Penetrationstests im Rahmen der DS-GVO

Eine Möglichkeit, der Nachweispflicht nach der DS-GVO nachzukommen

Mit der Datenschutz-Grundverordnung (DS-GVO) wird in Europa der Datenschutz neu geregelt und viele Aspekte des BDSG, wurden auch in ähnlicher Weise in die DS-GVO übertragen. Dem technischen Fortschritt und den damit verbundenen Risiken geschuldet, hat das Thema IT-Sicherheit in der DS-GVO im Vergleich zum BDSG allerdings erheblich an Bedeutung gewonnen.

So definiert die DS-GVO zunächst in Art. 5 Abs. 1 lit. f die Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der Daten („Integrität und Vertraulichkeit“) und präzisiert die zu ergreifenden Maßnahmen zusätzlich in Art. 32 DS-GVO. Darüber hinaus werden in Art. 25 DS-GVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Prinzipien festgelegt, wie Verarbeitungen gestaltet sein müssen („Data Protection by Design“) und welche Voreinstellungen vorzunehmen sind („Data protection by Default).

Interessant in diesem Zusammenhang ist Art. 32 Abs. 1 lit. d DS-GVO. Neben der reinen Implementierung der technischen und organisatorischen Maßnahmen bezüglich Verfügbarkeit, Vertraulichkeit und Integrität der Systeme sowie zur Wiederherstellung von Daten, ist die Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen durch geeignete Verfahren nun zukünftig zusätzlich nachzuweisen.

Nachweispflicht

Durch die neuen Regelungen in der DS-GVO muss die Wirksamkeit der technischen und organisatorischen Maßnahmen künftig ausreichend getestet werden. Diese Regelung ist neu und verpflichtet die Betreiber von technischen Systemen, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu implementieren. Der Einsatz von Penetrationstests ist eine Maßnahme, um diesen gesetzlich geforderten Nachweis zu führen.

Was sind Penetrationstests?

Ein Penetrationstest (kurz: „Pentest“) ist ein gezielt durchgeführter Angriff auf IT-Systeme oder Anwendungen, mit der Absicht auch in abgesicherten IT-Infrastrukturen die vorhandenen Sicherheitsmechanismen zu umgehen bzw. auszusetzten, um letztendlich Schwachstellen zu identifizieren.

Zur Durchführung von Penetrationstests werden automatische sowie manuelle Techniken und Tools verwendet, wie sie auch reale bzw. „bösartige“ Hacker benutzen. Während ein Hacker jedoch häufig bereits nach Auffinden der ersten Schwachstelle seine Suche beendet und lediglich die gefundene Schwachstelle ausnutzt, ist es Aufgabe von Penetrationstests, möglichst alle Schwachstellen zu identifizieren. Sobald ein Penetrationstester den beabsichtigten Zugang zu den IT-Systemen bekommt und vertrauliche Informationen, insbesondere personenbezogene Daten einsehen bzw. verändern kann, gilt die Sicherheitslücke als aufgedeckt und ein weiterer Zugriff erfolgt nicht.

Auch organisatorische Sicherheitslücken sollen aufgedeckt werden

Neben der Identifikation dieser Sicherheitslücken und der Möglichkeit, aus den Ergebnissen des Pentests, Maßnahmen zur Erhöhung der technischen Sicherheit entwickeln zu können, werden mit Penetrationstests darüber hinaus auch organisatorische und personelle Infrastrukturen überprüft, um im Endeffekt auch deren Sicherheit erhöhen zu können.

Im Rahmen von Penetrationstest werden üblicherweise eine ganze Reihe verschiedener Tests vom Penetrationstester durchgeführt. Hierzu zählen die üblichen eher technischen Angriffe, wie interne und externe Zugriffe auf die IT-Systeme einschließlich Aufdeckung von Möglichkeiten zur Manipulation und zum Abzug von Daten. Von mindestens derselben Wichtigkeit sind aber auch die sogenannten Social Engineering-Tests, da ein Angreifer immer den Weg des geringsten Widerstandes gehen wird.

Durch Social Engineering-Tests wird im Wesentlichen das Sicherheitsbewusstsein der Mitarbeiter geprüft. Mit unterschiedlichen Verfahren versucht der Tester entweder an vertrauliche Informationen über fingierte Telefonanrufe zu kommen oder mit gezielter Spähsoftware (Installation erfolgt beispielsweise über Email-Anhänge oder verschenkte USB-Sticks) gezielte Phishing-Attacken zu platzieren, um an sensible Daten zu gelangen.

Fazit

Mit den neuen gesetzlichen Vorschriften wurden durch Art. 32 der DS-GVO Anforderungen an die Datensicherheit formuliert, die bisher in § 9 BDSG und den entsprechenden Anlagen teilweise enthalten waren. Mit der Nachweispflicht sind nun allerdings ganz neue Pflichten für Betreiber von technischen Systemen hinzugekommen, die aufgrund der Inhalte und der geforderten Regelmäßigkeit eine nicht unerhebliche Mehrbelastung zur Folge haben. Die Durchführung von Penetrationstests sind eine Möglichkeit, dieser Nachweispflicht nachzukommen.

Zwar findet man für die Durchführung von Penetrationstests in der DS-GVO nur generelle Vorgaben, sodass eine Standardisierung hier nicht möglich ist. Andererseits erlauben die gesetzlichen Ausführungen, den Umfang von Penetrationstests auf die individuelle Situation anzupassen. Dies erfordert allerdings ein umfangreiches Know-how. Neben dem datenschutzrechtlichen Wissen, sind hier sehr detaillierte Kenntnisse im IT-Umfeld erforderlich, die aufgrund des schnellen technologischen Wandels permanent zu aktualisieren sind.

Durch diese umfangreichen Anforderungen und schon allein aufgrund der eigenen Kenntnisse über die internen Sicherheitsmaßnahmen, Prozesse oder Strukturen wird die Durchführung von Penetrationstests häufig nur mit externer Unterstützung möglich sein.

Planen Sie die Implementierung notwendiger Maßnahmen zur Erfüllung der Nachweispflicht aus der DS-GVO?. Sprechen Sie uns an! Gerne unterstützen wie Sie bei der Ausgestaltung der Details.