TUXGUARD Cyber Security in Perfektion
TUXGUARD Cyber Security in Perfektion

 

Apropos DSGVO: Wissen Sie, welche Daten Ihre Firewall sammelt?

Nutzt Ihr Unternehmen eine Firewall? Dann sind auch Sie von der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) betroffen. Die Firewall wurde zwar eingerichtet, um die IT-Systeme und damit auch die darauf gespeicherten Daten zu schützen, aber was viele dabei vergessen: Die Firewall selbst sammelt und verarbeitet personenbezogene Daten. Auch hier gilt: Der Zugriff auf die Firewall muss gemäß der DSGVO ordnungsgemäß geregelt sein. Doch oft fehlt das technische Know-how oder grundsätzlich überhaupt die integrierte Anwendung, die einen klaren Überblick über die Datenverarbeitung bietet.

Seit dem 25. Mai unterliegen Unternehmen durch die DSGVO einer erhöhten Dokumentations- und Nachweispflicht. Alle Beteiligten, die in irgendeiner Weise personenbezogene Daten verarbeiten, sind zur Erfüllung der gesetzlichen Vorgaben verpflichtet. Dabei spielt es keine Rolle, ob es sich um die Daten der eigenen Mitarbeiter oder um persönliche Kundeninformationen handelt. Datenverarbeitungsprozesse müssen detailliert protokolliert werden, und Unternehmen sind darüber hinaus dazu verpflichtet, Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Datenschutzbehörde zu melden. In einer solchen Situation müssen die Verantwortlichen also zügig reagieren und benötigen Zugriff auf alle wichtigen Informationen. Nicht zu wissen, welche personenbezogenen Daten wo und wie verarbeitet werden, könnte einem Unternehmen schnell zum Verhängnis werden.

 

Datenverarbeitung in der Firewall

Eine Firewall ist inzwischen eine wichtige Grundlage in IT-Sicherheitskonzepten. Sie schützt Unternehmen vor Cyberbedrohungen und erhöht die firmeninterne IT-Sicherheit. Doch es ist nicht damit getan, in der Praxis einfach eine Firewall zu erwerben, diese anzuschließen und zu schützende Systeme auszuwählen. Schon bei der Wahl einer passenden Firewall sind verschiedene Aspekte zu beachten, denn auch die Technik, mit der Daten verarbeitet werden, muss seit der DSGVO datenschutzkonform aufgesetzt sein. Für den Hersteller gilt, dass er den Nutzer von vornherein über Art, Umfang und Zweck der Datenerhebung sowie über deren Verarbeitung informieren muss.

An diesem Punkt sollte sich der Verantwortliche also zunächst folgende Fragen stellen: Welche Daten sammelt die Firewall? Wie werden die Daten verarbeitet? Und wer hat überhaupt Zugang zu den persönlichen Informationen? In einer Firewall handelt es sich beispielsweise um Namen, Adressen und IP-Adressen.

 

Datenschutz durch Technikgestaltung & Voreinstellungen

Bei der Auswahl der Firewall ist also auch darauf zu achten, dass der Hersteller den Datenschutz von vornherein im Fokus hat und bei der Entwicklung seiner Produkte die aktuellen Anforderungen der EU-DSGVO berücksichtigt. Dabei spielen die Ansätze „Privacy by Design“ und „Privacy by Default“ eine wichtige Rolle. Bei „Privacy by Design“ geht es speziell um den Schutz personenbezogener Daten durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOMs) im Entwicklungsstadium der Technologie. „Privacy by Default“ beinhaltet die TOMs, die sicherstellen, dass nur personenbezogene Daten verarbeitet werden, die unbedingt erforderlich sind.

Solche Maßnahmen sind in einer Firewall beispielsweise:

  1. Integrierte Datenschutzerklärung

Im Management Center der Firewall findet der Systemadministrator eine Datenschutzerklärung des Herstellers, die im Vorfeld bestätigt werden muss. Dadurch wird sichergestellt, dass der Administrator genauestens darüber informiert wurde, welche Daten gespeichert und übermittelt werden.

  1. Services konfigurieren

Der Administrator kann bestimmte Services wie beispielsweise den Support-Zugriff oder den DynDNS-Dienst individuell ein- und ausschalten und somit Aspekte wie Datenübermittlung oder Zugriff selbst konfigurieren. Darüber hinaus können Kontentfilterdaten anonymisiert werden.

  1. Passwörter & Vier-Augen-Prinzip

Für unterschiedliche Bereiche der Firewall können Passwörter generiert werden. Beim Vier-Augen-Prinzip wird dem Datenschutzbeauftragten pro Session ein Datenschutzpasswort erstellt – somit sieht auch der Administrator per default keine Passwörter mehr. Dies ist insbesondere dann relevant, wenn der Verantwortliche das Unternehmen verlässt.

Uwe Hanreich, Geschäftsführer TUXGUARD GmbH von Uwe Hanreich, Geschäftsführer TUXGUARD GmbH

© 2023 | TUXGUARD