| Führungskräfte 14. November 2017


14. November 2017

Warum Ihre DSGVO-Compliance-Strategie auch Mobilgeräten berücksichtigen muss

By Aaron Cockerill

US statisticsIm Hinblick auf die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, Mobilgeräte genauso zu behandeln wie Desktop-PCs. Viel Zeit bleibt ihnen für die Entwicklung einer entsprechenden Strategie nicht, da die DSGVO bereits im Mai 2018 in Kraft tritt. 

Die gemeinsam von Parlament, Rat und Kommission der Europäischen Union (EU) ausgearbeitete Verordnung verpflichtet jedes Unternehmen, personenbezogene Daten von EU-Bürgern entsprechend den Bestimmungen zu schützen und zu verwalten. Die neue Verordnung tritt am 25. Mai 2018 in Kraft und sieht strenge Sanktionen für Regelverstöße vor.

Von der DSGVO betroffen ist jedes Unternehmen, das innerhalb der EU Geschäfte tätigt, Mitarbeiter in EU-Länder entsendet, Beziehungen zu Kunden oder Geschäftspartnern in der EU pflegt oder auf andere Weise Daten von Personen verarbeitet, die in die EU reisen oder sich dort aufhalten. Das bedeutet, dass die personenbezogenen Daten auf den Mobilgeräten der Mitarbeiter ebenfalls der Verordnung unterliegen und abgesichert werden müssen – unabhängig davon, wer der Eigentümer des Geräts ist.

Wie Security Teams für DSGVO-Compliance auf Mobilgeräten sorgen können

Die Bestimmungen sind keinesfalls auf traditionelle, durch eine Firewall geschützte IT-Systeme beschränkt. Darüber hinaus besteht die Gefahr, dass die zunehmende Nutzung von Mobilgeräten und Apps am Arbeitsplatz die Compliance-Bemühungen des Unternehmens zunichte macht. Sei es durch riskante Verhaltensweisen von Mitarbeitern, böswillige Angriffe auf das Unternehmen oder als unbedenklich eingestufte Apps, die Daten in andere Länder senden.

Einer aktuellen Umfrage von Lookout zufolge geben 64 % der Mitarbeiter von US-Unternehmen an, über ihr Mobilgerät auf Kunden-, Partner- und Mitarbeiterdaten ihres Unternehmens zuzugreifen. Mobilgeräte greifen also auf genau die Daten zu, die laut DSGVO und anderen Bestimmungen besonders zu schützen sind. Bei der Entwicklung ihrer Compliance-Strategie müssen CISOs diese Endgeräte berücksichtigen.  Unternehmen, die nicht verstehen, wie DSGVO-regulierte Daten – also alle Informationen über eine bestimmte oder bestimmbare Person innerhalb der EU – erfasst, gespeichert oder mittels Mobilgeräten ausgetauscht werden, laufen Gefahr, mit strengen Sanktionen belegt zu werden oder Imageverluste zu erleiden.

Was die DSGVO für Mobilgeräte bedeutet

Laut der Umfrage glauben derzeit 72 % der Security- und IT-Führungskräfte mit Mitarbeitern, Kunden oder Partnern in der EU, dass sie von den DSGVO-Bestimmungen betroffen sind, aber lediglich 17 % von ihnen planen tatsächlich eine Erweiterung ihrer Compliance-Strategie auf Mobilgeräte.

Zu den zentralen Elementen der DSGVO gehört das Konzept „Privacy by Design“, also das proaktive Einbinden datenschutzrechtlicher Aspekte in die Entwicklung und den Betrieb von IT-Systemen, Netzwerktechnik und Geschäftspraktiken. Das Konzept schließt Mobilgeräte mit ein – selbst dann, wenn das Unternehmen auf das BYOD-Prinzip setzt. Das heißt, die Mitarbeiter verbinden sich aktiv mit dem Netzwerk und nutzen ihre Geräte, um ihre vielfältigen Aufgaben im Unternehmen auszuüben und die durch die DSGVO regulierten Daten des Unternehmens, dessen Kunden, Partner oder sonstiger Mitarbeiter zu verarbeiten.

Artikel 6 der DSGVO besagt, dass personenbezogene Daten in einer Weise verarbeitet werden müssen, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung.

Einige mobile Risiken können diesen Grundsatz unmittelbar verletzen:

  • Bösartige Apps, die Daten aus- oder einschleusen, Geräte beschädigen, indem sie sich so tief darin einbetten, dass sie selbst durch das Zurücksetzen auf die Werkseinstellungen nicht entfernt werden können und die Unbefugten Remote-Zugriff verschaffen
  • Gerätebedrohungen, die Angreifern zusätzliche Berechtigungen verschaffen, mit denen sie die gesamte Datenübertragung auf dem Gerät überwachen, und so einen katastrophalen Datenverlust verursachen
  • Mobile Apps, die auf Kontaktdaten zugreifen und sie an Server außerhalb der EU senden
  • Mobilgeräte in einem Netzwerk, das einem Man-in-the-Middle-Angriff ausgesetzt ist, bei dem Daten aus den Geräten abgezogen werden


Unbeabsichtigte Datenlecks spielen eine entscheidende Rolle. Angenommen, Mitarbeiter laden Informationen über Sales-Leads auf die Notizen-App ihres Mobilgerätes oder auf eine Speicherinstanz in der Cloud. Laut DSGVO haben EU-Bürger ein „Recht darauf, vergessen zu werden“. Würde ein Sales-Lead die Löschung seiner Daten verlangen, hätte das Unternehmen weder Kenntnis über noch Zugriff auf die Daten in diesen persönlichen Apps oder Cloud-Speicherinstanzen und würde somit potenziell gegen die DSGVO verstoßen.  

In einem anderen Szenario ruft etwa der CFO eines Unternehmens regelmäßig Kundenabrechnungs- und Vertragsdaten auf seinem Mobilgerät auf und verwendet dazu eine „Mash-up“-App, die die CRM-API mit APIs seines Abonnement-Abrechnungsdienstes verbindet. Beim Speichern und Übermitteln der DSGVO-regulierten persönlichen Daten auf seinem Mobilgerät stehen dem CFO in dieser App nicht die gleichen Schutzmechanismen zur Verfügung wie in der offiziellen CRM-App. Unternehmen müssen daher wissen, welche Daten von wem mobil genutzt werden, wie der Zugriff kontrolliert wird und wohin die Daten gesendet werden. Ohne diese Transparenz riskieren sie ihre Compliance mit den DSGVO-Bestimmungen.

DSGVO-regulierte Daten sind auf Mobilgeräten verfügbar

Im Rahmen der Umfrage antwortete mehr als die Hälfte der Mitarbeiter auf die konkrete Frage nach personenbezogenen Kundendaten, dass sie über ihr Mobilgerät auf die Kundendaten ihres Unternehmens zugreifen können.

How employees access to their organization's customer data via their mobile device

Die befragten Mitarbeiter berichteten, dass sie über ihr Mobilgerät Zugriff auf die folgenden Arten von Daten haben:

  • Arbeitskalender
  • Geschäftliche E-Mails
  • Geschäftliche Kontakte
  • Unternehmensanwendungen
  • Firmennetzwerke
  • Unternehmensinterne Nachrichtendienste
  • MFA/gespeicherte Anmeldedaten
  • Administrations-Tools


Jede dieser Funktionen und Anwendungen enthält personenbezogene Daten, die den Bestimmungen der DSGVO unterliegen (z. B. Kontaktdaten, E-Mail-Adressen) oder greift auf Systeme zu, die personenbezogene Daten speichern können.  Wie Sie Verstöße gegen die DSGVO auf Mobilgeräten erkennen und dagegen vorgehen. Von der DSGVO betroffene Unternehmen benötigen eine Mobile-Threat-Defense-Lösung, die Schutz vor den Risiken mobiler Apps bietet und mittels Analysen und Richtlinienkontrollen DSGVO-regulierte Daten schützt. Lookout bietet mit seinem Produkt Mobile Endpoint Security die nötige Transparenz über Bedrohungen und Risiken für Daten, die den Bestimmungen der DSGVO unterliegen. Durch den Einsatz einer solchen Lösung können sich Unternehmen auf die DSGVO vorbereiten. Sie bietet ihnen die Möglichkeit, Bedrohungen und Risiken für regulierte Daten auf Mobilgeräten schnell zu identifizieren, richtlinienbasierte Maßnahmen zum Schutz vor mobilen Risiken umzusetzen, Richtlinien für risikobasierte Zugangsberechtigungen einzurichten sowie sich auf die Anforderung der DSGVO vorzubereiten, gemäß welcher Datenpannen innerhalb von 72 Stunden gemeldet werden müssen. Nehmen Sie sich zwei Minuten Zeit für eine individuelle Analyse Ihres mobilen Risikos und erkennen Sie, wie die Verwendung von Mobilgeräten die Bestimmungen der DSGVO verletzen und Ihre persönlichen Daten gefährden kann. Überzeugen Sie sich jetzt von unserem Mobile Risk Assessment-Tool


Autor

Aaron Cockerill,
Chief Strategy Officer

Kommentar hinterlassen

Absenden


0 kommentare