Als erfahrener Datenschutz-Berater halte ich derzeit Vorträge bei der IHK, vor internen Datenschutzbeauftragten, etc. zum Thema EU-Datenschutzgrundverordnung (EU-DSGVO). Zwei der dabei am heißesten diskutierten Neuerungen sind die Themen "Privacy by Design" und "Privacy by Default".
Im Prinzip soll ein IP-Geräte-Hersteller durch die Einhaltung der 7 Grundprinzipien
1. proaktiv statt reaktiv
2. "Privacy by Design"
3. Einbettung ins Design
4. Volle Funktionalität und Datensicherheit
5. Betrachtung des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz
7. Anwenderorientierte Gestaltung
Datenschutz & Informationssicherheit seiner Produkte fördern.
Aber was ist daran neu? Einer unserer Kunden hat dieses Thema bereits 2010 aufgreifen müssen, als einer seiner größten Kunden die eingestetzen Produkte durch eine Schwachstellenanalyse als extrem risikoreich weil schwachstellenbelastet identifiziert hat.
Das selbe Ergebnis erzielen derzeit Tests im Bereich Industrie 4.0 oder Internet of Things (IoT). Auch hier wird in Schwachstellenscans auf bereits ausgelieferte Produkte festgestellt, dass diese so voller Schwachstellen sind, dass diese so hätten nie in den Verkauf gelangen dürfen. Die IP-Geräte werden vom Hersteller weiterhin als Kühlschrank, Drucker oder Waage betrachtet und nicht als das was Sie eigentlich sind: Potentielle Einfallstore für Hackerangriffe.
Welche Auswirkung diese Risiko-Ignoranz hat durften wir erst neulich am 27.11.2016 beim großen Hacker-Angriff auf die Telekom erlebt. Dort wurden mal schnell 900.000 IP-Geräte - in diesem Fall Speedport-Router - lahmgelegt, die eine bestimmte Schwachstelle aufwiesen. Privacy by Design ist bisher nicht annähernd der Standard.
Klar: Wenn wir bei einem Kunden draußen z.B. im Rahmen eines
IT-Security-Audits eine Schwachstellenanalyse durchführen, dann klammern wir Drucker und Telefone auf Wunsch des Kunden auch mal aus der Map der zu scannenden IPs aus. Im Bezug auf "Industrie 4.0" und das Internet of Things (IoT) ist aber durchaus intereessant, sich mal ein Bild wirklich aller IPs seines Netzwerks zu machen.
Unser Kunde hat damals äußerst professionell gehandelt und zielstrebig nach einer Schwachstellen-Testumgebung gesucht. Dabei ist er auf das auf IT-Sicherheits-Lösungen spezialisierte und mittlerweile ISO-27001-zertifiziertes IT-Systemhaus yourIT GmbH gestoßen. Wir haben bei unserem Kunden diese Schwachstellen-Testumgebung aufgebaut mit der unser Kunde nun bereits das fünfte Jahr in Folge für "Privacy & Security by Design" bei seinen Produkten sorgt. Seither verlässt kein IP-Gerät mehr ungeprüft und ungepatcht das Werk. Die Käufer erhalten auf Wunsch einen Auszug aus dem Scan-Protokoll.
Weshalb ich das hier schreibe: Falls es da draußen den einen oder anderen IP-Geräte-Hersteller gibt, der für günstiges Geld eine Schwachstellen-Testumgebung für seine künftigen "Privacy-by-Design" und "Privacy by Default" -Produkte haben sollte: Wir haben die "Privacy-by-Design-Schwachstellen-Testumgebung" bei unserem Kunden seit fast 5 Jahren erfolgreich im Einsatz. Wir würden uns zutrauen, so etwas kurzfristig auch in Ihrem Unternehmen aufzubauen.
Fragen Sie uns einfach an. Wir freuen uns, wenn wir Ihnen beim Erreichen der Vorgaben der EU-DSGVO mit unserer Lösung weiter helfen können.
Insofern: Gute Besserung - mit "Privacy by Design" & "Privacy by Default" - m
ade by yourIT!
