Managed File Transfer und DSGVO
MFT – Managed File Transfer Trends & Innovationen

GDPR und Managed File Transfer

| | Corporate Information Security Officer (Co-CISO), SEEBURGER

Die 2-jähriger Übergangsfrist für die Einführung der Anforderungen der GDPR endet mit dem 25.05.2018.

Der sichere Austausch von personenbezogenen Daten über Unternehmensgrenzen hinweg ist ein gängiger Schwachpunkt.

Die EU-Datenschutzgrundverordnung (EU-DSGVO)  bzw. EU General Data Protection Regulation (GDPR) führt zur weitgehenden Harmonisierung des europäischen Datenschutzrechts für personenbezogene Daten. Die Änderungen sind zum 25.05.2018 vom Gesetzgeber als verpflichtend vorgesehen, die Uhr tickt also.

 

Sicherer Austausch von Daten wird wichtiger denn je:

  • Verschlüsselung und Pseudonymisierung der Daten
  • Sicherstellung der Vertraulichkeit und Integrität
  • Verfügbarkeit der Systeme und Dienste
  • Wiederherstellung nach einem Ausfall

Das gilt für vielfältige Ausprägungen des Datenaustauschs: System-to-System (Upload von Batch-Dateien, geplante Übertragungen), System-to-Human (geplante Reports) und Human-to-Human (Ad hoc-E-Mails oder manuelle FTP-Uploads).

Speziell Unternehmen mit einem unkoordinierten und dezentralen Datenaustausch laufen ab dem 25.05.2018 Gefahr, Datenschutzverletzungen zu begehen. Die Strafen bei mangelhaftem Schutz von personenbezogenen Daten sind erheblich und können auch für Beteiligte (z.B. Geschäftsführer, Vorstand, Datenschutzbeauftragter, CISO etc.) gelten.

Selbst wenn Sie die Möglichkeit, dass Daten durch Personenbezug verseucht sind (z.B. Kundendaten, Kreditkartendaten), organisatorisch zu 100% ausschließen können, sind Geschäftsdaten schon für sich betrachtet unternehmenskritisch und meistens vertraulich.  Denken Sie an Finanzdaten, Preislisten, Verträge, Zahlungsinformationen, geistiges Eigentum, Lagerbestände, Aufträge oder Supply Chain-Daten.

Unternehmenskritische Daten müssen nicht nur am richtigen Ort oder Adressaten zur richtigen Zeit ankommen. Sondern Sie müssen das auch nachvollziehen und belegen können. Daher kommt man nur durch eine Kombination von organisatorischen und technischen Maßnahmen auf die sichere Seite.

Bei strukturierten Daten haben sich für EDI IP-basierte, verschlüsselte Protokolle wie AS2 oder OFTP2 durchgesetzt, wo mit signierten Zertifikaten gearbeitet wird.

Bei unstrukturierten Daten gibt es nach wie vor viele FTP-Kanäle oder Nutzung von Internetdiensten, bei denen keine belastbaren Auftragsverarbeitungsverträge (AVV) möglich sind. Wenn das bei Ihnen auch so sein sollte, sollten Sie über den Einsatz einer Managed File Transfer-Lösung (MFT) dringend nachdenken.

SEEBURGER ist seit mehr als 30 Jahren ein Experte für den sicheren Austausch von Daten zwischen nationalen und internationalen Kunden und deren Handelspartnern.

Haben Sie Fragen oder Anmerkungen?

Wir freuen uns hier über Ihre Nachricht.

Teilen Sie diesen Beitrag, wählen Sie Ihre Plattform!

Frank Stegmueller

Ein Beitrag von:

Frank Stegmüller ist einer der beiden Corporate Information Security Officers bei SEEBURGER und ist seit 2008 im Unternehmen. Er verfügt über 25 Jahre Erfahrung im Service, Support und in der Informationssicherheit rund um Enterprise Application Integration, EDI, B2B, MFT, API, ITSM und digitale Transformation - sowohl auf eigenbetriebenen Systemen als auch aus der Cloud. Er arbeitet an ISO/IEC 27001, ISAE 3402 (SOC 1) Typ 2 und TISAX Zertifizierungen für SEEBURGER Cloud Services und kennt die Feinheiten des richtlinienkonformen Rechenzentrumsbetriebes in internationalen Umfeldern.