DSGVO-konform arbeiten mit Zwei-Faktor-Authentifizierung

Dirk Denayer, 27. September 2021

Im Rahmen einer Studie hat die Agentur der Europäischen Union für Cybersicherheit (ENISA), die Mitgliedsstaaten und Privatunternehmen bei der Umsetzung EU-weiter Vorschriften berät und unterstützt, Leitlinien zur Gewährleistung der Konformität mit der Datenschutz-Grundverordnung (DSGVO) vorgelegt. Als technische Maßnahmen zur Risikominderung empfiehlt die ENISA u. a. Zwei-Faktor-Authentifizierung und Sicherung von Mobilanwendungen.

Seit 2018 ist die DSGVO als wichtigstes Regelwerk für den Datenschutz in der EU in Kraft. Sie stellt einen wesentlichen Schritt auf dem Weg zum umfassenden Schutz der personenbezogenen Daten von EU-Bürgern dar. Unabhängig von Unternehmensgröße, Standort und Branche gilt die DSGVO zudem für alle Unternehmen, die Waren oder Dienstleistungen für EU-Bürger anbieten und personenbezogene Daten als Datenverantwortlicher oder Datenverarbeiter verwalten.

Maßgeblich ist hier insbesondere Artikel 32 der DSGVO, der Unternehmen zur Sicherung solcher personenbezogenen Daten verpflichtet, „geeignete technische und organisatorische Maßnahmen“ einzusetzen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Bei Nicht-Einhaltung drohen Geldstrafen von bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Nicht zuletzt ist die Verpflichtung zur Meldung von Datenschutzverletzungen innerhalb von 72 Stunden mit einem beträchtlichen Risiko der Rufschädigung verbunden.

ENISA-Leitlinien zum DSGVO-konformen Arbeiten

Die Empfehlungen der ENISA zum Einsatz DSGVO-konformer technischer und organisatorischer Maßnahmen beruhen auf einer risikobasierten Methode zur Definition angemessener Vorkehrungen in unterschiedlichen Bereichen.

Zur Regelung der Zugriffskontrolle und Authentifizierung empfiehlt die Agentur die Implementierung einer Zwei-Faktor-Authentifizierung in Fällen mit hohem Risiko sowie bestimmten Fällen mit mittelschwerem Risiko: „Für den Zugriff auf Systeme, die personenbezogene Daten verarbeiten, sollte vorzugsweise Zwei-Faktor-Authentifizierung eingesetzt werden. Als Authentifizierungsfaktoren kommen Kennwörter, Sicherheitstokens, USB-Sticks mit geheimem Token, biometrische Verifizierung usw. infrage.“

Bei Verwendung von Mobilgeräten, heißt es weiter, bestehe eine erhöhte Gefahr von Diebstahl oder versehentlichem Verlust. Da Mobilgeräte häufig auch zu Privatzwecken verwendet würden, müsse besonders darauf geachtet werden, dass geschäftsbezogene Daten nicht beeinträchtigt werden. Daraus wird die Richtlinie abgeleitet: „Für den Zugriff auf Mobilgeräte sollte eine Zwei-Faktor-Authentifizierung in Betracht gezogen werden, und auf dem Mobilgerät gespeicherte personenbezogene Daten sollten verschlüsselt werden.“

Darüber hinaus empfiehlt die ENISA, die Sicherheit personenbezogener Daten bereits bei der Anwendungsentwicklung zu berücksichtigen. Dies setze auch in Fällen mit geringem Risiko die Einhaltung „bewährter Verfahren sowie allgemein anerkannter Praktiken, Rahmenvorgaben und Normen zur sicheren Entwicklung auf dem aktuellen Stand der Technik“ voraus.

Fazit

Weniger als ein Jahr vor Inkrafttreten der DSGVO-Vorgaben wurde Unternehmen bewusst, welche Änderungen sie im Hinblick auf ihre Datensicherheits- und Geschäftsstrategien vornehmen mussten und diese gegebenenfalls zu erweitern.

Die Einführungszeit der notwendigen Änderung und wie diese Ihr Unternehmen beeinflussen wird, sind jedoch nicht abzuschätzen. Zur Bewältigung dieser Herausforderungen fordert die ENISA verbesserte Kommunikation und Aufklärungsarbeit seitens der EU, damit Unternehmen die DSGVO einführen. 

Für Unternehmen, die zum Nachweis der DSGVO-Konformität verpflichtet sind, enthält der ENISA-Bericht zahlreiche praktische Empfehlungen.

Informieren Sie sich über Zwei-Faktor-Authentifizierung mit VASCO, Schutz von Mobilanwendungen und Abschirmung von Anwendungen durch Einsatz von RASP-Security-Lösungen.

 

Dirk Denayer ist Business Solutions Manager bei OneSpan. Er kam 2016 zu OneSpan und verfügt über 20 Jahre Erfahrung in Business-Softwarelösungen auf den Ebenen Vertrieb, Marketing und Lieferung. Bevor er zu OneSpan kam, arbeitete er bei Exact Software, CODA und Unit4.