8. Mai 2017

Die Implementierung der EU-Datenschutz-Grundverordnung (GDPR) bringt umfassende neue Anforderungen mit sich, die den Schutz von Kundendaten in der EU sicherstellen sollen.

Zu den neuen GDPR-Anforderungen gehören:

  • Strikte Vorschriften für den Schutz, die Verwaltung und die Kontrolle aller personenbezogenen Daten von EU-Bürgern (PII)
  • Erhebliche Geldstrafen bei Datenschutzverletzungen im Zusammenhang mit personenbezogenen Daten von EU-Bürgern, die von mindestens 20 Millionen Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens reichen können
  • Neue Vorgaben zu Speicherung (Speicherart, Speicherort) von Kundendaten
  • Verpflichtende Meldung von Datenschutzverletzungen innerhalb von 72 Stunden nach ihrer Entdeckung
  • Zusätzliche Pflichten für Unternehmen mit höherem Risikopotenzial

Für die Bewältigung dieser Herausforderungen ist ein ganzheitlicher Ansatz erforderlich, der sowohl die Planung und Prozesse als auch die Technologien einbezieht. SailPoint unterstützt die Einhaltung der GDPR durch Identity Governance und ermöglicht es Unternehmen, Risiken zuverlässig zu bewerten, Kontrollen zu verstärken und Erkennungs- sowie Audit-Prozesse zu automatisieren. Mit SailPoint profitieren Unternehmen von einem vollständigen Überblick, denn damit wissen Sie jederzeit, wer Zugriff auf welche Daten und Dokumente hat und wie dieser Zugriff genutzt wird. Nicht nur GDPR-Compliance und die Einhaltung weiterer gesetzlicher Anforderungen werden so ermöglicht, auch die Sicherheitslage im gesamten Unternehmen wird optimiert: Mit Identity Governance von SailPoint wird Sicherheit in bestehende Prozesse und Verfahren integriert und so deren Effektivität erhöht.

Die Einhaltung der Datenschutz-Grundverordnung ist tatsächlich eine Herausforderung, die viele Aspekte beinhaltet. Deshalb sollten Unternehmen im Sinne der GDPR-Compliance einen ganzheitlichen, umfassenden Ansatz wählen, der die drei wichtigsten Bereiche abdeckt:

Bewerten: Risiken analysieren, Reaktionen priorisieren

Wissen Sie, wo sich all Ihre sensiblen Daten wirklich befinden oder wer tatsächlich Zugriff darauf hat? Um den Benutzerzugriff auf Daten zu regeln, benötigen Unternehmen einen umfassenden Überblick über ihre gesamte Infrastruktur – und darüber, wer aktuell Benutzer ist und wo sich gefährdete Daten befinden. Wenn das IT-Team oder das Management keinen Einblick in alle Berechtigungen eines Benutzers haben, können sie nicht die richtigen Entscheidungen darüber treffen, wer wann auf was zugreifen darf. Denn nur mit einem klaren Überblick über alle Personen, die Zugriff auf sensible, strukturierte und unstrukturierte Informationen und Daten haben, können Sie veraltete oder ungenutzte Zugriffsberechtigungen für Ihre Systeme überhaupt entdecken und korrigieren.

GDPR-Compliance bedeutet, dass Unternehmen jederzeit

  • wissen müssen, wo alle persönlichen Daten von Kunden gespeichert sind,
  • erkennen können, wie der Zugriff darauf gewährt wird
  • und den aktuellen Zugriff für Mitarbeiter, Auftragnehmer, Lieferanten und andere Beteiligte klar identifizieren können.

SailPoint ermöglicht Ihnen die Einhaltung der GDPR-Anforderungen, denn folgende Funktionen werden bereitgestellt:

  • Erkennung sensibler Daten im gesamten Unternehmen, auch in unstrukturierten Formaten wie Präsentationen und in Speicher-Repositorys wie File-Shares und Boxen
  • Erkennung von ungeschützten und veralteten Daten
  • Identifizierung der Eigentümer von Geschäftsdaten
  • Erkennung und Entfernung veralteter sowie ungenutzter Zugriffsberechtigungen für Systeme zur Minimierung von Datenverlustrisiken
  • Einblick in Zugriffsberechtigungen bis hinunter in jede Detailebene
  • Überwachung der Benutzeraktivitäten bei von der Norm abweichenden Requests

Die Risikobewertung dient als Basis für die Definition und Priorisierung Ihrer Reaktionen auf die dringendsten Sicherheitsbedürfnisse Ihres Unternehmens. Bevor die Daten Ihres Unternehmens effektiv kontrolliert und abgesichert werden können, müssen aber zunächst die Eigentümer der Daten ermittelt werden. Unternehmen, die Dateneigentümern keine aktive Verantwortung und Rechenschaftspflicht zuweisen und sich nicht darüber im Klaren sind, wer Zugriff hat bzw. haben sollte, setzen sich dem Risiko von Datenschutzverletzungen und damit entsprechenden behördlichen  Strafen aus – das gilt es zu vermeiden.

Optimieren: Zugriffskontrollen verbessern

DSGVO-Compliance bedeutet auch, dass Unternehmen die Zugriffskontrollen verstärken müssen – vor allem darüber, wie dieser definiert und festgelegt wird,wer Zugang zu bestimmten Daten hat und wem dieser verwehrt werden sollte. Die Möglichkeit, unerwünschte bzw. nicht benötigte Zugriffe auf Systeme, Anwendungen und Daten zu verhindern, ist zwingend erforderlich. Die GDPR-Anforderungen sagen aus, dass Benutzer nur auf die Ressourcen zugreifen dürfen, die sie wirklich benötigen, und dass der Zugriff auf sensible Daten stark eingeschränkt werden sollte. Dabei müssen die Prozesse zur Erzwingung umfassender Kontrollen sowie die Policys zum Nachweis der Sicherheitsintegrität wiederholbar sein.

Für die Erfüllung der GDPR-Anforderungen ist die Etablierung eines Governance-Modells erforderlich, das den Zugriff auf Anwendungen und Daten an den geschäftlichen Anforderungen ausrichtet.

SailPoint hilft Ihrem Unternehmen bei der erfolgreichen , denn mit unserer Technologie können Sie den Zugang zu sensiblen Daten in Übereinstimmung mit ihren GDPR-konformen Richtlinien gewähren bzw. widerrufen und den Zugriff regelmäßig überprüfen sowie jederzeit aktuell  anpassen – so bleiben Sie auch in Zukunft GDPR-konform! Mit SailPoint können Sie außerdem:

  • Zugangskontrollrichtlinien implementieren
  • Identitäten und Daten zu Berechtigungen abgleichen
  • Dass Least-Privilege-Verfahren implementieren
  • Starke Authentifizierungsprotokolle durchsetzen
  • Die Passwortverwaltung über mehrere Plattformen und Geräte hinweg synchronisieren
  • Zugangs- und Wieder- bzw. Neuzertifizierungsrichtlinien ausgeben
  • Geschäftsbasiertes Life-Cycle-Management von Identitäten und Daten durchführen

Implementieren Sie Workflows, die es entsprechenden Beteiligten ermöglichen, zu Genehmigungen, Überprüfungen und Bewertungen beizutragen. So kann sichergestellt werden, dass alle Beteiligten über den erforderlichen Zugriff verfügen. Gleichzeitig können unerwünschte oder nicht erforderliche Berechtigungen für den Zugriff auf Systeme, Anwendungen und Daten minimiert und so das Potenzial für den Missbrauch von Account-Berechtigungen minimiert werden – SailPoint macht all dies möglich!

Automatisieren: Entscheidungen über den Zugriff in Echtzeit treffen

Die Datenschutz-Grundverordnung verlangt, dass Unternehmen für die personenbezogenen Daten von EU-Bürgern die jeweils geringstmögliche Berechtigung (Least-Privilege-Verfahren) einräumen. Außerdem ist es erforderlich, Verstöße gegen diese Richtlinie sofort erkennen und beheben zu können und jede Datenschutzverletzung, die Kundendaten betrifft, in weniger als 72 Stunden zu melden. Eine derart knappe Zeitvorgabe sowie die Komplexität bei der Erfüllung dieser Richtlinien bedeutet, dass die DSGVO ohne Automatisierung praktisch nicht eingehalten werden kann. Automatisierung ist in jedem Falle dann unerlässlich, wenn Reaktionen in Echtzeit erfolgen müssen. Die automatisierte Bereitstellung und Aufhebung von Zugriffsrechten ist faktisch die einzige Möglichkeit, die Sicherheitskontrollen tatsächlich zu verschärfen und gleichzeitig die Effizienz des Unternehmens zu steigern.

SailPoint unterstützt Unternehmen durch Funktionen wie automatische Bereitstellung und Aufhebung von Zugriffsrechten, Self-Service-Zugriffsanfragen und automatische Zugriffszertifizierungen. Diese erweiterte Funktionalität für die Einhaltung der GDPR umfasst:

  • Kontinuierliche Überwachung des Datenzugriffs von Nutzern sowie Ausgabe von Warnmeldungen, wenn Aktivitäten außerhalb des zulässigen Rahmens festgestellt werden
  • Befähigung der Dateneigentümer sowie die Möglichkeit der Durchführung risikobasierter Statusprüfungen der von ihnen verwalteten Daten in Echtzeit
  • Vordefinierte Berichte, die IT- und Compliance-Teams einen schnellen, genauen Überblick über alle Datenzugriffsaktivitäten, Berechtigungsänderungen und potenziell nicht konformen Aktivitäten ermöglichen
  • Detaillierte Audit-Trails für die im Falle einer Datenschutzverletzung erforderliche Forensik
  • Proaktive Vermeidung und sofortige Erkennung von Genehmigungsverstößen
  • Automatisches Provisioning und De-Provisioning
  • Aktivitätsüberwachung, Echtzeit-Warnungen sowie Behebungsmaßnahmen (Remediation)

Um die Herausforderungen der DSGVO zu bewältigen, müssen Sie nicht Compliance-konforme Datenzugriffe in Echtzeit einschränken sowie Ihre Bewertung der Datenschutzauswirkungen (Data Protection Impact Assessment/DPIA) mit maximaler Effizienz ausführen können. Die Integration von Identity-Kontext in die vorhandenen Sicherheitsvorkehrungen Ihres Unternehmens erhöht deren Effektivität und kann außerdem dazu genutzt werden, bösartiges Verhalten bereits im Ansatz zu stoppen. Durch die Weiterleitung von Warnmeldungen und Ereignissen an andere Sicherheitsinfrastrukturen, wie z. B. ein Security Information and Event Management (SIEM)-System, ermöglicht dieser Identity-Kontext einen besseren Einblick in harmloses, konformes Verhalten im Gegensatz zu tatsächlich abweichendem, bösartigem Verhalten. Der Identity-Kontext verschafft Sicherheitsanalysten und Security-Teams den nötigen Einblick, um die wichtigsten Sicherheitsprobleme anzugehen und gleichzeitig den Aufwand zu minimieren, der sonst für die Eliminierung falsch positiver Ergebnisse erforderlich ist. Identity Management und Identity Governance von SailPoint integrieren Sicherheit direkt in Ihre Prozesse, statt diese nur aufzusetzen – damit schaffen Sie die die Grundlage für ein effizientes und gleichzeitig sicheres Arbeiten in Ihrem Unternehmen.  

Unser Fazit

Die DSGVO ist ein grundlegend neuer Ansatz, der den Datenschutz nicht aus Unternehmenssicht, sondern aus der Sicht des Verbrauchers betrachtet. Das kann für Unternehmen, die in irgendeiner Form Geschäfte mit der EU tätigen, enorme Herausforderungen mit sich bringen. Stellen Sie die Identity Governance in den Mittelpunkt Ihrer Sicherheitsstrategie, denn dann verfügen Sie über alle Mittel und Möglichkeiten für den wirksamen Schutz von Kundendaten gegen unberechtigte Zugriffe und die Minimierung von Risiken durch Datenschutzverletzungen.

Nicht zuletzt aufgrund der DSGVO müssen Unternehmen heute einen vollständigen Überblick darüber haben, wo Kundendaten wirklich sind – unabhängig davon, ob sich diese Daten in einer Datenbank, einer Excel-Tabelle, einem Portal oder in der Cloud befinden. Mit Repositorys wie File Shares und Boxen kann Ihr Unternehmen die Transparenz und die Kontrolle darüber erhöhen, wer Zugriff auf welche Daten, Informationen und Dokumente hat und wie dieser Zugriff tatsächlich genutzt wird. Dafür ist ein ganzheitlicher Ansatz ist erforderlich, der sowohl die Planung und Prozesse als auch Technologien umfasst.

SailPoint hilft Ihnen dabei, diese Herausforderungen zu meistern! Wir stellen Ihnen Tools bereit, mit denen Sie Sicherheit integrieren, sofort reagieren, GDPR- Compliance erfolgreich implementieren und gleichzeitig den Aufwand in Ihrem Unternehmen deutlich reduzieren können.

Find out how SailPoint can help your organization.

*required field