G DATA: GDPR compliance staat voorop maar Duitse wetgeving is strenger

G DATA als alle data veilig moet zijn voor ongewenste pottenkijkers

Met de opkomende versterking van het consumentenrecht inzake privacy en toegang tot de persoonsgegevens of tot personen te herleiden gegevens, is het bedrijfsleven in een moeilijkere positie gekomen. Was veiligheid in eerste instantie een issue om de bedrijfsdata zeker te stellen, binnenkort is het lekken, verkeerd gebruiken of het slecht archiveren van consumenteninformatie een strafbaar feit. Bedrijven zijn daarmee gedwongen alle procedures en systemen verder te optimaliseren. Een hack van de systemen kan grote gevolgen hebben. Beveiligingssoftware kan daarbij een doorslaggevende rol spelen. We spraken met Jihane Abid, accountmanager van G DATA in Nederland, een leverancier van beveiligingsproducten voor de IT-omgeving.

Met de veranderende privacywetgeving staat de kwaliteit en beveiliging van de administratieve en IT-processen bij bedrijven met stip bovenaan de agenda. Consultants zijn goed in staat de zwakke plekken inzichtelijk te maken, maar het zijn de security-ondernemers die het probleem moeten oplossen. Jihane Abid: “Wij van G DATA zijn een gerenommeerde leverancier van beveiligingsproducten. Om het helemaal correct te zeggen: we zijn ook de oudste leverancier van deze systemen. Onze eerste virusscanner werd in februari 1987 op de Hannover Messe geïntroduceerd. Andere bedrijven volgden pas later.”

G DATA is een Duitse onderneming en moet zijn producten net als anderleveranciers onderwerpen aan de wetgeving van het thuisland. Vergelijkbaar hebben producten van bedrijven uit de Verenigde Staten de verplichting in het kader van de Amerikaanse wetgeving hun software van achterdeuren te voorzien. De beveiliging moet zodanig zijn dat de geheime diensten toegang kunnen krijgen tot de data. Ook andere aanbieders kunnen hier last van hebben. Het Russische Kaspersky kwam in de VS in een kwaad daglicht te staan toen vermeende invloed van de Russische overheid werd gemeld. Ook zonder hard bewijs was de vertrouwensrelatie verloren. Het Chinese Huawei mag in de VS geen systemen aan Tier1-providers leveren, omdat de Amerikaanse overheid vreest voor Chinese backdoors.

En hoewel het lang niet altijd bewezen is, is niet uit te sluiten dat ook andere regimes soortgelijke ideeën hebben. Indertijd moest het Canadese RIM zijn BlackBerry-product in een aantal landen van de markt halen omdat ze de beveiliging niet open wilde stellen voor de veiligheidsdiensten. Apple kwam in de problemen toen de Amerikaanse overheid een versleutelde iPhone wilde doorzoeken.

Strenge Duitse wetgeving helpt G DATA

De eisen van de Duitse overheid gaan juist de andere kant op. Daar is men bevreesd, mede door de geschiedenis van een overheid die niet altijd even transparant was, dat de overheid misbruik maakt van administraties.

De Duitse zekerheid staat boven elke verdenking

Alle beveiligingsproducten moeten daarom potdicht zitten, en geen ruimte bieden voor backdoors. De data moet in eigen land bewaard worden. Bedrijven die conform de Duitse wetten werken, werken daarmee strikter dan de Europese GDPR-wetgeving vereist. Jihane Abid: “G DATA is sinds 2011 aangesloten bij het pact ‘Teletrust’ van de alliantie ‘IT Security Made In Germany’. Dit pact heeft publiek een belofte gedaan inzake de principes waaronder ze werken. Er is een keiharde ‘No Backdoor’-garantie.” Bovendien moet de kwaliteit van het product bewezen hoog zijn, het hoofdkantoor van een aangesloten bedrijf in Duitsland staan en moet het onderzoek naar en de ontwikkeling van de producten allemaal in Duitsland plaatsvinden. De onderneming moet zich er toe verbinden de vereisten van de Duitse wetgeving inzake gegevensbescherming strikt na te leven.

Jihane Abid: “In het verleden is er ooit een verzoek van de overheid geweest om een specifiek Duits trojaans paard (Bundestrojaner) niet te filteren. Ook daaraan is geen gehoor gegeven, een principe is een principe. Het vertrouwen van de klant moet gewonnen worden, want beveiligers hebben toegang tot alle kritische data. Als er geen vertrouwensrelatie is, is dat een mission impossible. Vandaar de harde stellingname, want zelfs al zouden de backdoors van overheden te verdedigen zijn, ze vormen een zwakke plek. Het recente incident met het WannaCry-virus toont aan dat criminelen zo’n backdoor kunnen ontdekken en misbruiken.”

Amerikaanse bedrijven moeten zich aan Amerikaanse veiligheidsregels (Patriot Act) houden. Ze zijn verplicht data te overleggen als dat door de veiligheidsdiensten wordt gevraagd. PRISM (een programma dat sinds 2007 door de Amerikaanse afluisterdienst National Security Agency (NSA) wordt gebruikt om inlichtingen te vergaren uit gegevens van een reeks grote Amerikaanse internetbedrijven) is een harde illustratie hoe technologiebedrijven worden gedwongen om samen te werken. Daarom hebben ze een grote uitdaging om in Europa een vertrouwenspositie te verwerven. Er zijn inmiddels wel work-arounds bedacht, maar aldus Jihane: de Duitse zekerheid staat boven elke verdenking. De harde stellingname had ook wel eens gevolgen, zo mocht G DATA in Amerika een versleutelingstool (in Total Security) voor de consumentenmarkt niet uitbrengen. Veiligheidsdiensten konden er niet doorheen komen.

G DATA levert zijn producten en diensten via resellers, consumenten kunnen producten via de webwinkel bestellen. De compacte Nederlandse organisatie van zeven medewerkers zorgt voor een slagvaardige aanpak met korte communicatielijnen. Een eigen Nederlandstalige helpdesk is voor de Benelux 24/7 bereikbaar. Buiten de kantooruren wordt men er in het Engels te woord gestaan.

Ransomware is bij G DATA aan het verkeerde adres

Een anti-ransomware-module zit in alle Windows-producten van G DATA. Er wordt in deze modules gebruikgemaakt van een proactieve detectiemethode. Nog niet bekende ransomware-virussen worden al op hun gedrag gesignaleerd en geëlimineerd. Het mechanisme is zo effectief, dat meer dan 99,5 procent van de virussen wordt gevonden. Een aanvullende back-upmodule zorgt altijd voor een schaduwkopie, zodat in extreme gevallen weinig schade aangericht kan worden. De intervaltijd tussen die schaduwkopieën is configureerbaar.

[Dit artikel is eerder gepubliceerd in ChannelConnect magazine nummer 2-2018]

Lees het artikel hier in PDF