Zur iX 6/2018 ist die Beilage „Sicherheit und Datenschutz“ 1/2018 erschienen, also fast zeitgleich mit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung. Ein Großteil der Themen behandelt Security-Fragen unter dem Aspekt EU-DSGVO.
Tomasz Lawicki packt den Stier bei den Hörnern und erklärt, was „Stand der Technik“ bedeutet. Die DSGVO nämlich fordert in Art. 32, Abs. 1 „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, und zwar unter Berücksichtigung „des Stands der Technik“. Welche Maßnahmen „geeignet“ sind, lässt sich letztlich nur durch einen systematischen Vergleich ermitteln. Ebenfalls direkt DSGVO-relevant ist der Beitrag von Pierre Gronau. Er erklärt sowohl die Prinzipien für die Entwicklung und Implementierung datenschutzkonformer Software- und Datenbanklösungen als auch den gar nicht so einfachen Umgang mit zu löschenden Daten bzw. mit nicht erkannten, frei flottierenden und unsachgemäß gespeicherten Datenbeständen:
„Bei vielen Anwendungen existiert keine Transparenz darüber, wo diese Daten liegen und wer im Unternehmen für die allgemeine Speicherung verantwortlich zeichnet. Dies beschreibt eine Situation, in der sich aktuell viele Firmen, Behörden und Institutionen befinden.“
Das wird auch noch eine ganze Zeitlang so sein. Brian Scheuch hat an anderer Stelle zu Recht daran erinnert, dass es mit der ersten DSGVO-Umsetzung keineswegs getan ist. Aus diesem Blickwinkel ist der Beitrag von Dr. Dennis-Kenji Kipker (Universität Bremen) wertvoll; er berichtet vom Forschungsvorhaben „Kompetenz durch Zertifizierung“ (CertComp), das sich ein Lehr- und Lernkonzept zur Umsetzung effektiver IT-Sicherheitsmaßnahmen im Mittelstand vorgenommen hat.
Sascha Dubbel von Cylance hat unterdessen Detect-and-Response-Systeme ins Visier genommen und fragt, ob eine vernünftige Priorisierung bei der Abwehr von Malware-Attacken überhaupt noch funktionieren kann. Konkret: „Wie spät ist zu spät?“ In dem Fall, den Friedrich List schildert, wäre es von Anfang an zu spät gewesen: Fast durch Zufall sind Forscher des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie FKIE darauf gekommen, dass böswillige Software das Konzept der Sandbox aushebeln kann, indem sie die Analysereports manipuliert.
Außerdem nimmt sich die Beilage die Multi-Faktor-Authentifizierung als tragfähige Alternative zum überholten Passwortschutz vor. Unter dem Aspekt der Schadensbegrenzung skizziert Daniel Eyring das Konzept eines Kryptoperimeters auf PKI-Basis, und Günter Junk erklärt eine saubere Container-Lösung für Mobilgeräte.
Die von TeleTrusT (Bundesverband IT-Sicherheit e.V.) gesponserte Heise-Themenbeilage „Sicherheit und Datenschutz“ 1/2018 gibt es im Pressezentrum des MittelstandsWiki kostenfrei als Volltext-PDF zum Herunterladen.