Die Weiterentwicklung digitaler Lösungsangebote, wie zum Beispiel Software-as-a-Service, hat die Art und Weise Daten zu verarbeiten, geändert. Während in klassischen „on-premises“-Architekturen die Organisation selbst Herr über ihre Daten war, sind die Grenzen durch Auslagerung auf Server von Dritten nicht mehr so klar. Dazu kommt, dass der Vernetzungsgrad heute deutlich höher ist. Der Anspruch moderner Organisationen ist, dass Daten organisationsweit in Echtzeit zur Verfügung stehen. Wie aber kann dann der Schutz personenbezogener Daten, wie ihn die Datenschutz-Grundverordnung (DSGVO) fordert, effektiv umgesetzt werden? Ein Ansatz: Zero-Trust.
Zero-Trust ist ein Ansatz beziehungsweise Konzept. Es folgt dem Leitsatz „Never trust, always verify„. Damit ist gemeint, dass Maßnahmen nicht nur den Schutz gegenüber Dritten außerhalb des eigenen Netzwerks zum Ziel haben. Zero-Trust erweitert den Fokus um potentielle Sicherheitsverletzungen durch bekannte (innere) Benutzer, Geräte oder Netzwerke. Dadurch wird jeder Nutzer regelmäßig authentisiert, autorisiert und validiert. Erst dann kann auf ein Netzwerk, ein System, eine Applikation oder auf Daten zugegriffen werden. Der richtige Grad an Berechtigungen und Attributen wird ständig verifiziert. Um dies umsetzen zu können, umfasst das Zero Trust Framework den gesamten Bereich an Zugriffs-, Netzwerk- und Datenpunkten.
Zuerst und offensichtlich wirkt sich der Zero-Trust-Ansatz positiv auf die Integrität und Vertraulichkeit von Daten aus. Das schließt personenbezogene Daten ein. Damit kann Zero-Trust eine Maßnahme sein, um den gleichnamigen Grundsatz der Datenverarbeitung „Integrität und Vertraulichkeit“ in Art. 5 Abs. 1 lit. f DSGVO zu fördern. Dieser verlangt ja eben gerade „eine angemessene Sicherheit der personenbezogenen Daten, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“.
Auch die Zweckbindung aus Art. 5 Abs. 1 lit. b DSGVO kann durch Zero-Trust unterstützt werden. Das mag auf den ersten Blick nicht sofort einleuchten. Jedoch wird durch Zero-Trust jeder Zugriff auf Daten in Frage gestellt. Durch diesen restriktiv geregelten Ansatz zum Zugriff auf Daten im Allgemeinen und personenbezogene Daten im Besonderen kann vermieden werden, dass bereits für andere Zwecke erhobene personenbezogene Daten für eigene Zwecke verarbeitet werden, ohne dass diese Zwecke miteinander vereinbar wären.
Damit Zero-Trust so granular funktioniert, stehen davor Überlegungen, die man vor einer Implementierung treffen muss. Das sind erst einmal die generellen drei Stufen, die bei der Einführung von Zero-Trust zu berücksichtigen sind:
Näheres dazu findet sich auch im verlinkten Beitrag zu Zero-Trust am Ende dieses Artikels. Betrachten wir nun den Datenschutz, können die Überlegungen zum Schutz personenbezogener Daten in jeden Schritt ergänzt werden. Wichtig sind aber bereits in Schritt 1 die Vorüberlegungen. Ich muss als Verantwortlicher wissen, in welchen Systemen und Datenbanken überhaupt meine personenbezogenen Daten gespeichert sind. Sodann kann ich mir überlegen, wer und zu welchen Zwecken diese Nutzer Zugriff benötigen. Das kann in einem Rechte-Rollen-Konzept münden. Ausgehend von diesem können dann die weiteren Schritte unternommen werden, die Zero-Trust für die Implementierung vorsieht.
Der klassische Kontrollverlust über Daten durch externe Server und die steigende Vernetzung erfordert neue Sicherheitskonzepte. Zero-Trust bietet hier einen vielversprechenden Ansatz: Durch kontinuierliche Verifizierung von Nutzern, Geräten und Zugriffsrechten kann nicht nur die Integrität und Vertraulichkeit gemäß DSGVO gewährleistet werden, sondern auch die Zweckbindung der Datenverarbeitung besser eingehalten werden. Eine erfolgreiche Implementierung von Zero-Trust setzt jedoch eine sorgfältige Analyse und Planung voraus, insbesondere im Hinblick auf die Speicherung und Nutzung personenbezogener Daten. So wird Datenschutz in modernen IT-Architekturen effektiv und zukunftssicher gestaltet.
Link zum Beitrag „Zero-Trust-Framework“: Das Zero Trust Security Framework – Rewion IT-Beratung & Services
Willkommen bei unserem exklusiven Support für Bestandskunden. Hier finden Sie alle nötigen Informationen, um schnell und unkompliziert Hilfe bei technischen Anfragen zu erhalten.
Senden Sie uns Ihr Anliegen mit allen relevanten Details an:
Für eine direkte Unterstützung per Fernwartung, laden Sie bitte unser TeamViewer-Modul herunter:
Bitte beachten Sie: Dieser Kanal ist speziell für technische Anfragen unserer Bestandskunden vorgesehen. Für allgemeine Anfragen, Informationen zu unseren Dienstleistungen oder eine Erstberatung nutzen Sie bitte unser Kontaktformular oder schreiben Sie eine E-Mail an info@rewion.ucepts.de.
