GDPR und Managed File Transfer
Die 2-jähriger Übergangsfrist für die Einführung der Anforderungen der GDPR endet mit dem 25.05.2018.
Der sichere Austausch von personenbezogenen Daten über Unternehmensgrenzen hinweg ist ein gängiger Schwachpunkt.
Die EU-Datenschutzgrundverordnung (EU-DSGVO) bzw. EU General Data Protection Regulation (GDPR) führt zur weitgehenden Harmonisierung des europäischen Datenschutzrechts für personenbezogene Daten. Die Änderungen sind zum 25.05.2018 vom Gesetzgeber als verpflichtend vorgesehen, die Uhr tickt also.
Sicherer Austausch von Daten wird wichtiger denn je:
- Verschlüsselung und Pseudonymisierung der Daten
- Sicherstellung der Vertraulichkeit und Integrität
- Verfügbarkeit der Systeme und Dienste
- Wiederherstellung nach einem Ausfall
Das gilt für vielfältige Ausprägungen des Datenaustauschs: System-to-System (Upload von Batch-Dateien, geplante Übertragungen), System-to-Human (geplante Reports) und Human-to-Human (Ad hoc-E-Mails oder manuelle FTP-Uploads).
Speziell Unternehmen mit einem unkoordinierten und dezentralen Datenaustausch laufen ab dem 25.05.2018 Gefahr, Datenschutzverletzungen zu begehen. Die Strafen bei mangelhaftem Schutz von personenbezogenen Daten sind erheblich und können auch für Beteiligte (z.B. Geschäftsführer, Vorstand, Datenschutzbeauftragter, CISO etc.) gelten.
Selbst wenn Sie die Möglichkeit, dass Daten durch Personenbezug verseucht sind (z.B. Kundendaten, Kreditkartendaten), organisatorisch zu 100% ausschließen können, sind Geschäftsdaten schon für sich betrachtet unternehmenskritisch und meistens vertraulich. Denken Sie an Finanzdaten, Preislisten, Verträge, Zahlungsinformationen, geistiges Eigentum, Lagerbestände, Aufträge oder Supply Chain-Daten.
Unternehmenskritische Daten müssen nicht nur am richtigen Ort oder Adressaten zur richtigen Zeit ankommen. Sondern Sie müssen das auch nachvollziehen und belegen können. Daher kommt man nur durch eine Kombination von organisatorischen und technischen Maßnahmen auf die sichere Seite.
Bei strukturierten Daten haben sich für EDI IP-basierte, verschlüsselte Protokolle wie AS2 oder OFTP2 durchgesetzt, wo mit signierten Zertifikaten gearbeitet wird.
Bei unstrukturierten Daten gibt es nach wie vor viele FTP-Kanäle oder Nutzung von Internetdiensten, bei denen keine belastbaren Auftragsverarbeitungsverträge (AVV) möglich sind. Wenn das bei Ihnen auch so sein sollte, sollten Sie über den Einsatz einer Managed File Transfer-Lösung (MFT) dringend nachdenken.
SEEBURGER ist seit mehr als 30 Jahren ein Experte für den sicheren Austausch von Daten zwischen nationalen und internationalen Kunden und deren Handelspartnern.
Vielen Dank für Ihre Nachricht
Wir freuen uns über Ihr Interesse an SEEBURGER
Haben Sie Fragen oder Anmerkungen?
Wir freuen uns hier über Ihre Nachricht.
Ein Beitrag von: Frank Stegmueller
Frank Stegmüller ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2008 im Unternehmen. Er verfügt über 25 Jahre Erfahrung im Service, Support und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.