Die 100prozentige Compliance zur Europäischen Datenschutzgrundverordnung (EU-DSGVO) wird man wohl nie erreichen. Doch Unternehmen sollten sich auf die wesentlichen Anforderungen konzentrieren und vor allem genau dokumentieren, welche Aktionen anstehen und wie sie die Umsetzung der DSGVO-Vorgaben realisieren. Nur so lassen sich die wichtigsten Aspekte bis zum 28. Mai 2018 umsetzen und eventuelle Strafzahlungen vermeiden.

Bei der DSGVO geht es primär um den Schutz personenbezogener Daten. Daher ist es für Unternehmen zwingend notwendig zu ermitteln, wo genau im Unternehmen personenbezogene erfasst und gespeichert werden“, erklärt Michael Ganzhorn, Business Unit Manager Datacenter bei Axians IT Solutions. Daher sei zu prüfen, welche Daten im Sinne der DSGVO als personenbezogen gelten. „Sobald die Daten und die zugehörigen Datentöpfe definiert sind, sind die Zugriffsmöglichkeiten auf die Daten physisch und logisch abzusichern. Zusätzlich sind die betreffenden Daten zu verschlüsseln“, fasst Ganzhorn zusammen.

Michael Ganzhorn, Business Unit Manager Datacenter bei Axians IT Solutions Quelle: Axians

Nach seiner Einschätzung kommt hierbei die gesamte Security-Klaviatur zum Einsatz– von der Perimeter-Sicherheit über die Anwendungs- und Datensicherheit bis hin zum Access-Management. „Für eine durchgängig wirkungsvolle Sicherheit ist es entscheidend, einen kompletten, revisionssicheren Maßnahmenplan auf- und umzusetzen“, ergänzt Ganzhorn.

Mit den Designprinzipien „Privacy by default“ und „Privacy by design“ kommen Aspekte auf die Kernsysteme der Unternehmens-IT zu, die in betagteren Anwendungen so nicht abgedeckt sind. „Privacy by design hat beispielsweise zum Ziel, dass Applikationen so entwickelt und IT-Infrastrukturen so entworfen werden, dass sie von Haus aus einen möglichst hohen Zugriffsschutz auf personenbezogene Daten mit sich bringen“, führt Ganzhorn aus. „Zusätzlich müssen die IT-Kernsysteme speziellen Maßnahmen unterzogen werden. Dazu zählt zum Beispiel das Härten der Betriebssysteme, die Microsegmentation in virtuellen Umgebungen oder das Etablieren von Automatismen zur Einspielung von Security Patches. Da die Systeme in der Regel bereits existent und produktiv sind, gilt es an den möglichen und machbaren Punkten aktiv nachzubessern.“

Laut Definition bedingt „Privacy by default“, dass durch geeignete Voreinstellungen nur die absolut notwendigen Datenverarbeitungen mit der eingesetzten Technik getätigt werden, so Ganzhorn weiter: „Es werden also keine weiteren analytischen Modelle über die Daten gefahren. Und per default erhalten nur die Systeme und User Zugriff, die zwingend für die Ausübung des jeweiligen Geschäftsprozesses nötig sind.“

Die Zeit für die Umsetzung der DSGVO drängt. Daher stellt sich vielfach die Frage, was Unternehmen kurz vor Schluss noch unbedingt umsetzen sollen. Hier empfiehlt Ganzhorn, dass Unternehmen dringend die relevanten Systeme identifizieren und diese einem kritischen Assessment unterziehen sollten sowie umgehend notwendige Security Schritte einzuleiten haben.

In diesem Kontext können IT-Dienstleister den Anwendern in Unternehmen bei der Umsetzung helfen. So unterstütze Axians IT Solutions zum Beispiel Unternehmen dabei, sämtliche Anforderungen der DSGVO strukturiert zu identifizieren und umzusetzen. „Wir kennen die Details der DSGVO sehr genau und bieten sowohl umfassende Beratung-Services als auch professionelle Assessments“, stellt Ganzhorn heraus. „Und zur praktischen Umsetzung sinnvoller und erforderlicher Maßnahmen verfügen wir in allen technologischen Themenbereichen sowohl über Erfahrung als auch Expertise. Die Wurzeln von Axians liegen in den Gebieten Security, Netzwerk und Datacenter. Daher sind wir bestens aufgestellt, um Unternehmen bei der Umsetzung aktueller Aufgabenstellung professionell zu unterstützen.“