Das Datenschutzmanagement liegt an der Schnittstelle zwischen Informationssicherheit, Datenmanagement und Analytik, ist jedoch mehr als die Summe seiner Teile.
In Informationssicherheitskreisen ist es seit langem ein Streitpunkt, dass Compliance nicht gleich Sicherheit ist. Verheerende Datenschutzverletzungen und Angreifer, die Zugriff auf sensible Daten in Unternehmen erlangen, die als konform mit den PCI-DSS-Anforderungen oder anderen Vorschriften gelten, stützen dieses Argument. Aber gilt dieser Zusammenhang auch für die Governance und das Management von Kundenidentitätsdaten und die Informationssicherheit? Die Antwort lautet ja, allerdings aus ganz anderen Gründen.
Eines dieser Dinge ist nicht wie das andere
Compliance-Anforderungen lassen sich besser als Teilaspekt der Informationssicherheit verstehen: Sie bilden die Grundlage für angemessene Sicherheit – oder, was Zyniker als kleinsten gemeinsamen Nenner bezeichnen würden. Da zudem die Geschwindigkeit, mit der Compliance-Anforderungen oder andere Vorschriften eingeführt werden, und die rasante Verbreitung neuer Angriffe nicht harmonieren, bleiben die spezifischen technischen Details der Compliance-Anforderungen oft hinter den Maßnahmen zurück, die zur wirksamen Eindämmung von Bedrohungen und zur Verhinderung von Angriffen erforderlich sind.
Beim Datenschutzmanagement und dem Schutz von Kundenidentitätsdaten geht es nicht nur darum, zu prüfen, ob angemessene Sicherheitskontrollen vorhanden sind, sondern auch, wie diese umgesetzt werden, um bestimmte Datentypen vor unbefugtem Zugriff zu schützen. In diesem Sinne ergänzt die Verwaltung und der Schutz privater Daten die Informationssicherheitsinfrastruktur und -prozesse besser als herkömmliche Compliance-Maßnahmen.
Dies bedeutet auch, dass ein Unternehmen zwar sicher sein kann, aber dennoch gegen Datenschutzbestimmungen verstoßen könnte – das genaue Gegenteil der Beziehung zwischen PCI-DSS-Konformität und Informationssicherheit. Ein weiteres Unterscheidungsmerkmal ist, dass die Erwartungen der Verbraucher an den Datenschutz – und nicht nur an die Datensicherheit – schneller gewachsen sind als die Umsetzung von Vorschriften, einschließlich neuer Bestimmungen zur Datenspeicherung im Rahmen von Safe Harbor 2.0.
Hier liegt ein weiterer wichtiger Unterschied: Unternehmen verfügen über klar definierte Prozesse, um zu bestimmen, welche Systeme und Daten unter die Compliance-Vorgaben fallen. Die Definition der datenschutzrelevanten Kundendaten ist hingegen weit weniger ausgereift. Diese Herausforderung ist vielschichtig: Unternehmen müssen ermitteln, wo sich die Daten befinden, und anschließend festlegen, welche Vorschriften wie HIPAA, interne Datenschutzrichtlinien und Datenspeicherung für die Daten gelten. Diese Anforderungen werden durch die zunehmende Verbreitung von Big-Data-Plattformen in den Unternehmen, die durch Trends wie die digitale Transformation und neue Vorschriften vorangetrieben wird, die auf Silos von Identitätsdaten abzielen, die aufgrund isolierter Kunden- oder Patientenbindungsinitiativen entstanden sind, zusätzlich erschwert.
Risiko ist nicht Instagram-Viewer privat immer binär
Es ist eine Binsenweisheit, dass man nichts schützen kann, was man nicht weiß. Insbesondere wenn man bedenkt, dass der Zugriff auf private Kundendaten unter bestimmten Umständen erlaubt sein kann, unter anderen jedoch nicht. Viele Unternehmen pflegen beispielsweise Beziehungen zum Datenaustausch mit Dritten oder nutzen Daten von Dritten über APIs. Die in beide Richtungen übertragenen Daten könnten unter Bedingungen gesammelt worden sein, die nicht mit internen Richtlinien vereinbar sind oder gegen die Bestimmungen zur Datenspeicherung verstoßen. Ohne Transparenz bei der Übertragung privater Daten und ohne eine Möglichkeit, das damit verbundene Risiko zu bewerten, sind Informationssicherheitstools nur bedingt bis gar nicht nutzbar.
Im Idealfall würden Informationen und Risikoanalysen über mögliche Verstöße gegen den Datenschutz von Kunden, sei es durch interne oder externe Akteure, die Umsetzung der Sicherheitsmaßnahmen beeinflussen. Informationssicherheitstools – einschließlich Identitäts- und Zugriffsmanagement sowie Datensicherheit – basieren auf einem binären Modell: Entweder Sie sollten Zugriff haben oder nicht. Verhaltensanalysen können zwar ungewöhnliche Aktivitäten erkennen, können aber keine Informationen nutzen, um mögliche Verstöße gegen Datenschutzrichtlinien zu erkennen.
Um eine effektive Durchsetzung zu gewährleisten, müssen Sicherheitstools wissen, wo und wonach sie suchen müssen. Datenschutzrisiken und Informationen zur Nutzung im Kontext der Datenschutzanforderungen runden den Kreis ab.
@bigidsecure | www.bigid.com
Autor
