingungen Zugriff auf vorrangig personenbezogene Informationen und Geschäftsgeheimnisse zu verschaffen.”

Hier lässt sich nämlich auch die Wirksamkeit von organisatorischen Maßnahmen, wie z.B. die Sensibilisierung von Mitarbeitern prüfen. Dem eigentlichen Systemangriff wird nämlich ein Abfischen von Zugangsinformationen bei zuvor in sozialen Netzwerken identifizierten Mitarbeitern mit elegant gemachten Phishing Mails vorgeschaltet. Derartig raffiniert geplante und durchgeführte Penetrationstests führen zu besonders wertvollen Lern- und erst dann zu Optimierungseffekten im Unternehmen und leisten so einen wertvollen Beitrag zur Erreichung der Gewährleistungsziele.

Die Rolle von „Privacy by Design“ und „Privacy by Default“

Unter anderem die Gewährleistungsziele Datenminimierung und Intervenierbarkeit sowie die Transparenzanforderungen zielen direkt auf „Privacy by Design“ und „Privacy by Default“ – und damit geht es zu Punkt 4: Was bedeuten diese beiden Ausdrücke?

Schon die Entwicklung einer Technologie muss den Datenschutz berücksichtigen.”

Eine Organisation, die personenbezogene Daten verarbeitet, muss zunächst einmal den Transparenzanforderungen der DSGVO entsprechen und den Betroffenen die darin vorgesehenen Interventionsrechte einräumen. Sie muss mit den eingesetzten technischen und organisatorischen Mitteln in der Lage sein, die oben genannten Schutzziele zu gewährleisten – dies beinhaltet das Löschen, Korrigieren, Sichern, Wiederherstellen, Pseudonymisieren und Verschlüsseln von Daten, aber auch die Umsetzung eines wirksamen Berechtigungsmanagements bei den Anwendern. Die Löschfunktionen müssen so differenziert gestaltet sein, dass sie z.B. bei einem Widerruf der Einwilligung die weitere Verarbeitung für die Zukunft unterbinden, zugleich aber die gesetzlichen Aufbewahrungsfristen nicht verletzen.

Fehlt es am Zweck für das Vorhalten der Daten und läuft die Frist zum Aufbewahren ab, muss sichergestellt sein, dass die Daten restlos und unwiederbringlich gelöscht werden.”

Ungeeignete Systeme dürfen nicht mehr im Betrieb sein

Neu in der DSGVO: Jedem Betroffenen sind gegebenenfalls zuvor auf seine Anforderung hin seine Daten in elektronisch lesbarer Form zu übergeben.

„Last, but not least“ ist im Rahmen von elektronisch abgefragten Einwilligungen zwingend das Opt-in-Verfahren anzuwenden, die Zustimmung muss also aktiv vom Betroffenen als Zeichen seiner Willenserklärung gesetzt werden, das Häkchen für die Zustimmung darf nicht vorbelegt sein. Bei allen heute meist konfigurierbaren Programmeinstellungen gilt „Privacy by Default“ – zwingend sind die Voreinstellungen also datenschutzfreundlich zu wählen.

Eine Software, die alle vorgenannten Punkte nicht angemessen unterstützt, darf laut DSGVO nicht zur Verarbeitung personenbezogener Daten genutzt werden.”

Einen Bestandsschutz für Altsysteme gibt es nicht. Ungeeignete Systeme müssen seit Mai 2018 aussortiert sein. Wer dies bislang nicht beherzigt hat, sollte spätestens jetzt handeln. Denn womöglich findet auch er sich schon heute auf der nicht öffentlichen Liste potenziell zu sanktionierender Unternehmen der Datenschutzaufsichtsbehörden wieder.Stefan Möller, Sopra Steria