Die Möglichkeiten der Umsetzung technischer Maßnahmen sind enorm vielfältig. Bezogen auf die Auswirkungen von Datenschutzvorfällen lassen sich jedoch mit ein paar angewandten Regeln größere Schäden verhindern. Eine Auswahl.
Der Inhalt im Überblick
Ja, irgendwann trifft es jeden
Auch wenn es abgedroschen und nach einer Binsenweisheit klingt, ist es dennoch wahr. Datenschutzvorfälle lassen sich nicht vermeiden. Hierfür ist die Soft- und Hardware, die wir nutzen, zu fehleranfällig und Angreifer zu kreativ. Ach ja und von uns Benutzern einmal ganz zu schweigen. Malware schleicht sich in aller Regel nämlich nicht im Schutze der Dunkelheit der Nacht auf unsere Rechner, sondern folgt unserer Einladung.
Klick hier aus Versehen, klick da unbewusst und klick dort aus Neugier – Zack, haben wir den Salat. Ein schlecht programmiertes System erledigt dann den Rest. Der Schaden ist groß, der Schreck sitzt tief und für die Meldung an die Datenschutzbehörde fehlen etliche Informationen. Aber das muss nicht sein. Menschen machen Fehler und manchmal auch schlimme Dinge. Nutzen wir doch die Technik, um sie aufzuhalten.
Kleine Maßnahmen – große Wirkung
Die wirklich schwerwiegenden Vorfälle beginnen immer mit einer schädlichen und vorsätzlich begangenen Handlung. Hierbei spielt es zunächst keine Rolle, ob der eigene Mitarbeiter die Seiten gewechselt hat oder ob ein Hacker sein Unwesen trieb. Fakt ist, dass Datenschutzvorfälle erst richtig groß werden, wenn Einzelne oder Gruppen mit bösen Absichten zu viel Macht besitzen. Glücklicherweise gibt es Maßnahmen auf technischer Ebene, die solchen Szenarien vorbeugen. Da dieser aber zu viele sind, müssen wir sie im Rahmen einer Risiko- bzw. Kosten-Nutzen-Analyse eingrenzen. Nur die wenigsten von uns werden das Glück haben, wahllos Anordnungen ergreifen zu können. Aber schon mit wenigen Maßnahmen lässt sich ein Viel an Sicherheit gewinnen.
Butter bei die Fische – was zu tun ist
Um es noch einmal zu betonen: Mit den nachstehenden Maßnahmen gehen wir die schlimmen Fälle an. Und sie bilden auch nur die obersten Punkte der Prioritätenliste ab. Weitere sollten und müssen folgen. Aber wenn schon an dieser Stelle ein Mangel besteht, ist dringend das eigene Konzept zu überdenken. Selbstverständlich spielt auch immer der Einzelfall eine Rolle, aber wenn von nachfolgenden Empfehlungen abgewichen wird, ist dies zumindest kritisch zu hinterfragen. Genug der Vorrede, los geht‘s:
Logfiles
Wenn Sie ein Windows-System nutzen, erhöhen Sie die Logdateigröße auf ca. 2 GB und für kritische Logs min. 1 Jahr rückwirkend. Andernfalls wird es unter bestimmten Umständen sehr schwierig, nachvollziehen zu können, was vorgefallen ist. Weder Behörde noch Betroffene lassen sich dann ausreichend i.S.v. Art. 33 u. 34 DSGVO informieren. Zudem kann ein angegriffenes Unternehmen nur schwer feststellen, ob der Einbrecher keinen Zugang mehr zu den Systemen hat.
Und wenn jetzt dem einen oder anderen Datenschützer angesichts dieser Datenerhebung das Herz aus der Brust zu springen droht: Ja, es ist problematisch und ja, es bleibt dabei: Logfiles sind entscheidend und müssen auch in diesem Umfang erhoben werden. Der Zielkonflikt zwischen Art. 32 DSGVO (Sicherheit) und Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) lässt sich aber dadurch beheben, dass der Zugriff auf diese Daten streng (!) eingeschränkt ist.
Administratorenrechte
Lokale Admins sind für jeden, der das Wort „Administrator“ nicht schon in seiner Berufsbezeichnung führt, tabu. Ausnahmen kritisch überprüfen. Faustregel: 3 Admins. Einer hat Urlaub, einer ist krank, einer ist da – reicht also aus. Noch strenger ist es mit Domänenadministratorenrechten: ein Exchange-Admin oder ein Mitarbeiter des Helpdesks braucht keine Domänenadminrechte. Punkt. Natürlich gilt das Least-Privileges-Prinzip nicht nur für Administratoren. Aber eine Missachtung hier ist besonders gefährlich.
Multi-Faktor-Authentifizierung in der Cloud
Wenn Sie in der schönen bunten Welt der Cloud-/SaaS-Dienstleistungen unterwegs sind, ist eine Multi-Faktor-Authentifizierung Pflicht (sofern sie angeboten wird). Bestimmt 80 % der Datendiebstähle in Cloud-Accounts, die wir in der IT-Forensik beobachten, hätten sich damit unterbinden lassen.
Netzwerksegmentierung
Firewalls (und gerne auch VLANs) sind eine wunderbare Sache. Die können unser Leben komplizierter, aber auch sicherer machen. Sehr viel sicherer. Vergessen wir daher, dass sie auch mal kompliziert sein können und schreiben wir uns eine vernünftige Netzwerksegmentierung auf unsere TOP 5 Liste. Eine laterale Ausbreitung eines Angreifers wird damit sehr viel unwahrscheinlicher, was den Schaden deutlich begrenzt.
Offline-Backups
Auch beim Einhalten aller oberen Regeln kann es mit dem Teufel zugehen und der Hacker fand, z.B. aufgrund eines nicht ausreichenden Patch- und Schwachstellenmanagements, eine Lücke. Dann sind Offline Backups oft der letzte Rettungsanker. Und mit Offline-Backups sind wirklich Backups gemeint, die unter keinen Umständen am Netz sind, auch nicht im Intranet. Selbstredend sind diese Backups auch in regelmäßigen Rückspielungen zu testen.
Prüfen Sie selbst
Wie bereits erwähnt, die Liste ist nicht abschließend. Aber die vorgestellten Maßnahmen sind jedenfalls dazu in der Lage, es Angreifern mit bösen Absichten besonders schwer zu machen. Bei schweren Datenschutzvorfällen spielt eine Missachtung der oberen Regeln fast immer eine Rolle. Das muss aber nicht sein, denn spätestens jetzt wissen Sie es besser. Nutzen Sie dieses Wissen also für sich, für Ihre Organisation und für die Betroffenen im Sinne des Datenschutzrechts.
Data Loss Prevention wäre doch auch ein gutes Thema! Vielleicht mal einen Fachbeitrag mit der neuen Rechtslage wert?