Anforderungen der DSGVO mit Endpoint Protector umsetzen

Es ist hinlänglich bekannt, dass die DSGVO das Recht natürlicher Personen in der EU auf den Schutz ihrer personenbezogenen Daten festschreibt. Unternehmen haben die Aufgabe, den Schutz umzusetzen, und verantworten jede Verletzung des Schutzes. Dazu gehören der Verlust personenbezogener Daten sowie deren unbefugte Offenlegung gegenüber Dritten beziehungsweise der unbefugte Zugriff Dritter auf die Daten. Ein solcher Vorfall muss der zuständigen Datenschutz-Behörde innerhalb 72 Stunden nach Bekanntwerden des Vorfalls gemeldet werden und ist mit empfindlichen Strafen belegt.

So weit, so klar. Wie allerdings die konkrete Umsetzung erfolgen soll, wissen viele Verantwortliche nicht. Dabei können sie mit Hilfe technischer Lösungen die Risiken von Datenverlust und von unbefugtem Zugriff erheblich verringern. Die Lösung für Data Loss Prevention Endpoint Protector setzt dabei in erster Linie an den Datenbewegungen an („data in motion“) und überwacht die von den Endpoints aller Plattformen ausgehende Datenübermittlung als eine der Hauptursachen für Datenschutzverletzungen.

Umsetzungsanforderung 1: Kontrolle von Wechseldatenträgern mit Device Control (DC)

Das Modul Device Control von Endpoint Protector hilft Unternehmen, Datenverluste via Wechseldatenträger wie USB-Sticks, externe Festplatten oder Speicherkarten prozesssicher auszuschliessen. Endpoint Protector sperrt auf den Arbeitsplatz-Rechnern unter anderem USB-Ports, Bluetooth- und FireWire-Schnittstellen und stellt so sicher, dass keine unerwünschten tragbaren Geräte angeschlossen werden können.

Aber nicht jedes Unternehmen kann vollständig auf Wechseldatenträger verzichten. Für manche Aufgaben und Prozesse ist die Benutzung beispielsweise von UBS-Sticks aus Gründen der Effizienz oder der Sicherheit sinnvoll. Für diese Abläufe können firmeneigene USB-Sticks mit Endpoint Protector für die Benutzung freigeschaltet werden. Sämtliche Datentransfers werden für freigegebene Wechseldatenträger audit-sicher protokolliert.

Umsetzungsanforderung 2: Verschlüsseln von Wechseldatenträgern mit EasyLock (EL)

USB-Speicher sind immer noch das beliebteste Medium für den Datentransport, wenn etwa Mitarbeiter mangels VPN Unterlagen zum Weiterarbeiten nach Hause mitnehmen oder zur Präsentation bei Kunden. Auch als mobile Arbeitsumgebung werden sie häufig genutzt.

Allerdings sind die wenigsten USB-Sticks verschlüsselt und so vor unautorisiertem Zugriff geschützt. Geht ein USB-Stick verloren oder wird gestohlen, können nicht befugte Dritte auf die Daten zugreifen. Dabei handelt es sich um einen Verstoss gegen die DSGVO; der Verlust oder Diebstahl des Sticks ist somit meldepflichtig.

Die Meldepflicht entfällt, falls der Verstoss „voraussichtlich nicht zu einem Risiko“ für die Rechte der betroffenen Personen führt. Bei der Verwendung von USB-Sticks lässt sich dieses Risiko durch die standardmässige Verschlüsselung der Daten beim Transfer auf den Stick de facto ausschliessen.

In Endpoint Protector erledigt dies die Komponente EasyLock. Die Verschlüsselung nach AES 256bit CBC entspricht den aktuellen Militärstandards. Zudem bietet EasyLock als Container-Verschlüsselung eine Auto-Rollout-Funktion. Sie macht im Unternehmen bereits vorhandene handelsübliche USB-Sticks zu sicheren Datenträgern. Dafür stellt der Administrator EasyLock so ein, dass Daten von verschlüsselten USB-Sticks nur im Unternehmensnetz gelesen werden können. Von einem Rechner, der nicht zum Firmennetz gehört, kann nicht auf die Daten zugegriffen werden.

Umsetzungsanforderung 3: Schutz vor Datenabfluss durch Content Aware Protection (CAP)

Unternehmen müssen für die Übereinstimmung mit der DSGVO den Schutz der Daten verbessern und Sicherheitslücken schliessen. Insbesondere browserbasierte Anwendungen wie Webmailer, Cloudspeicher, Kollaborations- und Filesharing-Tools stellen populäre Austrittspunkte für Daten dar. Datentransfers über Dropbox, TeamViewer, Skype und ähnliche müssen über alle Rechner, Nutzer, Gruppen im gesamten Unternehmen hinweg nachvollziehbar kontrolliert und gegebenenfalls blockiert werden. Dies wird in Endpoint Protector durch die Inhaltsprüfung mit dem Modul Content Aware Protection erreicht. Die technische Grundlage dafür ist ein Black- und Whitelisting-Ansatz. Inhaltsbasierte Richtlinien, die auf komfortable Weise unternehmensspezifisch eingestellt werden können, regeln, wer welche Daten über welche Austrittspunkte übermitteln darf und wer nicht, und ob Copy- & Paste-Vorgänge, die Erstellung von Screenshots oder Ausdrucke zulässig sind.

Für unterschiedliche Gruppen von personenbezogenen Daten wie Adress- und Kontaktdaten, Konto- und Kreditkartennummern, Personalausweis- und Sozialversicherungsnummern enthält Endpoint Protector ein Repository. Die Regeln stehen für alle Schnittstellen bzw. Ziele wie Web-Browser, E-Mail-Client, Drucker, Instant Messaging, Zwischenablage etc. zur Verfügung. Für die Kategorie der besonders zu schützenden personenbezogenen Daten wie beispielsweise Gesundheitsdaten sind ebenfalls vordefinierte Richtlinien verfügbar.

Unternehmen, die zusätzlich zur DSGVO internationale Standards und gesetzliche Regelungen wie HIPAA oder PCI-DSS umsetzen müssen, bietet Endpoint Protector vordefinierte Richtlinien-Pakete an. Der Administrator kann mit wenigen Klicks sämtliche Richtlinien, die für den jeweiligen Standard erforderlich sind, aus einem Pool vordefinierter Richtlinien auswählen und anpassen.

Per Mehrfach-Auswahl lassen sich die Ziele für die Anwendung jeder Regel festlegen. Das können beispielsweise diejenigen sein, die das grösste Risiko darstellen, etwa Cloud-Speicher oder bestimmte Mitarbeiter. Ausserdem können Grenz- und Schwellwerte eingestellt werden, so dass Dateien ab einer bestimmten Grösse oder Dateien mit einer bestimmten Anzahl an Merkmalen geblockt werden. Neben den voreingestellten Richtlinien können in Endpoint Protecor unternehmensspezifische Richtlinien zudem mittels Schlüsselwort-Wörterbüchern sowie Dateityp- und Semantik-Erkennung konfiguriert werden.

Umsetzungsanforderung 4: Lokalisieren personenbezogener Daten mit eDiscovery (eD)

Damit Unternehmen beispielsweise dem Auskunftsrecht nach Artikel 15 oder einer Löschanfrage nach Artikel 17 der DSGVO nachkommen können, werden mit dem Endpoint-Protector-Modul eDiscovery anhand inhaltlicher Prüfkriterien einmalige oder wiederkehrende Bestandsaufnahmen der lokalen Speicherorte durchgeführt. Dabei werden auch Daten in Cloud-Speichern wie Dropbox, OneDrive, iCloud, Google Drive erfasst. Diese Funktion liefert eine Liste der Speicherorte personenbezogener Daten ausserhalb strukturierter Systeme wie Datenbanken oder ERP. Zusätzlich ermöglicht das Modul die Verschlüsselung oder Löschung der gefundenen Daten.

Lokal gespeicherte unstrukturierte Daten („data at rest“) bergen ebenfalls ein erhebliches, oft nicht wahrgenommenes Risiko an potentiell ungewünschten Datentransfers. Mit Schatten-IT, der Benutzung von Anwendungen ohne Abstimmung mit der IT-Abteilung, geht immer lokale Datenhaltung einher. Aber auch eingehende Daten, zum Beispiel Initiativ-Bewerbungen, werden auf Desktops gespeichert. Zudem werden Daten aus den zentralen Systemen wie ERP oder CRM exportiert und gespeichert, die vielleicht für eine Präsentation aufbereitet werden oder einfach nur schnell zur Hand sein sollen. Häufig werden die Daten dann vergessen und nach ihrer Verwendung nicht gelöscht.

Option: Einbindung in SIEM

Für einen kompletten Überblick auf alle Daten- und Systemvorfälle im Firmennetzwerk nutzen viele Unternehmen eine SIEM-Software als zentrales Analyse-Tool. Insbesondere für die Dokumentationspflicht im Rahmen der DSGVO spielen SIEM-Lösungen in Grossunternehmen eine herausragende Rolle. Endpoint Protector ermöglicht die automatische Übertragung der protokollierten DLP-Events in alle Syslog-fähigen SIEM-Systeme wie Splunk oder AlienVault. Über Standard-Parameter wie IP-Adresse und Port wird der Export herstellerunabhängig innerhalb der Serverkonsole konfiguriert. Wahlweise werden mit der Log-Ausleitung die Log-Daten in Endpoint Protector beibehalten oder gelöscht.

Weitere Informationen zu den Lösungen von Endpoint Protector finden Sie unter www.endpointprotector.de.

[themify_box color=”gray”]Autor: Michael Bauner, Geschäftsführer Endpoint Protector GmbH[/themify_box]

Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter