View
214
Download
0
Category
Preview:
Citation preview
EU-GDPR/DSGVOBDSGneu
-Datenschutzvorschriften 2018
Andreas DiehlChannel Account Executive Public Team01.03.2018
Welche Sanktionen drohen?
Ab wann drohen die Sanktionen aus EU DSGVO?
Wofür drohen die Sanktionen aus EU DSVGO?
Welche Abteilungen sind betroffen?
Was ist zu tun?
Welche Lösungen unterstützen mich?
INHALT
Die Sanktionen DSGVO
4
Die Datenschutzaufsichtsbehörden erhalten Befugnisse Geldbußen zu verhängen, die bei VERMUTETEN oder tatsächlichen Verstößen einsetzen können.Maximal: 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes(Verstoß gegen Art. 8, 11, 25-39, 42 und 43 DSGVO)
Für EINDEUTIGE Verstöße (z. B. Datenverarbeitung OHNE Einwilligung des Betroffenen)Maximal: 20 Mio Euro oder 4 % des weltweiten Jahresumsatzes(Verstoß gegen Art. 5-7,9,12-22,44-49 DSGVO)
Sowie bei Nichtbeachtung einer behördlichen Anweisung (Art. 58 DSGVO)
PRO Fall und zwar so, dass die Verhängung von Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ ist
Die Sanktionen BDSGneu
5
Die Aufsichtsbehörden erhalten die gleichen Befugnisse. Das Landgericht entscheidet, wenn die Geldbuße den Betrag von 100.000€ übersteigt
Zudem bis zu drei Jahren Freiheitsstrafe oder Geldbuße für wissentlichen und gewerbsmäßigen Verstoß
Und bis zu zwei Jahren Freiheitsstrafe oder Geldbuße für Verstoß mit Bereicherungs- oder Schädigungsabsicht
Grundsätzlich: Schadenersatz
5. Mai 2016 – Veröffentlichung im EU Amtsblatt25. Mai 2016 – Inkrafttreten der EU DSGVO
24 Monate Übergangsfrist-> Frist zur Prüfung und Anpassung der Prozesse
25. Mai 2018 Gültigkeit der EU DSGVO für ALLE-> Prüfung der Einhaltung und Anordnung von Sanktionen-> Inkrafttreten des BDSGneu als Ersatz des bisherigen BDSG
Zeitplan EU DSGVO und BDSGneu
25May
2018
Personenbezogene Daten• Allgemeine wie Name, Geburtsdatum und –ort, Anschrift, etc.• Kennnummern wie SteuerID, Personalausweis, Krankenkasse, Matrikelnummer, etc.• Bankdaten und Wirtschaftsauskünfte wie Kontonummer und –stand, Bonität, etc.• Physische Merkmale wie Haut-, Haar- und Augenfarbe, Geschlecht, Konfektionsgröße, etc.• Kundendaten wie Anschrift, Bestellungen, Wert, etc.• Werturteile wie Arbeitszeugnisse, Schulzeugnisse, Zertifikate, etc.
Besonders zu schützen: • Rassische und ethnische Herkunft• Politische Ansicht• Religiöse/Philosophische Überzeugung• Gewerkschaftszugehörigkeit• Gesundheitsdaten• Daten zur Sexualität
Nutzung personenbezogener DatenVerarbeitung personenbezogener Daten muss nachweisbar (Rechenschaftspflicht)• Rechtmäßig, nach Treu und Glauben und transparent• Zweckgebunden (Zweckbindung)• Auf das notwenige Maß beschränkt (Datenminimierung)• Nach aktuellem Stand richtig (Richtigkeit)• Zeitlich begrenzt (Speicherbegrenzung)• Angemessen technisch und organisatorisch geschützt
(Integrität und Vertraulichkeit)sein
„einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“
Gefahren durch nicht angemessen geschützte, personenbezogene Daten
13
Datenverlust
Nicht-Verfügbarkeit
Erpressung
Produktivitätsverlust
Reputationsverlust
BußgelderBetrug Datenänderung
Schadenersatz
Relevante Abteilungen
• Geschäftsführung (steht in der Gesamtverantwortung)• Rechts- und Compliance Abteilung (Anpassung von Verträgen,
Gefährdungsanalyse)• Finanzabteilung (erhebliche Kosten für Anpassung, Risiko,
Datenhalter)• Personalabteilung und Betriebsrat (Personaldaten,
Betriebsvereinbarung, Sensibilisierung)• Marketing und Vertrieb (Datensammlung und Profiling)• Forschung und Entwicklung (auf Basis von Privacy by Design)• IT Security (Risiko Assessment und techn. Verantwortung)
Maßnahmen zur Einhaltung
18
• Die EU-DSGVO nennt explizit Verschlüsselung und “Anonymisierung”• Zwang der Einwilligung zur Datenverarbeitung• Datenklassifizierung und Berechtigungskonzept• Datenschutz-Regelung und Risikoabschätzung• Daten-Verfügbarkeit sicher stellen (auch Schutz vor Ransomware)• Fehlerquellen minimieren (“versehentlich”), Mitarbeiter sensibilisieren• Stand der Technik beachten• Aktiv Meldefähig sein – 72 Stunden Limit
Lösungen für jedes RisikoRisiko Minimierung IT SECURITY SCALEBASIC LOWEST RISK
LOWER HIGHER
Hacking, malware, or malicious code (57%)
Portable devices and physical loss (17%)
Unintended disclosure (22%)
Other (4%)
Advanced malware
Ransomware and exploits
Unauthorized access and
credential theft
Lost or stolen laptops and
storage devices
Lost or stolen mobile devices,
tablets, and IoT devices
Human error, loss via email,
or loss via cloud storage
Malicious insider
Endpoint Protection Intercept X Server Security Device Encryption Sophos Mobile SafeGuard Encryption
On premisesSophos Central
Hauptgründe fürDatenpannen
Ursachen
Absicherung
Aufwand
* Percentages based on number of incidents according to data from Privacy Rights Clearinghouse
Next-Gen
Detect
Web SecurityDownload Reputation
Exposure
Antivirus
QuarantineMalware Removal
Remediate
Prevent
Behavior
Pre-Exec Behavior Analysis / HIPS
Emulation
File ScanningAnti-Malware
Potentially Unwanted AppLive Protection
Respond
Endpoint Standard
Before it reaches device Before it runs on device
BehaviorRuntime Behavior
Analysis / HIPS
Next-Gen
Detect
Web SecurityURL Category BlockingDownload Reputation
Exposure
Antivirus
Malicious Traffic Detection
Behavior
QuarantineMalware Removal
Remediate
Prevent
Behavior
Pre-Exec Behavior Analysis / HIPS
Emulation
File ScanningAnti-Malware
Potentially Unwanted AppLive Protection
Synchronize
HeartbeatContextual
Sharing
Respond
Endpoint Advanced + Intercept X
Browser Exploit Prevention
Exploit
Detailed Threat Analysis
Analyze Clean
Malware Activity Cleanup
Before it reaches device Before it runs on device
ExposureApplication Control
Device Control (USB)
Exploit TechniquePrevention
Exploit Extortion
CryptoguardAnti-Ransomware
BehaviorRuntime Behavior
Analysis / HIPS
Full-Disk oder Datei Verschlüsselung? Beide!
26
FULL DISK ENCRYPTION FILE ENCRYPTION
Protects against device theft or loss
Secures data stored in the cloud
Secures data even if exfiltrated
Secures sensitive email
Secures data even if system is hacked or compromised
Helps to protect against insider threats
Secures data stored on mobile devices and elsewhere
Datei Verschlüsselung hilft oftmals
27
Bisheriger Bedarf Bessere LösungEncrypt only sensitive data
Create intricate policies
Apps and encryption didn’t talk
Difficult to share encrypted files
Hacked systems were vulnerable
How do you know?
Complicated set up
Exposure to more risk
Business friction / frustration
Exposure to risk
Encrypt everything, automatically
Make it simple for admins
Revoke keys for untrusted apps
Make it simple for users
Revoke keys from compromised systems
MDM/EMM/UEM – nicht vergessen!
29
Android Enterprise Device Owner
Support for Android enterprise “device owner” management mode
Complete control of configuration during initial setup of device
Suitable for COBO and CYOD scenarios Extended device control capabilities
Windows 10 App Management
Manage apps on Windows 10 desktop computers
See apps installed on the device Compliance rules based on installed
apps Push MSI or Windows Store apps
macOS Management
Manage macOS computers Enroll centrally or via SSP Lots of policies (>20) Compliance check Ideal for BYOD Macs
…plus much more!Launch at MWC on 26 Feb 2018
Technologien zum Schutz gegen Bedrohungen
Gateway-Technologien
Endpoint-Technologien
Web- und EmailfilterungAnti-Virus
Intrusion Prevention
Web Application Firewall
Firewall / Netzwerksegmentierung
Application Control
Whitelisting
Verschlüsselung
Device ControlWebfilter Machine Learning
Botnet-C&C-Erkennung
Anti-Virus
HIPSCryptoGuard
Exploit Prevention
Next-Generation Sandbox
Sophos XG FirewallUnrivalled Security, Simplicity, and Insight
Exposes Hidden Risks Automatically Responds to Incidents Apps, Users, Payloads, Threats Traffic-light dashboard indicators Comprehensive On-Box Reporting Prevent issues from becoming problems
Unique Security Heartbeat™ Integrates EP Health into rules Instantly ID compromised systems Automatically isolate them
Blocks Unknown Threats Full suite of protection IPS, APT, Sandboxing Web and App Control Easily managed from a single screen
Next-Gen EndpointUTM/Next-Gen Firewall
Sophos Synchronized Security
35
Mobile
Server
Wireless
Web
Security Heartbeat™
Encryption
“It only took 2 minutes to find out that everything was under control. Sophos XG Firewall detected the threat and Security Heartbeat allowed the infected host to be immediately identified, isolated and cleaned up. Instead of going into fire drill mode, we were able relax and finish our lunch.”
DJ Anderson, CTO, IronCloud
Endpoints und Firewall reden miteinander
Phishen wie die bösen JungsMitarbeiter schulen und prüfen
GRUNDLAGEN TESTS
SIMULATION VON REAL-WORLD ANGRIFFEN
EFFEKTIVE TRAININGSMODULE
VERSTÄNDLICHESREPORTING
37
• 9 Sprachen• Über 140 aktuelle
Angriffsvorlagen• Über 30 interaktive
Trainingsmodule
Effektive Trainings-und Simulations-
vorlagen New screen shot
38
Sophos Phish Threat
Sophos Phish ThreatSimulierte Phishing Kampagnen in drei Schritten
• 100te anpassbaareVorlagen für Phishing Attacken (regelm. aktualisiert)
Auswahl der Kampagne
1
• + 30 interaktiveTrainingskurse zuSecurity und Compliance Themen
Auswahl desTrainings
2
• Reports zuKampagnen
• Analyse nachOrganisation, Gruppeoder Mitarbeiter
Prüfung undMessung der Schulungs-
maßnahmen
3
39
Wie kann man sich am besten schützen?Was man kaufen kann:• Firewall• Endpoint, Mobile und Server• Zutrittskontrolle, Überwachung• WLAN-Absicherung• Verschlüsselung (Devices, Cloud und Mail)• ......
Was man nicht kaufen kann:• XMV und Awareness• Technisch organisatorische Maßnahmen (TOM)• Datenschutzbeauftragter / EU-DSGVO• Double-opt-in (Einverständniserklärungen)• Versicherung, aber nicht gegen Bußgelder!!!• ....
Die Mitspieler
Die Bösen Die NutzerDie Guten
plus 1500Hersteller fürIT-Security
Die Gesetzgeber
Die Umsetzer:
Recommended