GDPR-Anforderungen für Windows Server-Administratoren

Die Uhr tickt, um Ihre Windows-Systeme auf die allgemeine Datenschutzverordnung vorzubereiten. Um diese Compliance-Bemühungen zu unterstützen, bietet Microsoft verschiedene Ressourcen an, um Systemadministratoren zu unterstützen.

Die DSGVO, ein Datenschutzgesetz der Europäischen Union, tritt im Mai 2018 in Kraft und bedeutet weitreichendere Auswirkungen auf die IT als andere Vorschriften. Während beispielsweise das Gesetz über die Portabilität und Rechenschaftspflicht von Krankenversicherungen nur für Gesundheitsdienstleister relevant ist, müssen die meisten Organisationen die GDPR-Anforderungen einhalten. Das Es gilt die Regelung an jede Organisation – auch außerhalb Europas -, die Daten von EU-Bürgern verarbeitet, sammelt oder speichert.

Diese umfassende Datenschutzbestimmung stellt eine Compliance-Herausforderung dar für selbst die kleinsten Unternehmen. Wenn beispielsweise ein US-amerikanisches Unternehmen Artikel von seiner Website an einen EU-Bürger verkauft, gilt die DSGVO für dieses Unternehmen. Selbst etwas Geringes, wie das Speichern der Telefonnummer eines EU-Bürgers in digitalen Medien, zwingt ein Unternehmen dazu Beachten Sie die Regeln oder löschen Sie die Daten.

Was ist DSGVO?

DSGVO stellt strenge Anforderungen an den Umgang von Unternehmen mit personenbezogenen Daten von EU-Bürgern. Die DSGVO wird die Datenschutzrichtlinie der EU ersetzen, von der nur Organisationen mit physischer Präsenz in Europa betroffen waren.
Die GDPR-Anforderungen besagen, dass “personenbezogene Daten alle Informationen sind, die sich auf eine Person beziehen, unabhängig davon, ob sie sich auf ihr privates, berufliches oder öffentliches Leben beziehen. Es kann sich um einen Namen, eine Privatadresse, ein Foto, eine E-Mail-Adresse oder eine Bank handeln Details, Beiträge auf Websites sozialer Netzwerke, medizinische Informationen oder die IP-Adresse eines Computers. ”
Unternehmen, die den GDPR-Konformitätsregeln unterliegen, müssen Datenverarbeitungsaufzeichnungen aufbewahren, aus denen hervorgeht, dass große Anstrengungen unternommen wurden, um die mehr als 100 GDPR-Anforderungen einzuhalten. Die Strafen für Verstöße belaufen sich auf bis zu 20 Millionen Euro – etwa 24 Millionen US-Dollar – oder auf bis zu 4% des Jahresumsatzes eines Unternehmens, je nachdem, welcher Wert höher ist.

Wie hilft Windows Server bei GDPR?

Obwohl Windows Server 2016 keine spezifischen Funktionen im Zusammenhang mit GDPR bietet, verfügt das Betriebssystem über andere Funktionen, um Unternehmen vor einer Datenverletzung zu schützen.
Beispielsweise schützen die Funktionen Just Enough Admin und Just in Time Admin vor überprivilegierten Administratorkonten. Wenn ein Unternehmen einen Administrator hat, dessen Hauptverantwortung die Active Directory-Verwaltung ist, erhält diese Person normalerweise die vollständigen Administratorrechte, obwohl sie nur einen bestimmten Typ von Verwaltungsaufgabe ausführen muss. Die Funktionen Just in Time Admin und Just Enough Admin gewähren die für eine bestimmte Aufgabe erforderlichen Berechtigungen für einen begrenzten Zeitraum. Die IT-Abteilung kann eine zusätzliche Sicherheitsebene hinzufügen, indem sie Windows so konfiguriert, dass die Identität des Administrators durch Multifaktorauthentifizierung überprüft wird, bevor die Anforderung gewährt wird.
Ein weiteres Sicherheitsmerkmal, das bei GDPR-Konformitätsinitiativen hilfreich sein kann, ist Windows Defender Credential Guard. Neu in Windows Server 2016 ist, dass diese Funktion einen Hypervisor verwendet, um Authentifizierungsdaten zu isolieren und den Zugriff auf privilegierte Systemsoftware einzuschränken. Ein ähnliches Tool namens Windows Defender Remote Credential Guard schützt die für Remotedesktopsitzungen verwendeten Anmeldeinformationen.
Windows Defender Device Guard ist ein Tool zur Whitelist von Anwendungen in Windows Server 2016, mit dem ein Administrator angibt, welche Binärdateien auf dem System ausgeführt werden können, um Malware-Angriffe zu verhindern. Wenn versucht wird, nicht autorisierten Code auszuführen, blockiert Windows Server ihn und protokolliert die Aktivität.
Microsoft hat die Sicherheitsüberwachungsfunktionen von Windows Server aktualisiert, was für die Einhaltung der DSGVO hilfreich ist. Das Unternehmen hat Windows Server 2016 für die Integration entwickelt Sicherheitsinformationen und Ereignisverwaltung Systeme und erweiterte das Server-Betriebssystem, um zwei neue Arten der Überwachung zu unterstützen. Zum ersten Mal kann Windows Server Gruppenmitgliedschaften und Plug-and-Play-Aktivitäten (PnP) nativ überwachen. Mithilfe der PnP-Überwachung können Administratoren die Verwendung externer Speichergeräte erkennen.

Was bietet Microsoft noch?

Microsoft fördert seine Cloud-Dienst als Methode zur Beschleunigung der Einhaltung der DSGVO. Für Unternehmen, die diese Option nicht haben, gibt es andere Microsoft-Dienste und -Tools das kann helfen.
Der GDPR-Benchmark ist ein Fragebogen, der etwa zwei Dutzend Fragen stellt und auf der Grundlage der Antworten eine Reihe von Empfehlungen bietet. Abbildung 1 zeigt einen Auszug aus der Site.

GDPR-Umfrage
Abbildung 1. Die GDPR-Bewertungssite von Microsoft enthält Empfehlungen, die auf den Antworten auf eine Reihe von Fragen basieren.

Die Site fragt nach dem Standort, der Größe und der Frage, ob es sich um einen Microsoft-Partner handelt, und fährt dann mit einer Reihe von GDPR-spezifischen Fragen fort. Das GDPR-Benchmark-Tool ist im Wesentlichen ein Microsoft-Vertriebsdienstprogramm. Es sollte jedoch hervorgehoben werden, welche Bereiche der Administrator ansprechen muss, um die GDPR-Anforderungen zu erfüllen.
EIN Microsoft-Site GDPR bietet Anleitungen durch eine Reihe von Dokumenten und Videos, die Unternehmen beim Compliance-Prozess unterstützen können.

Detaillierte Bewertung der DSGVO
Abbildung 2. Das detaillierte GDPR-Bewertungspaket enthält eine Excel-Tabelle, mit der der Grad der GDPR-Konformität eines Unternehmens gemessen werden kann.

Abbildung 2 zeigt eine Excel-Tabelle, die Teil des GDPR Detailed Assessment-Pakets auf der Site ist. Die Tabelle enthält mehr als 100 Fragen dazu, wie das Unternehmen Daten speichert, verwaltet, sichert und verarbeitet. Füllen Sie die Tabelle aus, um die allgemeine Compliance-Bereitschaft des Unternehmens und die Bereiche zu bewerten, in denen Verbesserungen erforderlich sind.

Similar Posts

Leave a Reply