Die Sicherheit bei Lieferanten auf die Probe stellen

Vertrauen ist gut, Kontrolle ist besser – so könnte man die in Compliance-Regularien übliche Forderung verstehen, sich von der Einhaltung der Vorgaben zu überzeugen. So fordert etwa die Datenschutz-Grundverordnung (DSGVO) ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ (Art. 32 DSGVO).

Art. 28 DSGVO sieht vor, „dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“.

Pen-Testing im technischen ­Datenschutz

Im technischen Datenschutz gibt es spezielle Verfahren, um die Sicherheit im eigenen Unternehmen oder bei einem Dienstleister oder Lieferanten überprüfen zu lassen. Dazu zählen Penetrationstests, kurz Pen-Tests genannt. Die US-Behörde NIST (National Institute of Standards and Technology) definiert Pen-Testing als „eine Testmethode, bei der Prüfer unter Verwendung aller verfügbaren Dokumentationen (z.B. Systemdesign, Quellcode, Handbücher) und unter bestimmten Bedingungen versuchen, die Sicherheitsfunktionen eines Informationssystems zu umgehen.“

Aktive Suche nach ­Angriffsmöglichkeiten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt einen „Praxis-Leitfaden für IS-P…

+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Konzentrieren Sie sich aufs Wesentliche

Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.

Kein Stress mit Juristen- und Admin-Deutsch

Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.

Sparen Sie sich langes Suchen

Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.

Jetzt testen