Best Practices für die DSGVO bei Windows-Dateiservern

Ab dem 25. Mai^th, 2018 müssen alle Unternehmen, die mit personenbezogenen Daten aus der EU umgehen, DSGVO-konform sein. Aus der Perspektive eines DSGVO-Windows-Dateiservers sind personenbezogene Daten von größter Bedeutung für DSGVO-Konformität. Unternehmen außerhalb der EU gehen davon aus, dass die DSGVO für sie nicht gilt, aber jede Interaktion mit einem EU-Bürger erfordert die Einhaltung – einfach ein Unternehmen zu führen, das sich außerhalb der EU befindet, gibt Ihnen keine „Gefängnis-freie Karte“. !

Gemäß der DSGVO müssen Unternehmen Behörden und Kunden innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls über Datenschutzverletzungen informieren, Aufzeichnungen führen, um Kunden bestätigen zu können, ob und wie ihre Daten verwendet werden, ihnen auf Anfrage eine Kopie ihrer Daten zur Verfügung stellen und ihnen die Löschung ihrer Daten ermöglichen. Im Rahmen des DSGVO-Datenermittlungsaudits müssen Unternehmen alle personenbezogenen Daten klassifizieren und nach der Klassifizierung diese Daten schützen.

Diese Checkliste enthält Best-Practice-Empfehlungen zum Schutz personenbezogener Daten, die auf einer Windows File Server-Infrastruktur gespeichert sind. Zu den personenbezogenen Daten zählen jedoch auch Dinge wie E-Mails, die in Office Online oder vor Ort in Exchange gespeichert sind. Die folgenden Details sind Best Practices, die zum Schutz personenbezogener Daten befolgt werden sollten, um nicht nur die DSGVO, sondern auch andere Standards (HIPAA, FINRA usw.) einzuhalten.

Personenbezogene Daten, die unter die DSGVO fallen

Artikel 4 Absatz 1 definiert „personenbezogene Daten“ wie folgt (alle Hervorhebungen hinzugefügt, sofern nicht anders angegeben):

„personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen der physischen, physiologischen, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person;

Bei einer so weit gefassten Definition muss jede Organisation personenbezogene Daten identifizieren und schützen. Welche Tools stehen Windows-Systemadministratoren zur Verfügung, um Daten zu identifizieren und zu schützen? In den folgenden Abschnitten identifizieren wir Tools und Ressourcen, die Netzwerkadministratoren zum Schutz von Windows-Dateiservern und -Freigaben gemäß DSGVO zur Verfügung stehen.

Identifizierung personenbezogener Daten

Im Rahmen des Offenlegungsprozesses müssen Organisationen ihre Datenverarbeitungsaktivitäten detailliert identifizieren. Dies können sie tun, indem sie ein Register aller Datenverarbeitungsaktivitäten erstellen und pflegen. Gemäß der DSGVO müssen Organisationen eine vollständige interne Dokumentation ihrer Datenverarbeitungsaktivitäten führen.

Der erste Schritt zum Schutz des Fernzugriffs auf Daten mit MyWorkDrive besteht darin, persönliche Daten und Geschäftsprozesse zu identifizieren und zu lokalisieren. Sobald persönliche Daten identifiziert sind, können sie vor dem Zugriff geschützt werden. Neben der Entwicklung und Dokumentation von Datenverarbeitungs-Workflows gibt es in MyWorkDrive Tools zum Suchen nach Dateien auf Windows-Dateifreigaben einschließlich Windows Search Service und für größere Organisationen dTSuche. Die Kombination von Datenverarbeitungsforschung, Dokumentation und Entdeckung ist der erste Schritt zum Schutz von Windows-Dateiservern in jeder Organisation, die der DSGVO unterliegt.

Schutz persönlicher Daten auf Windows-Dateiservern

Sobald die Daten klassifiziert wurden, sollten Sie ein umfassendes Verständnis davon haben, welche Art von Daten Sie verarbeiten und wie die Daten geschützt werden müssen. Überlegen Sie, wie Sie personenbezogene Daten derzeit schützen (falls überhaupt), und nehmen Sie alle erforderlichen Änderungen vor oder setzen Sie die erforderlichen Verfahren ein. Der Schutz der Privatsphäre personenbezogener Daten sollte Priorität haben. Es kann erforderlich sein, eine Datenschutz-Folgenabschätzung (DSFA) der Richtlinien durchzuführen, um die Datenlebenszyklen und die möglichen Auswirkungen auf die Privatsphäre des Einzelnen zu bewerten.

Der Schwerpunkt sollte auf DSGVO-spezifischen Anforderungen liegen, wie etwa der Gewährleistung der Datenportabilität, dem Recht auf Information, dem Recht auf Vergessenwerden und der korrekten Art und Weise der Datenvernichtung. Die notwendigen Verfahren und Kontrollen sollten vorhanden sein, um die Rechte an gespeicherten personenbezogenen Daten zu unterstützen. Verfahren zur Datensicherung sind für personenbezogene Daten in allen Formen und an allen Standorten erforderlich, einschließlich vor Ort und in der Cloud, gesicherter Daten, archivierter Daten und erstellter Daten. Die Sicherheit des gesamten Datenlebenszyklus muss berücksichtigt werden.

Zum Schutz personenbezogener Daten können Unternehmen verschiedene Methoden verwenden, darunter Verschlüsselung, Anonymisierung und Pseudonymisierung. Welche Methode Sie verwenden, hängt von den Berechtigungen und dem Zugriff des Benutzers ab. Die Entwicklung einer Richtlinie zur Aufbewahrung von Dateiarchiven ist unerlässlich, damit Dateien im Laufe der Zeit entfernt werden können und somit nicht mehr den Compliance-Vorgaben unterliegen.

Microsoft hat Umfassende Ressourcen zum Sichern von GDPR Windows ServerS um die DSGVO einzuhalten, einschließlich Schutz von Anmeldeinformationen und Administratorrechten und Sicherung des Betriebssystems zum Ausführen Ihrer Apps und Infrastruktur. Zusätzlich zu den Microsoft-Ressourcen zum Sperren von Windows File Server-Betriebssystemen ist es wichtig, Systeme in vertrauenswürdigen Netzwerken zu sichern und zusätzliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung zu aktivieren, wenn auf Daten remote zugegriffen wird, und Downloads auf nicht verwaltete Geräte zu verhindern.

Dabei handelt es sich zum großen Teil um grundlegende Dinge wie das Anzeigen der Systemprotokolle und möglicherweise verschiedener Tools zum Sammeln und Berichten dieser Protokolle. Unternehmen sollten jedoch ebenso, wenn möglich, die Implementierung von Maßnahmen wie der Verhinderung von Datenlecks in Erwägung ziehen, um alle persönlichen Daten zu überwachen, auf die vor Ort oder remote zugegriffen wird.

Aus der Sicht von MyWorkDrive kann der Schutz persönlicher Daten auf Dateifreigaben ganz einfach sein, indem die Daten vollständig vom Remote-Zugriff ausgeschlossen werden oder der Zugriff auf bestimmte Freigaben auf Lesen und Bearbeiten nur in unserem Web File Manage-Client beschränkt wird, während Downloads mithilfe unserer Funktionen zur Verhinderung von Datenverlust eingeschränkt werden.

Verschlüsselung während der Übertragung

Protokolle wie z FTP-Server Die in Windows IIS integrierten Funktionen entsprechen nicht den DSGVO-Standards. Das Gleiche gilt für ältere Windows VPN-Clients. MyWorkDrive bietet zusätzlichen Schutz während der Übertragung, um Unternehmensdaten mit hoher Verschlüsselung, umfassender Protokollierung, Zwei-Faktor-Authentifizierung und Funktionen zur Verhinderung von Datenverlust zu sichern.

MyWorkDrive Server und Clients unterstützen den TLS 1.2-Standard zur Sicherung von Dateien vollständig und Unternehmen können den TLS 1.0-Zugriff problemlos deaktivieren. Unsere MyWorkDrive-Supportartikel beschreibt, wie unsichere und schwache Chiffren deaktiviert werden, um Daten während der Übertragung zu schützen.

Ein weiterer Schritt zum Schutz von Daten während der Übertragung besteht darin, das Betriebssystem selbst mit Firewall-Regeln zu schützen. MyWorkDrive selbst kann in einer separaten Firewall-Zone ausgeführt werden, die eingehende und ausgehende Ports auf die für SMB-Freigaben, Active Directory- und DNS-Verkehr intern und HTTPS-Verkehr (SSL) extern erforderlichen beschränkt. Weitere Details zu den Portanforderungen für eine ordnungsgemäße Firewall-Kommunikation des MyWorkDrive-Servers in einer gesperrten Umgebung sind verfügbar Hier zum Artikel.

Verschlüsselung im Ruhezustand

Eine Möglichkeit, dieses Risiko von DSGVO-Verstößen zu begrenzen, besteht darin, ruhende Daten zu verschlüsseln – selbst wenn ein Verstoß auftreten würde, wenn der Verschlüsselungsschlüssel nicht verletzt wird, können Unternehmen möglicherweise den Benachrichtigungsschritt vermeiden.

Der DSGVO-Bericht hat hier einen tollen Artikel, in dem es heißt: „Wenn die Organisation im Falle einer Beeinträchtigung oder eines Datenverlusts die volle Kontrolle über ihre eigenen Verschlüsselungsschlüssel hat, kann sie den Benachrichtigungsschritt ganz vermeiden, wenn die Daten für die Außenwelt der Organisation nicht lesbar sind. Wenn dagegen der Cloud- oder SaaS-Anbieter die Schlüssel kontrolliert und diese verletzt werden, gibt es keine Möglichkeit, sicher zu sein, dass die Daten der Organisation sicher sind – und es kommt zu Benachrichtigungen und Bußgeldern.“ Dies gilt auch für Dateien, die auf GDPR-Windows-Dateiservern gespeichert sind, und Backups, die vor Ort oder in der Cloud gespeichert sind.

MyWorkDrive speichert niemals Kundendaten, weder vor Ort auf dem MyWorkDrive-Datei-Webzugriffsserver noch beim Öffnen in Office 365 online. Unternehmen können ihre Daten sicher verschlüsseln auf Windows-Dateifreigaben ohne den Fernzugriff auf MyWorkDrive-Dateien durch die Verwendung zu beeinträchtigen integrierte Windows-Server-Tools oder durch die Nutzung von Drittanbietern wie Sophos oder Symantec.

Aus Sicht des MyWorkDrive-Servers und -Clients greifen Benutzer in ihrem Benutzerkontext auf Dateifreigaben zu, genau wie bei herkömmlichen zugeordneten Laufwerken. Das MyWorkDrive Cloud-Dateiserver konvertiert lokalen SMB-Dateiserververkehr in HTTPS, damit der Benutzer remote auf Dateien zugreifen kann, und fügt zusätzliche Protokollierungsfunktionen und eine optionale Zwei-Faktor-Authentifizierung hinzu. Da Dateien direkt ohne Download aufgerufen und bearbeitet werden können, wird außerdem die lokale Speicherung von Dateien auf Endbenutzergeräten minimiert.

Unternehmen können außerdem die Datenverlust-Präventionsfunktionen von MyWorkDrive aktivieren, um Downloads und die externe Freigabe zu verhindern, das Anzeigen und Bearbeiten von Dokumenten in einem sicheren Browser aber weiterhin zu ermöglichen.

Überwachung und Berichterstattung

Natürlich können Sie die strengen Meldepflichten der DSGVO nicht innerhalb von 72 Stunden erfüllen, wenn Sie den Verstoß nicht von vornherein erkennen.

Anfragen zum Datenzugriff: Die DSGVO enthält ausdrückliche Anforderungen für die Meldung von Verstößen, wenn es sich bei einem Verstoß gegen den Schutz personenbezogener Daten um „eine Verletzung der Sicherheit handelt, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.“

MyWorkDrive umfasst umfassende Protokollierungs- und Suchfunktionen zum Melden von Zugriffen, Änderungen oder Downloads, die mit zentralisierten Protokollverwaltungstools, GDPR Windows File Server-Berichtstools oder Warntools von Drittanbietern wie File Audit Plus von Manage Engine, Netwrix Auditor oder Quest’s Change Auditor für NetApp kombiniert werden können.

Alle MyWorkDrive-Zugriffsprotokolle liegen im standardisierten XML-Format vor, um die Integration und Berichterstellung zu vereinfachen. Ipswitch beschreibt außerdem Best Practices für die Ereignisprotokollverwaltung für Sicherheit und Compliance. Hier zum Artikel.

Haftungsausschluss

Dieses Whitepaper ist ein Kommentar zur DSGVO, wie sie MyWorkDrive zum Zeitpunkt der Veröffentlichung interpretiert. Die Anwendung der DSGVO ist sehr faktenspezifisch, und nicht alle Aspekte und Interpretationen der DSGVO sind gut geklärt. Daher wird dieses Whitepaper nur zu Informationszwecken bereitgestellt und sollte nicht als Rechtsberatung oder zur Bestimmung der Anwendung der DSGVO auf Sie und Ihr Unternehmen herangezogen werden. Wir empfehlen Ihnen, mit einem juristisch qualifizierten Fachmann zusammenzuarbeiten, um die DSGVO zu besprechen, wie sie speziell auf Ihr Unternehmen zutrifft und wie Sie die Einhaltung am besten sicherstellen können. MYWORKDRIVE ÜBERNIMMT KEINE AUSDRÜCKLICHEN, STILLSCHWEIGENDEN ODER GESETZLICHEN GEWÄHRLEISTUNGEN HINSICHTLICH DER INFORMATIONEN IN DIESEM WHITEPAPER. Dieses Whitepaper wird „wie besehen“ bereitgestellt. Informationen und Ansichten, die in diesem Whitepaper zum Ausdruck gebracht werden, einschließlich URLs und anderer Verweise auf Internet-Websites, können ohne Vorankündigung geändert werden. Dieses Dokument verleiht Ihnen keinerlei Rechte an geistigem Eigentum an einem MyWorkDrive-Produkt. Sie dürfen dieses Whitepaper nur für Ihre internen Referenzzwecke kopieren und verwenden.