Sie sind hier: Home » Fachartikel » Entscheidungshilfen

GDPR - praktische Tipps zur Compliance


GDPR aus Sicht des Identity und Access Managements
Die Kontrolle über die eigenen Daten war bereits in der vorherigen Richtlinie formuliert worden, wird aber zunehmend wichtiger



Von Petteri Ihalainen, GlobalSign

Vor kurzem haben wir einen eher allgemeinen Blick auf die neue Datenschutz-Grundverordnung (GDPR) geworfen, die von der Europäischen Kommission vorgeschlagen wurde. Hier nun die versprochene Fortsetzung. Fangen wir ausnahmsweise ein Mal mit einem Disclaimer an. Dieser Blog ist keine erschöpfende Liste von Beispielen, wie man Compliance erreicht. Wir werden die GDPR aus Sicht des Identity und Access Managements betrachten und erläutern, wo IAM helfen kann, sich dem Sinn und der in der Verordnung liegenden Absicht anzunähern.

GDPR, eine kleine Auffrischung
Bevor wir mehr ins Detail gehen wollen wir sicherstellen, dass Sie mit den Inhalten der GDPR vertraut sind. Einige Details finden Sie im angesprochenen Blog und auch die sehr ausführliche Zusammenfassung der IAPP bietet sich zur Lektüre an.

Eine aktuelle Studie von Trend Micro hat nämlich gezeigt:
• >> 20 Prozent der IT-Entscheider im Vereinigten Königreich kennen die GDPR nicht
• >> 29 Prozent gingen davon aus, dass die GDPR für ihr Unternehmen nicht gilt

Das sind einigermaßen beunruhigende Zahlen. Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, das heißt, wenn Sie Kunden haben, müssen Sie auch einen Blick auf die GDPR werfen. Es wäre nicht schlecht, eine ähnliche Umfrage bei IT-Entscheidern von Unternehmen außerhalb der EU durchzuführen, da die GDPR für alle Unternehmen gelten wird, die a) EU-Bürgern Waren oder Dienstleistungen anbieten oder b) das Verhalten von EU-Bürgern überwachen.

Kommen wir zu den praktischen Beispielen für einige der wichtigsten Ziele der GDPR. Der überwiegende Teil der GDPR bezieht sich auf Verfahren und Vereinbarungen. Aber Technologien zur Informationssicherheit spielen eine gewichtige Rolle wenn Unternehmen die Verordnung einhalten wollen. Die Verordnung ist lang, sie ist kompliziert, und niemand weiß bisher, wie die Klauseln tatsächlich vor Gericht interpretiert werden. Unsere Vorschläge richten sich an Unternehmen und Personen, die allgemein mit dem Thema Datenschutz zu tun haben. Man muss nicht aus der EU sein, um von diesen Tipps zu profitieren. Ein Unternehmen kann sich durchaus einen Wettbewerbsvorteil verschaffen oder Compliance erlangen, unabhängig vom Standort. Wir werden versuchen, einige der Vorteile von IAM auf die zentralen Themen der GDPR zu beziehen.

Konsolidierung
Im Laufe der Jahre sind wir Kunden begegnet, die mehrere Datenbanken betrieben und die Kundendaten an verschiedenen Orten gespeichert, bearbeitet und verwaltet haben. Bei allen hat der Übergang zu einem harmonisierten und einheitlichen Ansatz bei externen Identitäten zu teils erheblichen Kosteneinsparungen geführt. So konnten Unternehmen die Support- und Wartungskosten für verschiedene Systeme reduzieren und damit die Verwaltungsaufgaben vereinfachen.

Ein Beispiel: Ein großer internationaler Anbieter, der in unterschiedlichen Branchen tätig ist und mehrere Marken innehat. Er bietet Dienstleistungen und Waren an, und zum Portfolio gehören Lebensmittelgeschäfte, Hotels und Restaurants, Autowerkstätten und Tankstellen, Baumärkte, Catering-Unternehmen und so weiter. Einige davon sind unter einer einheitlichen Marke tätig, einige andere sind im Laufe der Jahre durch Übernahmen oder aus anderen Gründen unter einer anderen Dachmarke zusammengefasst worden. Viele der betreffenden Branchen verfügen über eigene Online-Dienste.

Die GDPR umreißt einige der Themen, die sich auf die Konsolidierung von Benutzerdaten beziehen. Wenn wir das obige Beispiel verwenden und bedenken, dass die datenverarbeitende Stelle die Unternehmenseinheit ist, die alle diese Marken und Branchen betreibt, entstehen deutliche Vorteile durch die Konsolidierung der Benutzerdaten.

Recht auf Löschung
Das Recht auf Löschung ist eines der einfachsten zu wählenden Themen. Wenn Sie Ihre Benutzerdaten konsolidiert haben, ist es einfacher, die Forderung des Endnutzers zu erfüllen, seine Daten zu löschen.

Benutzerkontrolle über eigene Daten
Die Kontrolle über die eigenen Daten war bereits in der vorherigen Richtlinie formuliert worden, wird aber zunehmend wichtiger. Ohne Konsolidierung und ein einheitliches Identity und Access Management müssten die Endbenutzer ihre eigenen Daten bei jedem Online-Dienst separat registrieren und verwalten. Das führt beim Kunden leicht zu Frustration. Im Sinne der GDPR wäre es besser wenn es nur einen einzigen Ort gibt, an dem die betreffenden Benutzer ihre Daten verifizieren und verwalten.

Datenportabilität
Wollen Benutzer den Anbieter wechseln und ihre Daten mitnehmen, wird das ungleich einfacher, wenn die Daten bereits konsolidiert sind. Datenportabilität gehört ebenfalls zu den Anforderungen der GDPR.

Intelligentes Identity-Single-Sign-On und Federation
Einer der Bereiche, wo sich leistungsfähige Produkte von Identitätsanbietern hervor tun, ist die Autorisierung. In einer normalen Umgebung betreiben Unternehmen, wie der zuvor genannte Anbieter, verschiedene Online-Dienste für ihre Kunden. Diese sollten mit dem zentralen Identitätsanbieter verbunden sein. Das optimale Szenario wäre dabei natürlich, wenn sich der Endbenutzer nicht mehrmals einloggen müsste, sondern dass er sich in Single-Sign-on-Weise zwischen den Diensten hin- und herbewegen kann.

Der Identitätsanbieter übernimmt dabei drei verschiedene Bereiche:
1. Er muss sich um die Authentifizierung der Endnutzer (Betroffene) kümmern
Je nach Art und Zweck des betreffenden Online-Dienstes lassen sich unterschiedliche Authentifizierungsmethoden implementieren. Ein Log-in auf einer Shop-Site kann niedrigeres Level of Assurance (LoA)-Verfahren verwenden als beispielsweise eine Website für Online-Banking.

2. Er muss den richtigen Satz Identitätsattribute des Users an den Online-Dienst senden
Je nach der Art des Online-Dienstes, variieren die benötigten Attribute. Der Identitätsanbieter kümmert sich darum, dass der erforderliche Mindestsatz an den Online-Dienst gesendet wird und nicht der ganze Katalog von möglicherweise verfügbaren Attributen. Dies ist besonders wichtig, wenn die Identität die Grenzen des EWR überschreitet. Der Satz von Identitätsattributen kann auch Informationen enthalten, denen der Benutzer zur Profilerstellung widersprochen hat - dies kann der Betroffene gemäß der GDPR jederzeit tun; auch dann, wenn er vorher seine ausdrückliche Zustimmung gegeben hat.

3. Er muss das neue, von der GDPR eingeführte, Konzept der Pseudonymisierung erleichtern
Auch wenn der Identitätsanbieter Zugang zu Benutzerdaten im Klartext-/identifizierbaren Format haben kann, was in vielen Fällen erforderlich ist, kann eine Autorisierungsrichtlinie erstellt werden, bei der der Identitätsanbieter dafür sorgt, dass die Datenattribute "verschlüsselt" werden, damit die verschickten Daten als nicht identifizierbar erachtet werden.

"Ja, ich stimme zu”
Die neue Verordnung erfordert in bestimmten Fällen die eindeutige Zustimmung der User. Die Definition eindeutig ist allerdings quasi ein wenig zweideutig. In bestimmten Fällen ist die ausdrückliche Zustimmung erforderlich. Hier kommt die Rolle der Familie ins Spiel. Bei manchen Fragen im Zusammenhang mit Kindern ist die Zustimmung eines Elternteils erforderlich und in einigen Fällen sollte die Familie gerade nicht einbezogen werden. Die Quintessenz ist, dass Zustimmung in der Verordnung auftaucht und Sie überlegen sollten, wie Sie sie umsetzen wollen und wie Sie die Endbenutzer ihre Zustimmungen verwalten lassen.

Self-Service-Schnittstellen
Über Self-Service-Schnittstellen können Benutzer ihre Identitätsattribute sowie die von ihnen gegebenen Einwilligungen verwalten. Wenn Unternehmen absolut sicher sein müssen, dass eine eindeutige Zustimmung gegeben wurde, können IAM-Produkte eingesetzt werden, um den Endbenutzer zu stoppen, z.B. während des Federation-Prozesses, wenn sie von einem Dienst/einer Domäne zu einem/einer anderen wechseln und ihre Identitätsattribute ihnen folgen.

Benutzerorientierte Federation
Die sogenannte "User Driven Federation (benutzerorientierte Federation)" (UDF) ist eine Technologie, die verwendet wird, um zwei oder mehr unterschiedliche Identitäten zu kombinieren. Ein Beispiel ist es, eine Identität der sozialen Medien mit der vorhandenen Anbieteridentität zu kombinieren und dem Endbenutzer eine sehr bequeme Möglichkeit an die Hand zu geben, mit den sozialen Identitäten Zugang zu einem Dienst zu erhalten. Während des Verbindungsaufbaus können Benutzer gestoppt werden, und sie müssen für diesen speziellen Vorgang ihre Zustimmung erteilen (die sie später widerrufen können, wenn sie dies wünschen).

IAM-Produkte zur Verwaltung der Autorisierung
IAM-Produkte wie die CustomerID-Tools von GlobalSign verwalten Autorisierung oder Zustimmung. In einer Familiensituation kann sich ein Elternteil einfach in das Verwaltungsportal einloggen und seinen Kindern die Autorisierung geben. Aber noch viel besser passt dieser Ansatz in eine B2B-Umgebung, innerhalb derer Kunden von Online-Dienstanbietern ihre Autorisierungen selbst verwalten können. Ein Vorgesetzter kann einen Mitarbeiter autorisieren, Zugang zum Dienst des Anbieters in einer bestimmten Rolle zu haben.

Wenn der Mitarbeiter diese Verantwortung akzeptiert, loggt er sich in das CustomerID-Portal ein und akzeptiert diese Autorisierung ausdrücklich – alle Aktionen hinterlassen eine Spur in den Protokollen. Diese Autorisierungen kann entweder der Mitarbeiter, der Vorgesetzte oder der Anbieter selbst widerrufen. Mit der CustomerID können die Zugangsberechtigung und die Daten an eine im CRM gespeicherte Vertragsinformation gebunden werden. Wenn der Vertrag ausläuft, können Zugangsberechtigungen und die Daten gegebenenfalls gelöscht werden.

Die GDPR ist nicht die einzige regulatorische Änderung, auf die Unternehmen achten müssen. Die Richtlinie über Zahlungsdienste 2 kann ihr operatives Geschäft betreffen, eIDAS schafft ein Rahmenwerk für grenzüberschreitende digitale Identitäten und für die neue Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) werden jetzt Stellungnahmen eingeholt. Identity und Access Management kann einem Unternehmen dabei helfen, bestimmte Teile dieser Vorschriften zu erfüllen. Kontaktieren Sie uns, um mehr zu erfahren. (GMO GlobalSign: ra)

eingetragen: 24.05.16
Home & Newsletterlauf: 20.06.16

GMO GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen