EU-GDPR/DSGVOBDSGneu

-Datenschutzvorschriften 2018

Andreas DiehlChannel Account Executive Public Team01.03.2018

Welche Sanktionen drohen?

Ab wann drohen die Sanktionen aus EU DSGVO?

Wofür drohen die Sanktionen aus EU DSVGO?

Welche Abteilungen sind betroffen?

Was ist zu tun?

Welche Lösungen unterstützen mich?

INHALT

Sanktionen

Die Sanktionen DSGVO

4

Die Datenschutzaufsichtsbehörden erhalten Befugnisse Geldbußen zu verhängen, die bei VERMUTETEN oder tatsächlichen Verstößen einsetzen können.Maximal: 10 Mio Euro oder 2 % des weltweiten Jahresumsatzes(Verstoß gegen Art. 8, 11, 25-39, 42 und 43 DSGVO)

Für EINDEUTIGE Verstöße (z. B. Datenverarbeitung OHNE Einwilligung des Betroffenen)Maximal: 20 Mio Euro oder 4 % des weltweiten Jahresumsatzes(Verstoß gegen Art. 5-7,9,12-22,44-49 DSGVO)

Sowie bei Nichtbeachtung einer behördlichen Anweisung (Art. 58 DSGVO)

PRO Fall und zwar so, dass die Verhängung von Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ ist

Die Sanktionen BDSGneu

5

Die Aufsichtsbehörden erhalten die gleichen Befugnisse. Das Landgericht entscheidet, wenn die Geldbuße den Betrag von 100.000€ übersteigt

Zudem bis zu drei Jahren Freiheitsstrafe oder Geldbuße für wissentlichen und gewerbsmäßigen Verstoß

Und bis zu zwei Jahren Freiheitsstrafe oder Geldbuße für Verstoß mit Bereicherungs- oder Schädigungsabsicht

Grundsätzlich: Schadenersatz

Zeitrahmen

5. Mai 2016 – Veröffentlichung im EU Amtsblatt25. Mai 2016 – Inkrafttreten der EU DSGVO

24 Monate Übergangsfrist-> Frist zur Prüfung und Anpassung der Prozesse

25. Mai 2018 Gültigkeit der EU DSGVO für ALLE-> Prüfung der Einhaltung und Anordnung von Sanktionen-> Inkrafttreten des BDSGneu als Ersatz des bisherigen BDSG

Zeitplan EU DSGVO und BDSGneu

25May

2018

8

Relevante Daten

Auf natürliche Personen beziehbare Daten

Personenbezogene Daten• Allgemeine wie Name, Geburtsdatum und –ort, Anschrift, etc.• Kennnummern wie SteuerID, Personalausweis, Krankenkasse, Matrikelnummer, etc.• Bankdaten und Wirtschaftsauskünfte wie Kontonummer und –stand, Bonität, etc.• Physische Merkmale wie Haut-, Haar- und Augenfarbe, Geschlecht, Konfektionsgröße, etc.• Kundendaten wie Anschrift, Bestellungen, Wert, etc.• Werturteile wie Arbeitszeugnisse, Schulzeugnisse, Zertifikate, etc.

Besonders zu schützen: • Rassische und ethnische Herkunft• Politische Ansicht• Religiöse/Philosophische Überzeugung• Gewerkschaftszugehörigkeit• Gesundheitsdaten• Daten zur Sexualität

Nutzung personenbezogener DatenVerarbeitung personenbezogener Daten muss nachweisbar (Rechenschaftspflicht)• Rechtmäßig, nach Treu und Glauben und transparent• Zweckgebunden (Zweckbindung)• Auf das notwenige Maß beschränkt (Datenminimierung)• Nach aktuellem Stand richtig (Richtigkeit)• Zeitlich begrenzt (Speicherbegrenzung)• Angemessen technisch und organisatorisch geschützt

(Integrität und Vertraulichkeit)sein

„einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“

Gefahren durch nicht angemessen geschützte, personenbezogene Daten

13

Datenverlust

Nicht-Verfügbarkeit

Erpressung

Produktivitätsverlust

Reputationsverlust

BußgelderBetrug Datenänderung

Schadenersatz

Relevante Abteilungen

Relevante Abteilungen

• Geschäftsführung (steht in der Gesamtverantwortung)• Rechts- und Compliance Abteilung (Anpassung von Verträgen,

Gefährdungsanalyse)• Finanzabteilung (erhebliche Kosten für Anpassung, Risiko,

Datenhalter)• Personalabteilung und Betriebsrat (Personaldaten,

Betriebsvereinbarung, Sensibilisierung)• Marketing und Vertrieb (Datensammlung und Profiling)• Forschung und Entwicklung (auf Basis von Privacy by Design)• IT Security (Risiko Assessment und techn. Verantwortung)

Maßnahmen

IT-Business.de, 26.09.2017

Maßnahmen zur Einhaltung

18

• Die EU-DSGVO nennt explizit Verschlüsselung und “Anonymisierung”• Zwang der Einwilligung zur Datenverarbeitung• Datenklassifizierung und Berechtigungskonzept• Datenschutz-Regelung und Risikoabschätzung• Daten-Verfügbarkeit sicher stellen (auch Schutz vor Ransomware)• Fehlerquellen minimieren (“versehentlich”), Mitarbeiter sensibilisieren• Stand der Technik beachten• Aktiv Meldefähig sein – 72 Stunden Limit

Beispiele für “Nicht-Einhaltung”

19

20

https://www.privacyrights.org/data-breaches

21

https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

Unterstützende Lösungenan Endpoints

Lösungen für jedes RisikoRisiko Minimierung IT SECURITY SCALEBASIC LOWEST RISK

LOWER HIGHER

Hacking, malware, or malicious code (57%)

Portable devices and physical loss (17%)

Unintended disclosure (22%)

Other (4%)

Advanced malware

Ransomware and exploits

Unauthorized access and

credential theft

Lost or stolen laptops and

storage devices

Lost or stolen mobile devices,

tablets, and IoT devices

Human error, loss via email,

or loss via cloud storage

Malicious insider

Endpoint Protection Intercept X Server Security Device Encryption Sophos Mobile SafeGuard Encryption

On premisesSophos Central

Hauptgründe fürDatenpannen

Ursachen

Absicherung

Aufwand

* Percentages based on number of incidents according to data from Privacy Rights Clearinghouse

Next-Gen

Detect

Web SecurityDownload Reputation

Exposure

Antivirus

QuarantineMalware Removal

Remediate

Prevent

Behavior

Pre-Exec Behavior Analysis / HIPS

Emulation

File ScanningAnti-Malware

Potentially Unwanted AppLive Protection

Respond

Endpoint Standard

Before it reaches device Before it runs on device

BehaviorRuntime Behavior

Analysis / HIPS

Next-Gen

Detect

Web SecurityURL Category BlockingDownload Reputation

Exposure

Antivirus

Malicious Traffic Detection

Behavior

QuarantineMalware Removal

Remediate

Prevent

Behavior

Pre-Exec Behavior Analysis / HIPS

Emulation

File ScanningAnti-Malware

Potentially Unwanted AppLive Protection

Synchronize

HeartbeatContextual

Sharing

Respond

Endpoint Advanced + Intercept X

Browser Exploit Prevention

Exploit

Detailed Threat Analysis

Analyze Clean

Malware Activity Cleanup

Before it reaches device Before it runs on device

ExposureApplication Control

Device Control (USB)

Exploit TechniquePrevention

Exploit Extortion

CryptoguardAnti-Ransomware

BehaviorRuntime Behavior

Analysis / HIPS

Full-Disk oder Datei Verschlüsselung? Beide!

26

FULL DISK ENCRYPTION FILE ENCRYPTION

Protects against device theft or loss

Secures data stored in the cloud

Secures data even if exfiltrated

Secures sensitive email

Secures data even if system is hacked or compromised

Helps to protect against insider threats

Secures data stored on mobile devices and elsewhere

Datei Verschlüsselung hilft oftmals

27

Bisheriger Bedarf Bessere LösungEncrypt only sensitive data

Create intricate policies

Apps and encryption didn’t talk

Difficult to share encrypted files

Hacked systems were vulnerable

How do you know?

Complicated set up

Exposure to more risk

Business friction / frustration

Exposure to risk

Encrypt everything, automatically

Make it simple for admins

Revoke keys for untrusted apps

Make it simple for users

Revoke keys from compromised systems

Synchronized Encryption

28

User Integrity App Integrity System Integrity

MDM/EMM/UEM – nicht vergessen!

29

Android Enterprise Device Owner

Support for Android enterprise “device owner” management mode

Complete control of configuration during initial setup of device

Suitable for COBO and CYOD scenarios Extended device control capabilities

Windows 10 App Management

Manage apps on Windows 10 desktop computers

See apps installed on the device Compliance rules based on installed

apps Push MSI or Windows Store apps

macOS Management

Manage macOS computers Enroll centrally or via SSP Lots of policies (>20) Compliance check Ideal for BYOD Macs

…plus much more!Launch at MWC on 26 Feb 2018

Unterstützende Lösungenam Gateway

Technologien zum Schutz gegen Bedrohungen

Gateway-Technologien

Endpoint-Technologien

Web- und EmailfilterungAnti-Virus

Intrusion Prevention

Web Application Firewall

Firewall / Netzwerksegmentierung

Application Control

Whitelisting

Verschlüsselung

Device ControlWebfilter Machine Learning

Botnet-C&C-Erkennung

Anti-Virus

HIPSCryptoGuard

Exploit Prevention

Next-Generation Sandbox

In reality, users look much more like this…

Most Firewalls see users this way…

Sophos XG FirewallUnrivalled Security, Simplicity, and Insight

Exposes Hidden Risks Automatically Responds to Incidents Apps, Users, Payloads, Threats Traffic-light dashboard indicators Comprehensive On-Box Reporting Prevent issues from becoming problems

Unique Security Heartbeat™ Integrates EP Health into rules Instantly ID compromised systems Automatically isolate them

Blocks Unknown Threats Full suite of protection IPS, APT, Sandboxing Web and App Control Easily managed from a single screen

Learn More

SYNCHRONIZED APP CONTROL

A Breakthrough in Network Visibility

Next-Gen EndpointUTM/Next-Gen Firewall

Sophos Synchronized Security

35

Mobile

Server

Wireless

Email

Web

Security Heartbeat™

Encryption

“It only took 2 minutes to find out that everything was under control. Sophos XG Firewall detected the threat and Security Heartbeat allowed the infected host to be immediately identified, isolated and cleaned up. Instead of going into fire drill mode, we were able relax and finish our lunch.”

DJ Anderson, CTO, IronCloud

Endpoints und Firewall reden miteinander

Lösungen zur Sensibilisierung

Phishen wie die bösen JungsMitarbeiter schulen und prüfen

GRUNDLAGEN TESTS

SIMULATION VON REAL-WORLD ANGRIFFEN

EFFEKTIVE TRAININGSMODULE

VERSTÄNDLICHESREPORTING

37

• 9 Sprachen• Über 140 aktuelle

Angriffsvorlagen• Über 30 interaktive

Trainingsmodule

Effektive Trainings-und Simulations-

vorlagen New screen shot

38

Sophos Phish Threat

Sophos Phish ThreatSimulierte Phishing Kampagnen in drei Schritten

• 100te anpassbaareVorlagen für Phishing Attacken (regelm. aktualisiert)

Auswahl der Kampagne

1

• + 30 interaktiveTrainingskurse zuSecurity und Compliance Themen

Auswahl desTrainings

2

• Reports zuKampagnen

• Analyse nachOrganisation, Gruppeoder Mitarbeiter

Prüfung undMessung der Schulungs-

maßnahmen

3

39

Fazit

Wie kann man sich am besten schützen?Was man kaufen kann:• Firewall• Endpoint, Mobile und Server• Zutrittskontrolle, Überwachung• WLAN-Absicherung• Verschlüsselung (Devices, Cloud und Mail)• ......

Was man nicht kaufen kann:• XMV und Awareness• Technisch organisatorische Maßnahmen (TOM)• Datenschutzbeauftragter / EU-DSGVO• Double-opt-in (Einverständniserklärungen)• Versicherung, aber nicht gegen Bußgelder!!!• ....

Die Mitspieler

Die Bösen Die NutzerDie Guten

plus 1500Hersteller fürIT-Security

Die Gesetzgeber

Die Umsetzer:

43

Herzlichen Dank