Blog Home Topics: GDPR

Wie WAF und DDoS die Einhaltung der Datenschutz-Grundverordnung erleichtern

Jan 18, 2017 | Radware
Wie WAF und DDoS die Einhaltung der Datenschutz-Grundverordnung erleichtern Von Pascal Geenens
 
Daten sind die Währung der digitalen Wirtschaft, das Erdöl des 21. Jahrhunderts. Personenbezogene Daten sind unser Kapital, geschaffen durch unsere Identitäten und unser Verhalten und weitergegeben im Austausch gegen eine bessere Dienstleistungs- und Produktqualität. Das Bindeglied in diesem zweiseitigen Markt, in dem Daten von Verbrauchern gesammelt und Werbefenster an Unternehmen verkauft werden, sind Online-Plattformen. Im Tausch für unsere Daten erhalten wir scheinbar kostenlos Leistungen.
 
Das Wachstum und die Marktkapitalisierung von Anbietern sozialer Plattformen wie Facebook oder Suchmaschinen wie Google zeigen, welchen Wert diese Daten haben. Personenbezogene Daten eröffnen auch neue Wege, um mit Dienstleistungen Geld zu verdienen. So ist es für Nachrichtenanbieter schwierig, für digitale Nachrichten „echtes“ Geld zu verlangen – also nutzen sie unsere Bereitschaft, ein paar „kostenlose“ News mit unseren persönlichen Daten zu bezahlen. Drei von vier Personen bevorzugen eine kostenlose Registrierung mit selektivem Zugriff gegenüber einer kostenpflichtigen Anmeldung mit Vollzugriff.
 

Wo es etwas zu holen gibt, sind Kriminelle nicht weit

Auf Facebook geteilte Informationen über unseren Aufenthaltsort, das Bild auf Instagram mit unseren aktuellen GPS-Koordinaten in den Metadaten, die Suche nach einem Restaurant mit Foursquare. Schnell noch ein Bild des neuen Autos auf Facebook gepostet. Aber haben Sie auch daran gedacht, das Nummernschild zu verpixeln? Ein Foto von der Familienfeier im Restaurant, die Kreditkarte auf dem Tisch… Das sind nur ein paar Beispiele für soziale Informationen und Datenlecks, die Diebe für sich nutzen können.
 
 
Computerkriminalität nimmt weiter zu, und der ökonomische Nutzen der Datenkriminalität, ganz gleich ob durch den Verkauf personenbezogener Daten oder Erpressung, zahlt sich mehr als aus. Das Abgreifen und Weitergeben personenbezogener Datensätze kann den Wert eines Unternehmens mindern (der Yahoo!-Hack) oder das Vertrauen der Kunden zerstören. Allein 2016 wurden knapp 3.000 Datenpannen und der Diebstahl von über 2,2 Mrd. Datensätzen gemeldet. Und damit nicht genug, gleich zu Beginn des neuen Jahres wurden 1,5 Mio. Benutzerdatensätze öffentlich gemacht, nachdem die E-Sports Entertainment Association (ESEA) die Zahlung eines Lösegelds in Höhe von 100.000 US-Dollar verweigert hatte.
 

Die allgemeine Datenschutzverordnung

Im Januar 2012 schlug die Europäische Kommission eine umfassende Reform des EU-Datenschutzrechts vor. Die Datenschutz-Grundverordnung (GDPR) ist die größte Reform des Datenschutzrechts der vergangenen 20 Jahre. Der neue Regelsatz soll EU-Bürgern die Kontrolle über ihre personenbezogenen Daten zurückgeben und für Unternehmen das regulatorische Umfeld durch EU-weite Einheitlichkeit vereinfachen. Die am 25. Mai 2018 in Kraft tretende Verordnung bietet Schutz hinsichtlich der Verarbeitung personenbezogener Daten und dem freien Datenverkehr.
 

Neue Möglichkeiten für Unternehmen

Marktforschungen zeigten in den letzten Jahren einen Vertrauensverlust und eine zunehmende Sorge um den Schutz und die Verarbeitung der eigenen Daten. Dies dürfte auch Auswirkungen auf das zukünftige Wachstum digitaler Technologien haben. Für EU-Bürger bedeutet die Datenschutz-Grundverordnung eine Stärkung ihrer individuellen Rechte, während Unternehmen die Chance haben, das Vertrauen der Verbraucher wiederzugewinnen. Damit schafft die GDPR neue Geschäftsmöglichkeiten für kleine und große Unternehmen innerhalb und außerhalb der EU und ebnet europäischen Cloud-Anbietern den Weg, um innerhalb des EU-Marktes mit den Großen der Branche – etablierten, weltweit tätigen Cloud-Service-Providern – konkurrieren zu können. Dank der neuen Regelung müssen in der EU tätige Unternehmen nur noch die Vorgaben einer Aufsichtsbehörde und einer Verordnung erfüllen. Das spart Kosten und fördert die Wirtschaft in der gesamten EU.
 

Maßnahmen zur Umsetzung

Die Kehrseite der Datenschutz-Grundverordnung (GDPR) ist ein völlig neuer Satz gesetzlicher Regelungen und Maßnahmen, die von jeder Organisation, die personenbezogene Daten speichert oder verarbeitet, einzuhalten und umzusetzen sind. „Personenbezogene Daten“ ist dabei im weitesten Sinne zu verstehen und beinhaltet sämtliche Informationen zum privaten, beruflichen und öffentlichen Leben einer Person; dies können ein Name, ein Bild oder eine E-Mail-Adresse sein, aber auch Finanzdaten, Beiträge in sozialen Netzwerken oder die IP-Adresse eines Computers. Der Nichteinhaltung der Datenschutz-Grundverordnung wird mit Zwangsmaßnahmen begegnet, bei Verstößen gegen die Datenschutz-Vorschriften können die Geldbußen bis zu € 20.000.000 bzw. 4 % der jährlichen weltweiten Einnahmen eines Unternehmens betragen. Die GDPR sieht auch Maßnahmen zur Förderung der Rechenschaftspflicht und Steuerung vor; eine Nichteinhaltung kann Geldbußen bis zu € 10.000.000 bzw. 2 % der jährlichen weltweiten Einnahmen nach sich ziehen.
 

Globale Reichweite

Jedes Unternehmen, das in einem oder mehreren EU-Mitgliedstaaten tätig werden oder Geschäfte machen will, muss die Angemessenheit des Datenschutzes belegen – mit anderen Worten, die Datenschutzstandards des Unternehmens müssen ab Mai 2018 gleichwertig mit der EU-Datenschutz-Grundverordnung sein. Damit ist die GDPR praktisch eine globale, weltweit gültige Verordnung und hat Auswirkungen auf Organisationen und Unternehmen rund um den Globus.
 

Was bedeutet das für Internetunternehmen und Cloud-Service-Anbieter?

Für online tätige Unternehmen und Anbieter von Cloud-Services bedeutet GDPR-Compliance, dass die Konzepte „Privacy by Design“ und „Data protection by Design“, also des Datenschutzes durch Technik, bei der Konzeption, Entwicklung, Implementierung und Bereitstellung von Webanwendungen und -dienstleistungen und allen damit verbundenen Komponenten und Diensten zu beachten sind. Die rasche Verbreitung von Cloud-Services bringt zunehmende Bedenken hinsichtlich der GDPR-Fähigkeit dieser Anwendungen und Dienste mit sich. Eine kürzlich von Symantec/Bluecoat durchgeführte Studie zeigt, dass 98 % der heutigen Cloud-Anwendungen noch nicht einmal in der Nähe dessen sind, was man als „GDPR ready“ bezeichnen würde.
 

WAF/DDoS und die Datenschutz-Grundverordnung (GDPR)

Gemäß Erwägungsgrund 39 der Datenschutz-Grundverordnung sollten personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit und Vertraulichkeit der Informationen sichergestellt ist; dies beinhaltet auch den Schutz gegen unberechtigten Zugriff auf sowie die unberechtigte Nutzung von personenbezogenen Daten und die für deren Verarbeitung verwendeten Geräte. Erwägungsgrund 49 geht sogar noch weiter und fordert von Netzwerken und Informationssystemen, zufällige Ereignisse sowie rechtswidrige und böswillige Angriffe abwehren zu können, welche die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der gespeicherten oder übermittelten personenbezogenen Daten gefährden, sowie die Sicherheit der zugehörigen Dienstleistungen, welche von oder über diese Netzwerke und Systeme angeboten werden bzw. verfügbar sind. Wörtlich heißt es dort: „Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.“
 
Die meisten Unternehmen müssen daher dringend die Sicherheit öffentlicher Anwendungen und Dienstleistungen in puncto Data Leak Prevention (DLP), Zugangskontrolle, Abwehr webbasierter Angriffe sowie DDoS-Abwehr verbessern. Führende Anbieter von Cloud- und On-Premise-Web-Applikations- und API-Schutz sowie von nach Bedarf aktivierbaren und ständig aktiven cloudbasierten und hybriden Anti-DoS-Lösungen können diesen akuten Bedarf angemessen abdecken. Ein vollständig gemanagter WAF- und DDoS-Cloud-Service ist eine Möglichkeit, um eine der gesetzlichen Vorschriften ohne großen Aufwand umzusetzen und GDPR-Compliance problemlos zu erreichen.


Pascal Geenens
Als Cyber Security Evangelist für Radware unterstützt Pascal die Vordenkerrolle des Unternehmens in der aktuellen Bedrohungslandschaft für die Regionen EMEA sowie Zentral- und Lateinamerika. Pascal Geenens verfügt über mehr als zwanzig Jahre Erfahrung in vielen Aspekten der Informationstechnologie. Seinen Abschluss in Bauingenieurwesen der Freien Universität Brüssel machte er mit dem Spezialgebiet Elektronik und einer Abschlussarbeit im Parallel Computing. Vor seiner Tätigkeit bei Radware war Pascal als beratender Ingenieur bei Juniper für die größten Cloud-Anbieter tätig sowie als unabhängiger Berater für die Entwicklung von Sensornetzwerken, die Automatisierung und Entwicklung von SPS-Systemen sowie Sicherheitsinfrastruktur- und Software-Auditing zuständig. Zudem trat er bei den IBM EMEA-Konferenzen regelmäßig als Referent zu den Themen Perl- und AIX-Kernel-Entwicklung auf.

 

Neueste Blogeinträge

Im Chat mit IoT-Bots
Aug 01, 2017

Im Chat mit IoT-Bots

Radware
© 2008-2017 Radware, Ltd. All rights reserved.