Funktionen
Zuhause » SOX-Compliance

Erfüllen Sie Anforderungen der EU-DSGVO
mit DataSecurity Plus

Im täglichen Betrieb verarbeiten Organisationen gewaltige Mengen an personenbezogenen und vertraulichen Daten. Um das Risiko eines Datensicherheitsverstoßes zu reduzieren und betroffene Personen (sog. Data Subjects) mehr Kontrolle über ihre personenbezogenen Daten zu geben, schreibt die Datenschutz-Grundverordnung (DSGVO) das Folgende vor:

  • Implementierung hoher Standards für den Datenschutz bei Speicherung, Verarbeitung und Nutzung.
  • Erfüllung von Anfragen der Betroffenen zur Nutzung ihrer personenbezogenen Daten.
  • Umsetzung robuster technischer und organisatorischer Maßnahmen, um für die Sicherheit der verarbeiteten sensiblen, personenbezogenen Daten zu sorgen.

ManageEngine DataSecurity Plus hilft Ihnen dabei, einige dieser Anforderungen umzusetzen. Damit können Sie das Vorhandensein und den Speicherort sensibler Daten erkennen, die zugehörigen Risiken analysieren und Datenlecks bzw. Diebstahl geschäftskritischer Informationen verhindern – also nicht nur vertraulicher personenbezogener Daten.

Verkürzen Sie Ihren Weg zur DSGVO-Compliance mit DataSecurity Plus

Sehen wir uns einige zentrale Artikel der DSGVO an, und wie Sie diese Anforderungen mit DataSecurity Plus ganz einfach einhalten können:

Was der DSGVO-Artikel besagt: Was Sie tun müssen: Wie DataSecurity Plus Sie dabei unterstützt:

Artikel 5(1)(c)

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).

 Entfernen Sie redundante, veraltete oder triviale Daten, z. B. unnötige Dateien aus Ihrem Dateispeicher. Sucht und löscht Junk-Daten, darunter überholte, doppelte und verwaiste Dateien. Hilft Ihnen dabei, nur erforderliche und relevante Daten zu speichern.

Artikel 5(1)(f)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, (...) einschließlich Schutz (...) vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“).

 Ergreifen Sie angemessene technische und organisatorische Maßnahmen, um die Integrität, Sicherheit und Vertraulichkeit personenbezogener und sensibler Daten sicherzustellen.
Zur Unterstützung der Datenintegrität:
  1. Auditiert Datei- und Ordneraktionen in Echtzeit (wie „Erstellen“, „Umbenennen“, „Löschen“, „Kopieren“ und mehr).
  2. Benachrichtigt Administratoren sofort per E-Mail über verdächtige Dateiaktionen, wie übermäßige Berechtigungsänderungen, Umbenennungen usw.
  3. Verfolgt fehlgeschlagene Versuche zum Zugriff auf kritische Daten.
  4. Pflegt einen zuverlässigen Audit-Verlauf aller Dateizugriffe, was forensischen Untersuchungen zugute kommt.
Zur Unterstützung der Datensicherheit:
  1. Erkennt und verhindert umgehend potenzielle Ransomware-Infektionen, um einen möglichen katastrophalen Datenverlust zu vermeiden.
  2. Erkennt und verhindert Datenlecks geschäftskritischer Dateien mittels USB-Geräten oder per E-Mail-Anhang.

Artikel 15(1)

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden (...).

 Finden und teilen Sie alle Informationen, welche die Organisation zur betroffenen Person speichert. Sucht nach personenbezogenen Daten eines bestimmten Nutzers über RegEx, oder indem in Windows-Dateiserver- und Failover-Cluster-Umgebungen nach einem eindeutigen Schlüsselwort (wie Kunden-ID, Name usw.) gesucht wird.

Artikel 15(3)

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. (:..)

 Übermitteln Sie der betroffenen Person eine elektronische Kopie aller für sie relevanten Daten, die von der Organisation gespeichert werden. Sucht den Speicherort von personenbezogenen/vertraulichen Daten, um weitere Verfahren zu vereinfachen.

Artikel 16

Die betroffene Person hat das Recht, von dem Verantwortlichen (...) die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

 Suchen und korrigieren Sie alle Instanzen der falschen unzutreffenden Informationen zur betreffenden Person. Nutzt die Datenerkennung, um Instanzen der personenbezogenen/vertraulichen Daten der betroffenen Person zu suchen. Dabei kommen eindeutige Schlüsselwörter zum Einsatz, wie Personalausweisnummer, Kreditkartendaten, Führerscheinnummer usw.

Artikel 17(1)

[In Übereinstimmung mit den im Gesetz beschriebenen Richtlinien] hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten (...) gelöscht werden.

 Suchen und löschen Sie alle Instanzen der personenbezogenen/vertraulichen Daten der betroffenen Person. Sucht nach Schlüsselwörtern und findet so alle Dateien, die Instanzen der Informationen der betroffenen Person enthalten.

Artikel 24(2)

(...) [D]ie Maßnahmen müssen] die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen, [um die Rechte der betroffenen Personen zu schützen].

 Implementieren Sie die nötigen technischen und organisatorischen Maßnahmen, um für einen hohen Standard der Datensicherheit zu sorgen.
  1. Verwendet vordefinierte Richtlinie, um die unerwünschte Datenübertragung auf USB-Geräte zu verhindern, die Dateiintegrität zu überwachen und mehr.
  2. Anhand automatisierte Mechanismen für die Bedrohungsreaktion werden infizierte Systeme heruntergefahren, Sitzungen böswilliger Nutzer getrennt und mehr.

Artikel 25(2)

[Der Verantwortliche muss die Datenminimierung umsetzen und] (...) sicherstellen, dass personenbezogene Daten (...) nicht einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

 Suchen und widerrufen Sie übermäßige Berechtigungen, die an Nutzer vergeben wurden.
  1. Suchen Sie nach Nutzern, die über vollständigen Zugriff auf Ihre Windows-Freigaben verfügen.
  2. Suchen Sie alle Dateien und Ordner, die für alle Personen freigegeben wurden.

Artikel 30(1)

Jeder Verantwortliche (...) [führt] ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält [Details zu den verarbeiteten vertraulichen Daten und zu den technischen Maßnahmen, mit denen die Daten geschützt werden].

 Finden Sie heraus, welche Daten vertraulich sind, und wer darauf zugreifen kann. Richten Sie Audits ein, um zuverlässig aufzuzeichnen, was mit den Daten geschieht. Verzeichnen Sie genau Details zu den Maßnahmen, mit denen Sie für Datensicherheit sorgen.
  1. Sucht nach Instanzen personenbezogener/vertraulicher Daten, die in Windows-Dateiservern und Failover-Clustern gespeichert werden. Dabei kommt eine dedizierte DSGVO-Datenerkennungsrichtlinie zum Einsatz.
  2. Scannt nach Personalausweisnummern, Kreditkartendaten, Führerscheinnummern und mehr.
  3. Findet heraus, wer über Berechtigungen zu Dateien verfügt, die vertrauliche personenbezogene Daten enthalten.
  4. Auditiert die Nutzeraktivität in Dateien und verzeichnet Details dazu, wer wann und von wo aus worauf zugegriffen hat.

Artikel 32(2)

[Technische und organisatorische Maßnahmen sind zu implementieren, um auf] die Risiken [einzugehen, die sich] – ob unbeabsichtigt oder unrechtmäßig – [durch] Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten [ergeben], die übermittelt [oder] gespeichert (...) wurden.

 Implementieren Sie Maßnahmen zur Erkennung und Prävention, um die verarbeiteten Daten vor Sicherheitsvorfällen zu schützen.
Um auf das Risiko möglicher Datenlecks einzugehen:
  1. Überwacht die Nutzung von Wechseldatenträgern (wie USB-Laufwerken) in Ihrer Organisation.
  2. Blockiert das Verschieben von Dateien mit personenbezogenen Daten auf USB-Geräte bzw. das Versenden als E-Mail-Anhang.
  3. Stellt kontextbezogene Warnungen anhand von System-Prompts zum Risiko bereit, wenn geschäftskritische Daten auf Wechseldatenträger verschoben oder als E-Mail-Anhänge versendet werden.
  4. Reduziert die Zeit zur Vorfallreaktion mit sofortigen Alarmierungen und einem automatisierten Mechanismus zur Bedrohungsreaktion.
Um auf das Risiko unbefugter Zugriffe und Offenlegungen einzugehen:
  1. Alarmiert und meldet unerwünschten Zugriff oder plötzliche Spitzen bei Dateizugriffen und -änderungen, darunter Berechtigungsänderungen, Löschungen und mehr.
  2. Erkennt Dateien mit Sicherheitsschwachstellen, darunter:
    • Dateien im Besitz überholter Nutzer.
    • Kritische Dateien, die Nutzern den vollständigen Zugriff gewähren.
    • Dateien mit übermäßigen Zugriffsrechten, oder Dateien, auf die alle Personen zugreifen können.
  3. Verfolgt plötzliche Spitzen in fehlgeschlagenen Versuchen zum Zugriff auf Dateien/Ordner.
  4. Prüft Zugriffsrechte und Dateiberechtigungen in regelmäßigen Abständen.
Um auf das Risiko der unbeabsichtigten oder unrechtmäßigen Vernichtung einzugehen:
  1. Pflegt einen vollständigen Verlauf aller Löschungen von Dateien und Ordnern, mit Details dazu, wer was wann und wo gelöscht hat.
  2. Deckt mögliche Ransomware-Infektionen auf und verhängt eine Quarantäne.

Artikel 33(3)

[Bei einem Datenleck mit personenbezogenen Daten muss die Benachrichtigung] eine Beschreibung der von dem Verantwortlichen ergriffenen (...) Maßnahmen zur Abmilderung [möglicher nachteiliger] Auswirkungen [des Datenlecks enthalten].

 Analysieren und untersuchen Sie mögliche Ursachen und Folgen des Datenlecks. Hilft Ihnen dabei, die zugrundeliegende Ursache und den Umfang des Datenlecks zu analysieren. Umfasst umfangreiche Aufzeichnungen zu allen datei- und ordnerbezogenen Aktivitäten in Windows-Dateiservern, Failover-Clustern oder Workgroup-Umgebungen. Stellt Details dazu bereit, wer wann und von wo aus worauf zugegriffen hat.

Artikel 35(7)(d)

Die [Datenschutz-]Folgenabschätzung enthält zumindest (...) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich (...) Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt [wird].

 Identifizieren und bewerten Sie Risiken im Zusammenhang mit Ihren vertraulichen personenbezogenen Daten. Bewerten Sie das Risiko und implementieren Sie Maßnahmen, um es zu mildern.
  1. Berechnen Sie die Risiko-Punktzahl von Dateien mit personenbezogenen/vertraulichen Daten, indem Sie die zugehörigen Berechtigungen, das Volumen und den Typ gebrochener Regeln, Audit-Details und mehr analysieren.
  2. Suchen Sie nach Dateien, die aufgrund von Problemen mit der Berechtigungshygiene anfällig sind.

Wichtige Information: Vollständige DSGVO-Compliance setzt vielfältige Lösungen, Prozesse, Personalressourcen und Technologien voraus. Diese Materialien werden zu rein informativen Zwecken zur Verfügung gestellt und dürfen nicht als rechtlich verbindliche Beratung zur DSGVO-Compliance betrachtet werden. ManageEngine übernimmt keinerlei Gewährleistung, ob ausdrücklich, implizit oder statutarisch, hinsichtlich der Angaben in diesen Materialien.

Sorgen Sie für Datensicherheit und Compliance

DataSecurity Plus hilft Ihnen, die Anforderungen zahlreicher Compliance-Vorschriften einzuhalten, indem es Daten im Speicher sowie bei der Verwendung und Übertragung schützt.

Sie sind auf der Suche nach einer vereinheitlichten SIEM-Lösung, die außerdem über integrated DLP-Funktionen verfügt? Probieren Sie Log360 gleich aus!

Kostenlose 30-Tage-Testversion