Die DSGVO und ihr „Stand der Technik“

Wie können wir sicher sein, dass wir die durch die europäische Datenschutzgrundverordnung geforderten technischen und organisatorischen Maßnahmen korrekt ergriffen haben? Einerseits ist es Aufgabe des bestellten Datenschutzbeauftragten (DSB), dies zu überprüfen, andererseits gibt es ein paar Eckpfeiler, die sichergestellt sein müssen:

• Hat eine Feststellung des Schutzbedarfes der zu verarbeitenden Daten stattgefunden?
• Sind am Schutzbedarf orientierte technische und organisatorische Maßnahmen (TOM) definiert, umgesetzt und dokumentiert worden?
• Entsprechen die technischen und organisatorischen Maßnahmen dem Stand der Technik?

Was ist denn unter dem Stand der Technik zu verstehen? Da diese Bezeichnung von zentraler Bedeutung für die qualitative Bewertung der Technisch-Organisatorischen Maßnahmen, kurz TOM, ist, sollte sie genauer untersucht werden. Zum Glück gibt es eine regelmäßig aktualisierte Handreichung zu genau diesem Begriff im Rahmen des alten IT-Sicherheitsgesetzes und der DSGVO vom Bundesverband IT-Sicherheit (TeleTrusT).

Die Definition des Standes der Technik in der DSGVO

Das Durcharbeiten dieses 70-seitigen Dokumentes können wir Ihnen nicht abnehmen – nur im Rahmen eines gemeinsamen DSGVO-Beratungs- und Umsetzungsprojektes – aber zur Verdeutlichung der Relevanz und des Nutzens sei gesagt, dass die Inhalte zwar sehr gründlich bis wissenschaftlich erarbeitet sind. Die Nachvollziehbarkeit und Umsetzbarkeit sind dennoch klar und gut.

Aus der Begriffsdefinition:

Das Technologieniveau „Stand der Technik“ ist angesiedelt zwischen dem innovativeren Technologiestand „Stand der Wissenschaft und Forschung“ und dem bewährten Technologiestand „allgemein anerkannten Regeln der Technik“. Diese drei Technologiestände werden von den Kategorien „allgemeine Anerkennung“ und „Bewährung in der Praxis“ flankiert.

Im Laufe der Zeit erlebt jedes Produkt oder Maßnahme eine Entwicklung vom Stand der Wissenschaft und Forschung über den Stand der Technik bis zur allgemeinen Anerkennung. Diese Kategorien verdeutlichen nochmal, dass Sicherheit auch und gerade in der Definition der DSGVO keine einmalige Sache, sondern ein fortlaufender Prozess ist. Der Stand der Technik ändert sich und so müssen die technischen und organisatorischen Maßnahmen angepasst und aktualisiert werden, um den gesetzlichen Anforderungen zu genügen.

Um den geforderten Nachweis nach der Orientierung eigener Maßnahmen am Stand der Technik zu erbringen, reicht es nicht aus, die implementierten Maßnahmen einmalig zu bewerten und durch Installation von sogenannten Patches zu aktualisieren. Ein solcher Nachweis kann nur gelingen, indem die eingesetzte Maßnahme mittels einer transparenten Methode mit den am Markt verfügbaren Alternativen in regelmäßigen Abständen verglichen wird.

Neben der Darstellung der Methodik, die der Bestimmung des Stands der Technik in diesem Dokument zugrunde liegt, folgt dann eine Auflistung der TOM, die zur Sicherstellung der vier Schutzziele Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität geeignet und als Stand der Technik anzusehen sind. Aus diesen kann man sich also bedienen, um die im eigenen Unternehmen anhand der Feststellung der Schutzbedarfe erforderlichen Maßnahmen zu finden.

Ein Beispiel für einen Bereich und eine Maßnahme, die vielleicht nicht unbedingt bewusst sind, wollen wir noch nennen, denn es zeigt, welch gute Hilfestellung das Dokument bietet. Diese Maßnahme ist immer erforderlich, sobald eine datenverarbeitende Anwendung oder Service mit Web-Schnittstelle eingesetzt wird, insbesondere, wenn diese auch von außerhalb des gesicherten Unternehmensnetzwerkes zugegriffen werden kann oder soll. Ein Beispiel ist ein CRM-System, aber auch eine Collaboration Plattform oder ein Intranet können betroffen sein:

3.2.19 Schutz von Webanwendungen

[…]

Gegen welche Bedrohung(-en) der IT-Sicherheit wird die Maßnahme eingesetzt?

Angriffe auf Webanwendungen oder Web Service-Schnittstellen, wie z.B.

• SQL Injection
• Cross Site Scripting (XSS)
• Information Leakage
• Command Injection
• Weitere OWASP Bedrohungen

Welche Maßnahme (Verfahren, Einrichtungen oder Betriebsweisen) wird in diesem Abschnitt beschrieben?

Einsatz einer dem Web Server vorgeschalteten Web Application Firewall (WAF oder WSF).

[…]

Die WAF terminiert den verschlüsselten benutzerseitigen Datenverkehr, analysiert seine Inhalte und leitet als ungefährlich eingestufte Requests verschlüsselt weiter an den Webserver. Schädliche Requests werden blockiert.

Der Betrieb von Web Applikationen ohne die Verwendung einer als Appliance oder virtuell vorgeschalteten WAF kann nicht mehr als Stand der Technik angesehen werden.

Eine WAF sollte folgende Leistungsmerkmale besitzen:

• Log-Daten-Übertragung an SIEM- und Anomalieerkennungs-Systeme mit Ausblendungsmöglichkeit für Passwörter, Kreditkarteninfos etc.
• Fähigkeit zum Cluster-Betrieb für Hochverfügbarkeit und Lastverteilung
• Schutz vor OWASP Top 10 Angriffen, wie SQL Injection, Cross-Site Scripting (XSS) und Directory Traversal über Blacklisting, Whitelisting und Mustererkennung
• Starke Authentisierung der Web-Applikations- bzw. Services-Nutzer
• Session-Management durch eine Prüfung sowie Manipulationsschutz der Session-Cookies
• Broken Access Control verhindert unerlaubten Zugriff auf Pfade (Path Traversal), Dateien oder API-Funktionen
• Filtern von unnötigen http-Headern
• Schutz vor Cross-Site Request Forgery (CSRF) durch Header-Auswertung der http-Requests, z.B. der referer-Information

Welche Schutzziele werden durch die Maßnahme abgedeckt?

[X] Verfügbarkeit

[X] Integrität

[X] Vertraulichkeit

[X] Authentizität

Neben der Herleitung der Notwendigkeit auf Basis der gesetzlichen Vorgaben wird das Dokument also sehr konkret. Es bietet über die reine Feststellung hinaus, dass gewisse Maßnahmen zu ergreifen sind, entsprechen-de Kriterien und durch die regelmäßige Aktualisierung auch den nötigen Rhythmus für Bewertung und Auswahl von Maßnahmen und Lösungen. Diese fachliche Tiefe und konkrete Unterstützung entspricht auch unserem Ansatz in der Beratung und Umsetzung von Projekten, in denen wir Sie und Ihr Unternehmen fit machen für die kommenden Überprüfungen zur DSGVO.