:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Klarheit bei der Datenschutz-Grundverordnung 9 DSGVO-Mythen enttarnt!
Die Vorbereitungen auf die DSGVO / GDPR kommen bei vielen Unternehmen nicht schnell genug voran. Umso wichtiger ist deshalb die Aufklärung, was wirklich hinter der Datenschutz-Grundverordnung steckt. Aktuell kursieren viele Mythen und falsche Informationen zur DSGVO im Netz. Wir klären auf.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Mythos 1: DSGVO tritt am 25. Mai 2018 in Kraft.
Realität: Falsch! Es mag übertrieben erscheinen, doch alle Meldungen, die damit einleiten, dass die DSGVO am 25. Mai 2018 in Kraft tritt, machen einen Fehler. Die Datenschutz-Grundverordnung ist bereits in Kraft, die zweijährige Übergangszeit endet am 25. Mai 2018. Warum soll das wichtig sein? Ganz einfach: Man könnte denken, die DSGVO tritt ohne jede Vorwarnzeit in Kraft, plötzlich ist sie da und muss angewendet werden.
In Wirklichkeit aber liegt die DSGVO bereits seit über 1,5 Jahren auf dem Tisch. Die Umsetzung läuft und sollte laufen, mit der Frist 25. Mai 2018. Diese Erkenntnis hilft nicht bei der Bewältigung, wohl aber bei der Argumentation, dass die Schonfrist bald um ist. Es ist Zeit, das Projekt DSGVO mit Vollgas voranzutreiben.
Mythos 2: Es drohen Bußgelder von bis zu 20 Mio EUR, wenn Artikel 32 (Sicherheit der Verarbeitung) nicht eingehalten wird!
Realität: Stimmt nicht! Es geht nicht darum, die möglichen Sanktionen herunterzuspielen, wenn die bis zu 20 Mio Euro Bußgeld bei Verstoß gegen Artikel 32 (Sicherheit der Verarbeitung) als falsch eingestuft werden. Es geht vielmehr darum, dass man sich genauer mit den möglichen Sanktionen befassen muss. Dann stellt man fest: Art.83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) listet den Artikel 32 (Sicherheit der Verarbeitung) dort auf, wo steht: „Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.
Nun sind bis zu zehn Mio Euro immer noch extrem hoch im Vergleich zu den Bußgeldern, die in dem Bundesdatenschutzgesetz (BDSG) genannt sind. Doch bei den Vorgaben, die bei einem Verstoß tatsächlich zu bis zu 20 Mio Euro Bußgeld führen können, sind insbesondere zu finden die Grundsätze für die Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) sowie die Rechte der betroffenen Person (wie das neue Recht auf Datenübertragbarkeit).
Tatsächlich können Verstöße gegen die Integrität und Vertraulichkeit zu den maximalen Bußgeldern führen, aber auch alle anderen Verstöße gegen die Grundsätze und die Betroffenenrechte. Datensicherheit ist also sehr wichtig, aber nicht alles!
Mythos 3: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!
Realität: Unsinn! Um es kurz machen: Von Haftstrafen ist in der DSGVO nicht die Rede. Anstatt sich über einen Aufenthalt im Gefängnis Sorgen zu machen, sollte man lieber daran denken, dass es neben den Sanktionen und Bußgeldern auch Haftung und Recht auf Schadenersatz gibt. Artikel 82 DSGVO besagt: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
Hier drohen also Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis bringt einen die DSGVO selbst nicht.
Mythos 4: Jeder muss jetzt einen Datenschutzbeauftragten haben!
Realität: Nein! Das ist falsch, das war bisher in dem Bundesdatenschutzgesetz (BDSG) nicht so, es wird auch unter der Datenschutz-Grundverordnung nicht so sein. Ob man einen Datenschutzbeauftragten im Unternehmen benötigt oder nicht, regelt Artikel 37 DSGVO.
Dort steht: Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn:
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Mythos 5: Cloud-Lösung XY ist DSGVO-konform!
Realität: Wer sagt das? Viele Anbieter verweisen gegenwärtig auf ihre Konformität mit der DSGVO. Ob dies nach besten Wissen und Gewissen geschieht oder auf Basis eines bestehenden Datenschutz-Zertifikats: Wer zum Beispiel einen Cloud-Service nutzen möchte, braucht mehr als eine Selbstauskunft des Anbieters, er braucht hinreichende Garantien des Anbieters dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Eine Garantie können in Zukunft zum Beispiel ein genehmigtes Zertifizierungsverfahren oder genehmigte Verhaltensregeln bieten. Ein Datenschutz-Zertifikat, das unter dem Bundesdatenschutzgesetz (BDSG) vergeben wurde, reicht dagegen nicht. Zuerst muss das entsprechende Zertifizierungsverfahren umgestellt sein auf die DSGVO.
Mythos 6: Wir sind DSGVO-zertifiziert!
Realität: Noch gar nicht möglich! Artikel 42 DSGVO (Zertifizierung) macht deutlich, dass Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, zuerst genehmigt werden müssen. So fordert die DSGVO: Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde genehmigten Kriterien erteilt. Erst wenn genehmigte Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Das ist aber bisher nicht der Fall.
Mythos 7: Die Meldepflichten nach DSGVO sind ein Novum!
Realität: Blödsinn! Die Meldepflichten nach DSGVO sind nicht etwa komplett neu, wie manche Meldungen suggerieren. Vielmehr gibt es Änderungen gegenüber den Informationspflichten nach Bundesdatenschutzgesetz, man kann auch von einer Verschärfung sprechen, insbesondere, wenn man an die 72-Stunden-Frist zur Meldung an die zuständige Aufsichtsbehörde denkt. Trotzdem: Es gibt schon jetzt eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten. Unternehmen sollten also keinen komplett neuen Melde-Prozess aufsetzen müssen, wenn sie denn die Vorgaben des BDSG einhalten.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336577/original.jpg "Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen. (kebox - stock.adobe.com)")
Meldepflichten bei IT-Sicherheitsvorfällen
Meldepflichten gibt es nicht nur bei der DSGVO
Mythos 8: Die DSGVO verbietet die Datenübermittlung in die USA!
Realität: Stimmt nicht! Die DSGVO verbietet nicht etwa die Datenübermittlung in Drittstaaten wie die USA, sondern sie stellt mehrere Anforderungen an eine solche Datenübermittlung. Dabei geht es um die Garantie, dass das Datenschutzniveau bei dem Empfänger dem der DSGVO entspricht. Für den Nachweis gibt es verschiedene Wege, darunter Privacy Shield, bei dem die Aufsichtsbehörden weiterhin Bedarf für Nachbesserungen sehen. Denkbar ist es aber auch, dass ein Empfänger aus einem Drittstaat ein Datenschutz-Zertifikat nach DSGVO erlangt und so den Nachweis erbringt. Von einem generellen Verbot kann also keine Rede sein.
:quality(80)/images.vogel.de/vogelonline/bdb/1031500/1031571/original.jpg "Wie es mit dem EU-US Privacy Shield um den Datenschutz bestellt ist, beleuchtet der zweite Insider Talk von Security Insider. (Archiv)")
Nachbericht zum Insider Talk #7
Was EU-US-Privacy Shield für Cloud-Nutzer bedeutet
Mythos 9. Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren!
Realität: Wo soll das stehen? Zweifellos ist die Verschlüsselung eine der zentralen Maßnahmen der Datensicherheit. In vielen Fällen wird auch eine Verschlüsselung von E-Mails sehr sinnvoll sein. Aber die DSGVO sieht keinen Zwang zur Verschlüsselung vor.
Vielmehr besagt Artikel 32 DSGVO: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: die Pseudonymisierung und Verschlüsselung personenbezogener Daten (…).
Ob eine Verschlüsselung zum Einsatz kommen soll oder nicht, hängt somit von dem zu ermittelnden Schutzbedarf der Daten, dem Risiko für die Betroffenen sowie weiteren Faktoren ab wie Stand der Technik, Implementierungskosten und Art, Umfang, Umstände und Zwecke der Verarbeitung. Verschlüsselung ist also kein Automatismus, sondern eine wichtige Maßnahmen bei entsprechendem Bedarf an Schutz für die Vertraulichkeit der Daten.
(ID:45071501)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954391/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1926200/1926211/original.jpg "Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst. (peterschreiber.media - stock.adobe.com)")