Digitale Identitäten sind ein zentraler Baustein der IT-Landschaft jedes Unternehmens. Es ist daher wichtig, diese Identitäten und die damit verbundenen Zugriffsrechte sorgfältig zu verwalten. Welche Faktoren beim Identity and Access Management (IAM) eine Rolle spielen, beschreibt unser Blog «Digital Identity Management – was es bedeutet und wie Sie es steuern».
Als eine der grössten Herausforderungen beim IAM gilt die Einhaltung gesetzlicher Bestimmungen. Denn Unternehmen, die IAM nutzen, unterliegen Datenschutzgesetzen. Zugleich hilft IAM dabei, gesetzliche Vorgaben zu erfüllen.
Das Erfüllen von Sicherheits- und gesetzlichen Anforderungen ist eine Herausforderung, vor der jedes Unternehmen steht – ungeachtet seiner Grösse oder Branche. Und sie wird aufgrund immer neuer Vorgaben und Gesetzen je länger, je komplexer.
Verschaffen Sie sich einen Überblick über die wichtigsten Bestimmungen und erfahren Sie, wie eine IAM-Lösung nicht nur bei deren Einhaltung hilft, sondern auch Ihre digitalen Identitäten schützt.
In diesem ersten Blog zum Thema konzentrieren wir uns auf das Schweizer Datenschutzgesetz (DSG), die europäische Datenschutz-Grundverordnung (DSGVO) und die Digital Operational Resilience Act (DORA).
DSG und DSGVO
Die Nutzerrechte – eine allgemeine Übersicht
Das Schweizer Datenschutzgesetz
Dem DSG unterstehen sämtliche Schweizer und internationalen Unternehmen, die Daten von in der Schweiz ansässigen Personen bearbeiten. Beim DSG handelt es sich um ein Bundesgesetz, das die Persönlichkeits- und Grundrechte von Personen schützen will, indem es ihnen bestimmte Rechte gewährt.
Die Datenschutz-Grundverordnung
Die DSGVO ist das europäische Gesetz zum Schutz personenbezogener Daten und unterstreicht Europas Engagement für den Datenschutz. Sie auferlegt jedem Unternehmen, das Daten von Bürgerinnen oder Bürgern der EU sammelt oder sammeln will, strenge Pflichten. Damit gewährleistet sie den Schutz der Daten und digitalen Identitäten von Personen.
Dies sind die wichtigsten Nutzerrechte, die Unternehmen sowohl im Rahmen des DSG als auch der DSGVO berücksichtigen müssen:
- Auskunftsrecht
Jede Person kann Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Sie muss über die notwendigen Informationen verfügen, wie sie ihre Rechte geltend machen kann. Dies umfasst die Identität der verantwortlichen Person («Controller»), die Daten selbst, den Zweck der Bearbeitung und die Dauer der Datenspeicherung, die Herkunft der Personendaten, Informationen über eventuell automatisierte Entscheidungen sowie ggf. Angaben über die empfangenden Personen. - Explizite Einwilligung
Jede Person kann entscheiden, ob ein Unternehmen ihre Personendaten nutzen darf. Unternehmen müssen vor oder zum Zeitpunkt der Datenerhebung klar informieren, zu welchem Zweck sie Daten sammeln, wozu sie sie verwenden und wie lange sie sie aufbewahren. Dies gewährleistet, dass betroffene Personen verstehen, was mit ihren Daten geschieht. Grundsätzlich ist eine ausdrückliche Zustimmung («opt-in») erforderlich, d.h. betroffene Personen müssen in die Datenverarbeitung einwilligen. - Recht auf Ablehnung der Datenverarbeitung
Eine Person hat das Recht, die Verarbeitung ihrer Daten abzulehnen, sofern ein berechtigtes Interesse besteht oder die Verarbeitung zu Zwecken des Direktmarketings erfolgt. Will ein Unternehmen mit der Datenverarbeitung fortfahren, muss es zwingende berechtigte Interessen nachweisen. - Recht auf Datenherausgabe oder -übertragung
Jede Person hat das Recht, ihre Personendaten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Damit ist es ihr möglich, ihre Daten einfach zwischen verantwortlichen Controllern und Verarbeitern zu übertragen. - Recht auf Löschung (Recht auf Vergessenwerden)
Unter gewissen Bedingungen kann eine Person die Löschung ihrer Personendaten verlangen. Dies zum Beispiel, wenn die Daten für den ursprünglichen Zweck nicht mehr notwendig sind, die Einwilligung widerrufen wurde oder keine rechtliche Grundlage für die Verarbeitung besteht.
Die Unternehmenspflichten – eine allgemeine Übersicht
Aus den Nutzerrechten entstehen verschiedene Pflichten und Anforderungen für Unternehmen in der Schweiz und der EU. Zum Beispiel:
- Informationspflicht bei der Beschaffung von Personendaten
Der Verantwortliche muss die betreffenden Personen über die Erhebung von Daten informieren, einschliesslich die Identität der verantwortlichen Personen, den Zweck der Datensammlung sowie ggf. die Empfangenden. Stammen die Daten nicht direkt von der betroffenen Person, muss der Verantwortliche die Datenkategorien angeben sowie bei einem Transfer ins Ausland das Zielland und die anwendbaren Schutzmassnahmen nennen. Eine Benachrichtigung muss innerhalb eines Monats nach Erhalt der Daten oder, wenn dies früher der Fall ist, bei Offenlegung erfolgen. Dies gewährleistet die Transparenz und die Nutzerrechte.
Die Informationspflicht entfällt, wenn die betroffene Person bereits über die notwendigen Informationen verfügt, die Datenverarbeitung gesetzlich vorgeschrieben ist oder Geheimhaltungsvorschriften gelten. Weitere Ausnahmen sind überwiegende Interessen Dritter oder der Öffentlichkeit, gesetzliche Geheimhaltungspflichten oder Erfordernisse der öffentlichen Sicherheit. - Datenschutz-Folgenabschätzung
Datenverantwortliche des privaten und des öffentlichen Sektors müssen eine Datenschutz-Folgenabschätzung (DSFA: CH, EU) durchführen, wenn aufgrund der Datenverarbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht. - Meldepflicht bei Verletzungen
Nach dem DSG müssen Unternehmen einen Cyberangriff oder eine Verletzung der Datensicherheit schnellstmöglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden sowie allen potenziell betroffenen Parteien. Die DSGVO sieht eine Meldefrist von 72 Stunden vor. - Privacy by Design und by Default
Unternehmen müssen die aktuellen Sicherheits- und Datenschutzgrundsätze in die Planung und das Design von Applikationen einbeziehen, um die Privatsphäre der Nutzenden zu wahren. Dies gilt für sämtliche Software, Hardware und Dienstleistungen.
So hilft eine IAM-Lösung, die DSG- und DSGVO-Bestimmungen zu erfüllen
Eine IAM-Lösung und strukturierte Prozesse sind für Unternehmen entscheidende Faktoren, um die Anforderungen des DSG und der DSGVO zu erfüllen:
|
So hilft IAM, DSG- und DSGVO-Bestimmungen zu erfüllen
|
||
| Thema |
DSG-/DSGVO-Bestimmung
|
Nutzen von IAM |
|
Datensicherheit und Geheimhaltung
|
Schutz der Personendaten vor unberechtigtem Zugriff, z.B. mittels Durchsetzung des Prinzips der geringstmöglichen Berechtigung
|
Setzen strenge Kontrollmechanismen für Nutzerzugriffe durch, inkl. Role-Based Access Control
|
|
Datenminimierung und Zweckbindung
|
Sammeln von Personendaten muss zweckgebunden und auf ein Mindestmass beschränkt sein
|
Ermöglicht die Inkraftsetzung von Richtlinien, die den Zugriff auf Personendaten je nach Zweck beschränken und widerrufen können
|
|
Privacy by Design und by Default
|
Einbezug von Grundsätzen der Sicherheit und des Datenschutzes schon bei der Planung von Applikationen
|
Integriert Massnahmen zum Schutz der Privatsphäre standardmässig in Systeme und Prozesse
|
|
Verwaltung der Nutzerrechte
|
Gewähren des Rechts auf Berichtigung von Personendaten
|
Ermöglicht es Personen, ihre Daten zu kontrollieren, z.B. zu berichtigen oder deren Löschung zu verlangen
|
|
Prüfbarkeit und Verantwortlichkeit
|
Nachweis, dass Datenschutz-bestimmungen eingehalten werden
|
Befähigt Unternehmen, anhand detaillierter Log-Dateien zu prüfen, wer wann auf Personendaten zugegriffen hat
|
|
Reaktion auf Datenschutzverletzungen
|
DSG:
Melden einer Datenschutzverletzung an den EDÖB so schnell wie möglich DSGVO: Melden einer Datenschutzverletzung innerhalb von 72 Stunden |
Hilft, Datenschutzverletzung rasch zu entdecken dank Überwachung der Netzwerkzugriffe und dem Erkennen von Anomalien
|
- Datensicherheit und Geheimhaltung
IAM-Systeme setzen strenge Kontrollmechanismen für Nutzerzugriffe durch, sodass sensitive Personendaten wirklich nur für Berechtigte zugänglich sind. Nutzerbasierte Kontrollen – Role-Based Access Controls (RBAC) – ermöglichen es Unternehmen zudem, den Zugriff auf jene Daten zu beschränken, die eine Person zur Erfüllung ihrer Aufgaben benötigt («geringstmögliche Berechtigung»). - Datenminimierung und Zweckbindung
Eine IAM-Lösung ermöglicht Unternehmen die Inkraftsetzung von Richtlinien, die den Zugang zu Personendaten je nach Verarbeitungszweck einschränken. Sie kann Zugriffsrechte zudem automatisch widerrufen, wenn sie nicht mehr notwendig sind. - Privacy by Design und by Default
Ein IAM-System gewährleistet, dass Massnahmen zum Schutz der Privatsphäre standardmässig in Systeme und Prozesse integriert werden. Strenge Authentisierungsmethoden und Verschlüsselung beispielsweise sind entscheidend dafür, wie der Zugang zu Daten gesteuert und kontrolliert wird. - Verwaltung der Nutzerrechte
Eine IAM-Lösung unterstützt Unternehmen bei der Verwaltung von Nutzereinwilligungen, indem sie Features bietet, mit denen Nutzende ihre Daten kontrollieren können. Dies umfasst das Erteilen, Ändern und Widerrufen einer Einwilligung zu jedem beliebigen Zeitpunkt. IAM-Systeme können zudem Self-Service-Portale bereitstellen, über die Nutzende ihre Rechte ausüben, z.B. das Recht auf Auskunft, das Recht auf Berichtigung oder Löschung personenbezogener Daten und das Recht auf Datenübertragbarkeit. - Prüfbarkeit und Verantwortlichkeit
IAM-Systeme legen detaillierte Log-Dateien der Nutzerzugriffe und -aktivitäten an. Dies ermöglicht es Unternehmen, nachzuvollziehen und zu prüfen, wer wann auf Personendaten zugegriffen hat. Umfassende Prüfprotokolle bezeugen die Einhaltung der Datenschutzanforderungen und sind verwendbar im Fall behördlicher Anfragen oder Untersuchungen. - Reaktion auf Datenschutzverletzungen
Eine IAM-Lösung überwacht die Netzwerkzugriffe und erkennt Anomalien. Dies hilft Unternehmen, mögliche Datenschutzverletzungen rascher zu bemerken und sicherzustellen, dass Behörden und betroffene Personen unverzüglich informiert werden.
Der Digital Operational Resilience Act (DORA)
Eine allgemeine Übersicht
Das Gesetz über die digitale operative Resilienz (Digital Operational Resilience Act, DORA) hat zum Ziel, die IT-Sicherheit von Finanzdienstleistern wie Banken, Versicherungen und Investmentgesellschaften in der Europäischen Union zu stärken. Sie gibt strenge Sicherheitsstandards vor, die die Auswirkungen von Risiken im Zusammenhang mit der Informations- und Kommunikationstechnologie (IKT) begrenzen sollen. DORA betrifft auch Schweizer IKT-Provider (oder Sub-Provider), die ihre Dienstleistungen Finanzinstituten in der EU anbieten wollen oder solchen in der Schweiz, die Geschäfte mit Finanzinstituten in der EU oder deren Kunden tätigen. 
DORA soll den Finanzsektor in sechs Kernbereichen stärken, unter anderem:
- IKT-Risikomanagement
Die Konzentration auf das IKT-Risikomanagement soll Unternehmen veranlassen, ihre Widerstandsfähigkeit gegen Cyberbedrohungen zu stärken, damit sie ihre operativen Prozesse auch nach einem Störungsfall aufrechterhalten können.
Es ist sehr wichtig, die IKT-Risiken genau zu beobachten und klar verständliche Gegenmassnahmen sorgfältig zu dokumentieren. Für das IKT-Risikomanagement ist die Geschäftsleitung verantwortlich. - Melden IKT-bezogener Vorfälle
DORA verpflichtet Unternehmen des Finanzsektors, IKT-bezogene Vorfälle zu überwachen, zu protokollieren und ggf. zu melden sowie gemäss den in Artikel 18 DORA genannten Kriterien zu klassifizieren. Ein als schwerwiegend klassifizierter Vorfall unterliegt der Meldepflicht.
Neben dem Meldewesen für IKT-bezogene Vorfälle führt DORA auch ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein. - Operative Resilienz
Gemäss der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) müssen alle Finanzunternehmen ihre Informations- und Kommunikationstechnologie auf Herz und Nieren prüfen, indem sie ein risikobasiertes, proportionales Testprogramm durchführen.
Die Tests reichen von der Prüfung der Netzwerksicherheit bis hin zu professionellen Penetrationstests. Sie sollen helfen, Schwachstellen zu eliminieren, die die Finanzunternehmen gefährden könnten. - Drittparteienrisiko
Ein besonderes Augenmerk liegt auch auf Drittanbietern von IKT-Dienstleistungen. Finanzunternehmen, die mit Drittanbietern zusammenarbeiten, müssen deren Eignung beurteilen, eine Risikobewertung durchführen und die vertraglichen Regelungen gemäss DORA erfüllen.
So hilft eine IAM-Lösung, die DORA-Bestimmungen zu erfüllen
| So hilft IAM, die DORA-Bestimmungen zu erfüllen | ||
| Thema | DORA-Bestimmung | Nutzen von IAM |
|
IKT-Risikomanagement
|
Einführen eines robusten Regelwerks, um die Sicherheit und Resilienz digitaler Systeme zu gewährleisten
|
Setzt Zugangskontrollen, MFA und die Verwaltung privilegierter Zugriffe durch
|
|
Melden von Vorfällen
|
Erkennen, Bewältigen und Melden IKT-bezogener Vorfälle
|
Erlaubt Echtzeit-Überwachung und das Erstellen von Prüfprotokollen, was eine unverzügliche Reaktion auf Vorfälle ermöglicht
|
|
Testen der operativen Resilienz
|
Durchführen von Tests der operativen Resilienz zum Schutz vor Cyberangriffen und Störungsfällen
|
Unterstützt die Tests mit Zugangstests und Analysen des Nutzerverhaltens
|
|
Drittparteien-Risikomanagement
|
Managen der Risiken, die mit Drittanbietern von IKT-Dienstleistungen verbunden sind
|
Stellt strenge Zugangskontrollen für Dritte sicher, verwaltet externe Identitäten und überwacht deren Aktivitäten
|
|
IKT-Governance
|
Definieren eines Governance-Rahmens zur Überwachung der IKT-Risiken
|
Stärkt die IKT-Governance mittels Durchsetzung von Zugangsrichtlinien und regelmässigen Prüfungen
|
|
Cybersicherheit
|
Schutz gegen jegliche Art digitaler Bedrohungen
|
Fördert die Einhaltung von Sicherheitsbestimmungen durch MFA, Passwortverwaltung und dynamische Zugriffskontrollen
|
Wie beim DSG und der DSGVO kann IAM auch bei DORA zentral sein für die Einhaltung der Bestimmungen. Denn ein IAM-System hilft dabei, sämtliche Regelungen und Sicherheitsmassnahmen im Zusammenhang mit dem DORA-Risikomanagement zu definieren, zu bewirtschaften und zu überwachen. Zum Beispiel:
- IKT-Risikomanagement
DORA verpflichtet Unternehmen, solide IKT-Risikomanagement-Regelungen einzuführen, die die Sicherheit und die Widerstandsfähigkeit digitaler Systeme gewährleisten. Eine IAM-Lösung setzt Zugangskontrollen, MFA und die Verwaltung privilegierter Zugriffe durch und schützt so kritische Systeme und Daten. - Melden von Vorfällen
DORA verlangt, dass Finanzunternehmen IKT-bezogene Vorfälle, einschliesslich Verletzungen der Cybersicherheit, erkennen, darauf reagieren und sie melden. IAM-Systeme ermöglichen nicht nur eine Überwachung in Echtzeit und das Erstellen von Prüfprotokollen, sondern auch eine rasche Reaktion auf eine Sicherheitsverletzung. - Testen der operativen Resilienz
DORA betont die Bedeutung operativer Resilienz-Tests um sicherzustellen, dass Finanzunternehmen Cyberangriffen und Störungsfällen standhalten. Eine IAM-Lösung unterstützt diese Bemühungen durch Zugangstests und Analysen des Nutzerverhaltens. - Drittparteien-Risikomanagement
DORA formuliert strenge Anforderungen an das Management der Risiken, die mit externen IKT-Dienstleistern, einschliesslich Cloud-Diensten, verbunden sind. IAM-Systeme senken diese Risiken, indem sie strenge Zugangskontrollen für Drittanbieter sicherstellen, externe Identitäten verwalten und deren Aktivitäten überwachen. - IKT-Governance
DORA verlangt, dass Finanzunternehmen einen Governance-Rahmen definieren, um die IKT-Risiken zu überwachen. IAM-Systeme stärken die IKT-Governance, indem sie Zugangsrichtlinien und regelmässige Prüfungen durchsetzen. - Cybersicherheit
Eine IAM-Lösung fördert die Einhaltung der Sicherheitsbestimmungen mithilfe von MFA, Passwortverwaltung und dynamischen Zugriffskontrollen.
PAM: Der wahre Held bei der Erfüllung der DORA-Bestimmungen
Privileged Access Management (PAM) umfasst Cybersicherheits-Strategien und -Technologien zur Kontrolle der privilegierten Zugriffsrechte von Identitäten, Nutzenden, Konten, Prozessen und Systemen über die gesamte IT-Landschaft. Unternehmen, die PAM einführen, können die Erfüllung der DORA-Bestimmungen durch diverse Massnahmen optimieren. Zum Beispiel:
- Zugriffskontrolle
PAM setzt das Prinzip der geringstmöglichen Berechtigung durch und gewährleistet so, dass nur autorisierte Personen auf kritische Daten und Systeme zugreifen können – was die Risiken verringert. - Multi-Faktor-Authentifizierung
MFA sorgt für eine zusätzliche Sicherheitsstufe bei privilegierten Konten. Dies entspricht dem erklärten Schwerpunkt von DORA, starke Cybersicherheits-Massnahmen zu verankern. - Prüfung und Überwachung
PAM überwacht laufend sämtliche privilegierten Aktivitäten und erstellt Logs davon. So stellt es die notwendigen Prüfprotokolle bereit für das Berichtswesen und das Erkennen von Vorfällen. Dieser transparente Prozess gewährleistet ein rasches Erkennen und Reagieren auf unautorisierte Handlungen, was die DORA-Schwerpunkte «operative Resilienz» und «Reaktion auf Vorfälle» unterstützt.
IAM – die sichere Wahl für Ihr Unternehmen und Ihre Kunden
Die Anforderungen an den Datenschutz werden zweifellos auch künftig zahlreicher und komplexer. Sie zu erfüllen, sollte für jedes Unternehmen Priorität haben.
Wie gezeigt bietet eine IAM-Lösung einen wertvollen Ansatzpunkt, um diese Herausforderung zu meistern. Sie unterstützt die Erfüllung zahlreicher gesetzlicher Bestimmungen des DSG, der DSVO und von DORA. Und sie kann noch mehr: Sie stärkt die Cybersicherheit Ihres Unternehmens und damit das Vertrauen Ihrer Kundinnen und Kunden.
Schauen Sie wieder vorbei! In Kürze folgt unser nächster Blog zu zwei weiteren wichtigen Gesetzen: die Eletronic Identification, Authentication and Truts Services Regulation (eIDAS) sowie die Network and Information Security Directive (NIS2).
