Neu im AuditTAP: GDPR Compliance Checks für Windows 10

Unser AuditTAP erhielt eine neue, sinnvolle und Compliance-relevante Funktionserweiterung: Das kostenlose Tool bietet jetzt auch einen Windows 10 Audit Report bezüglich der DS-GVO bzw. GDPR an.

Die DS-GVO verunsichert die Unternehmen

Seit Mai 2018 ist die europaweit geltende Datenschutz-Grundverordnung (DS-GVO) oder General Data Protection Regulation (GDPR) in aller Munde. Vermeintlich einfache Dinge wie das Übertragen personenbezogener Daten von “A nach B” sind laut DS-GVO ohne Erlaubnistatbestand verboten. Und es werden Maßnahmen zum Schutz personenbezogener Daten auf dem “Stand der Technik” gefordert. Was das bedeutet, hat TeleTrust e.V. in einer Handreichung ausgearbeitet.

Die hohen Bußgelder bei Verstößen gegen die DS-GVO haben viele Entscheider und IT-Verantwortliche wachgerüttelt. Seitdem werden in vielen Unternehmen die vorhandenen Risiko-Bewertungen überarbeitet, (erstmalig) neue erstellt und angemessene Maßnahmen ergriffen.

Sich Gedanken um Datenschutz machen ist notwendig!

AUDIT TAP (Bild: FB Pro GmbH)Verschiedene Frameworks liefern bereits, was laut den Vorschriften als “sichere Konfiguration” gilt. So hat beispielsweise Microsoft im Bereich Datenschutz viele technische Maßnahmen einsehbar dokumentiert. Details dazu sind auf dieser Webseite zu finden.

Wir haben uns ebenso intensiv mit der Thematik beschäftigt. Die Folge: Unser bekanntes AuditTAP überprüft und protokolliert jetzt auch die von Microsoft aufgeführten Datenschutz-Einstellungen von Windows 10.

Was bedeutet das konkret?

Unser AuditTAP schaut jetzt bei über 100 Windows 10-Einstellungen auf ihre Datenschutz- bzw. GDPR-Konformität. Dabei orientiert sich die Prüfung an den Empfehlungen des BSI und an denen von Microsoft.

Der voll automatisierte Audit prüft unter anderem, wie Cortana, die Verbindung mit OneDrive oder die Tracking-Einstellungen konfiguriert sind.

So sieht beispielhaft ein Bericht mit dem Windows 10 GDPR Report des AuditTAP aus (Auszug):

FB Pro Audit TAP Windows 10 GDPR Report Auszug

Setzen Sie nicht blindlings alles um!

Wichtig: Das unreflektierte Umsetzen der Microsoft-Empfehlungen ist definitiv nicht sinnvoll! Denn die Veränderung mancher Einstellung mag aus Sicht des Datenschutzes eine Konformität erzeugen, doch bei genauer Betrachtung kann das weitreichende Folgen für Ihr System oder Unternehmen haben.

Fangen wir mit drei Beispielen von Einstellungsveränderungen an, die man wirklich gerne vornehmen kann und sollte:

    • Suchvorschläge abschalten: Zugegeben, es ist komfortabel, dass der Browser einem während des Eintippens einer URL oder eines Suchbegriffs passende Vorschläge unterbreitet. Doch damit akzeptieren Sie, dass alle Eingaben an Suchmaschinen-Anbieter wie Google oder Microsoft gesendet werden und eben daraus Suchvorschläge generiert und angezeigt werden. Und wer weiß schon, was dort so alles eingetippt wird?
    • Das Abschalten des “Activity Feed” (deutsch: Aktivitätsverlauf) ist ebenfalls nur der Verlust von Komfort, aber für das Erreichen eines angemessenen Datenschutz-Niveaus wichtig.
    • Das Übertragen von Telemetrie-Daten an Microsoft hilft nur dem Hersteller. Daher kann dieses Features abgeschaltet werden. Das empfiehlt übrigens auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Folgende zwei Beispiele sind Einstellungen, die laut den Herstellerempfehlungen abgeschaltet/deaktiviert werden sollten. Doch gerade in kleinen und mittelständischen Unternehmen sind oft nicht alle technischen Voraussetzungen vorhanden, um das gefahrlos zu tun:

    • Bei der Nutzung von Microsoft Update werden personenbezogene Daten (konkret die IP-Adresse des verwendeten Anschlusses) an Microsoft und weitere Unternehmen übertragen. Wird diese Funktion abgeschaltet, braucht man zwingend eine eigene Infrastruktur, um Sicherheits-Updates auf den hauseigenen Clients und Servern zu verteilen.
    •  Auch die Abschaltung des Dienstes, der für die Zeit-Synchronisation zuständig ist, halten wir für wenig sinnvoll. Es empfiehlt sich daher der Aufbau einer eigenen NTP-Infrastruktur mit der entsprechenden, verpflichtenden Konfiguration für alle Geräte im eigenen Netzwerk.

Zusammengefasst bedeutet das: Nicht alles, was datenschutzrechtlich Konformität erzeugt, ist auch aus Sicht der Informationssicherheit und aus Sicht eines stabilen Betriebes sinnvoll!

Wir empfehlen daher dringend, die Windows 10-Einstellungen zu prüfen und deren Relevanz für das eigene Unternehmen zu bewerten. Es gilt, eine Interessensabwägung unter dem Aspekt der “Angemessenheit” für oder gegen gewisse Einstellung durchzuführen.

Was können wir für Sie tun?

Benötigen Sie Unterstützung bei der sicheren Konfiguration von Systemen nach dem “Stand der Technik”? Oder eine Bewertung der Sicherheitsmaßnahmen nach der DS-GVO? Möchten Sie mehr über unser AuditTAP erfahren? Kontaktieren Sie uns!

Kontakt aufnehmen

AuditTAP: Download

Das Audit Test Automation Package, kurz AuditTAP, können Sie hier gratis herunterladen:

 

Bilder: FB Pro / Smartmockups.com

Schreibe einen Kommentar