15.10.2018

So lassen sich IT-Sicherheitsmaßnahmen automatisieren

IT-Lösungen ersetzen zwar keinen Datenschutz-Experten. Aber sie unterstützen Unternehmen, die Datenschutz-Grundverordnung (DSGVO / GDPR) langfristig einzuhalten. Was ist möglich?

Sicherheitsmaßnahmen automatisieren

IT-Lösungen, die automatisch prüfen

In der IT-Sicherheit gewinnt die Security Automation, also das Automatisieren von IT-Sicherheitsmaßnahmen, zunehmend an Bedeutung. Hiergrund ist zum einen der Fachkräftemangel. Zum anderen ist es nötig, schnell und zuverlässig zu reagieren, kommt es zu einem Sicherhheits-Vorfall.

Wie sieht es hier im Datenschutz unter der Datenschutz-Grundverordnung (DSGVO / GDPR) aus? Artikel 32 DSGVO nennt unter den Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen“.

Gerade bei solchen regelmäßigen Prüfungen und Kontrollen können softwarebasierte Werkzeuge helfen. Aber nicht nur dort: Auch bei einer Datenschutz-Verletzung, wenn es darum geht, Meldefristen gegenüber der zuständigen Aufsichtsbehörde einzuhalten, sind sie sinnvoll.

Beispiele

Zwei Beispiele illustrieren das:

  • Die Micro Focus File Governance Suite verwaltet Netzwerk-Dateisystemen. Bestimmte Verwaltungs-Aufgaben an den Dateisystemen lassen sich dabei automatisieren.
    • Zu der Suite gehört der Micro Focus File Reporter. Das ist ein Tool, das Netzwerk-Dateisysteme analysiert und Dateispeicherinformationen bereitstellt, um Netzwerke zu optimieren und sicherer zu gestalten.
    • Die Suite  identifiziert laut Anbieter sensible Dateien und überträgt sie auf einen sicheren Speicher, um sie vor unautorisierten Benutzern zu schützen.
    • Die Lösung definiert Richtlinien, um sensible Dateien automatisch zu bereinigen, zu migrieren, zu achivieren und zu löschen.
  • Code42 Forensic File Search erlaubt es laut Anbieter den Sicherheits-, IT- und Compliance-Teams, bei einer Datenpanne alle Endpunkte im gesamten Unternehmen innerhalb von kurzer Zeit auf Datei-Aktivitäten zu durchsuchen.
    • Gehen Dateien verloren, hat das Tool Recovery-Funktionalitäten, um Datei-Ereignisse, Logs und Metadaten-Details zu sammeln, inklusive MD5-Hashwerte, Datumsbereiche sowie Dateitypen und Pfade.
    • Es kann Dateiversionen daraufhin durchsuchen, ob sie zu einem bestimmten Datum und Zeitpunkt auf einem Gerät waren. So lässt sich feststellen, ob personenbezogene oder andere sensible Daten betroffen waren. Und es unterstützt die notwendige Wiederherstellung der Daten im Fall einer Datenschutz-Verletzung.
    • Außerdem erleichtert es die Meldepflichten an die Aufsicht.

Auch Automatisierung prüfen

Dies sind nur zwei Beispiele von vielen. Es ist zu erwarten, dass viele weitere IT-Sicherheitslösungen auch Aufgaben des Datenschutzes adressieren und zumindest teilweise automatisieren.

Eine Überprüfung daraufhin, ob die Maßnahmen wirksam sind, machen die Lösungen aber nicht überflüssig. Denn eine Automatisierung ist nicht automatisch erfolgreich und fehlerfrei.

Es bleiben also weiterhin viele Kontrollaufgaben bei den Datenschutzexperten. Aber eine gewisse Entlastung ist möglich.

Daueraufgabe DSGVO

Dass diese Entlastung dringend nötig ist, zeigt etwa eine Umfrage des Digitalverbands Bitkom: Sechs von zehn Unternehmen (61 Prozent) in Deutschland gaben an, dass Datenschutzexperten sehr schwer zu rekrutieren sind. Die Datenschutz-Grundverordnung hat den Bedarf an qualifiziertem Personal rapide ansteigen lassen, so die Umfrage.

Dieser Mangel an Datenschutzexperten gehört nicht nur zu den Engpässen, die bei der Vorbereitung auf die DSGVO aufgetreten sind. Der Fachkräftemangel in Datenschutz und IT-Sicherheit ist ein langfristiges Problem. Auch nach dem 25. Mai 2018 ist die DSGVO ein entscheidendes Thema für die Unternehmen. Denn es gilt nun, die Lücken zu schließen und dann die DSGVO-Compliance zu halten.

Aufgaben wie die erweiterten Informationspflichten, Einwilligungen richtig einzuholen und zu dokumentieren, die Meldepflichten oder den Datenschutz bei der Suche nach neuen Diensten und Produkten zu berücksichtigen, sind regelmäßige Aufgaben.

Entlastung durch automatische Prozesse

Immer wenn es um Fachkräftemangel geht, kommt das Thema Automatisierung zur Sprache. Das Problem hierbei besteht allerdings darin, dass sich die Automatisierung von Tätigkeiten, die Expertenwissen erfordern, nicht so leicht darstellt.

Es gibt zwar bereits erste Lösungen, die etwa Datenschutzerklärungen prüfen. Sie nutzen Machine Learning (ML) und Künstliche Intelligenz (KI). Doch der Mangel an Datenschutzexperten lässt sich nicht einfach durch Software-Werkzeuge beheben.

Vielmehr stehen Ausbildung, Fortbildung und die Datenschutz-Dienstleister (externe Datenschutzbeauftragte) im Vordergrund. Trotzdem können bestimmte Software-Werkzeuge wie die oben vorgestellten sinnvoll sein, um bei einigen Aufgaben zu entlasten.

Lesen Sie auch die anderen Teile unserer Serie zu DSGVO-Tools:
Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)