:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Ein Jahr Datenschutz-Grundverordnung Das hat die DSGVO verändert
Vor einem Jahr wurde die DSGVO eingeführt. Was hat sich seitdem verändert, und konnte sie tatsächlich den Datenschutz in der EU verbessern? Hier finden Sie nicht nur die Antworten auf diese Fragen, sondern auch zehn Tipps für eine bessere Compliance.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Sie wurde mit dem Millennium-Bug verglichen, als neue Möglichkeit für Abmahn-Erpressungen bezeichnet und hat IT-Abteilungen in den vergangenen zwölf Monaten wie kaum ein anderes Thema beschäftigt. In der Woche vor dem Inkrafttreten im vergangenen Mai wurde sie als Suchbegriff bei Google häufiger aufgerufen als Beyonce. Es handelt sich natürlich um die DSGVO (Datenschutz-Grundverordnung), das von der EU ins Leben gerufene Rahmenwerk für Datensicherheit und -schutz. Ein Jahr nach ihrer Einführung ist es Zeit für eine Bestandsaufnahme.
Da Datendiebstahl und -missbrauch inzwischen zum Alltag gehören und Sicherheitsverstöße, Phishing-Betrug und Cyberangriffe die Regel sind, kam die DSGVO zum richtigen Zeitpunkt: Unternehmen benötigten eine Anleitung und Verbraucher einen besseren Schutz.
Tatsächlich hatten viele IT-Abteilungen bis vor einem Jahr wenig oder gar keinen Einblick in den Umgang mit Daten. Durch die Einführung der DSGVO mussten sie jedoch prüfen, wer tatsächlich Zugriff auf welche Dateien hat, welche Schwachstellen sie haben und wie sie sich im Falle eines Angriffs verhalten. Sie begannen auch damit, schwierige Fragen zur Compliance-Bereitschaft zu stellen und Software von Drittanbietern zu bewerten.
Mehr Aufwand für besseren Datenschutz
Für viele Unternehmen beinhaltete der Weg zur Einhaltung der DSGVO die Schaffung einer neuen Rolle oder eines neuen Teams, das sich auf die Risikominderung und Einhaltung der Vorgaben konzentriert. Je nach Branche, Unternehmensgröße und Umfang der datenbezogenen Prozesse kann dies von einer Person bis zu einem Team von zwölf oder mehr Personen reichen.
Ein Ergebnis der DSGVO ist, dass die Meldung von Verstößen gegen personenbezogene Daten seit Mai 2018 weltweit deutlich zugenommen hat. Laut einer Studie von DLA Piper wurden in den ersten acht Monaten nach ihrem Inkrafttreten europaweit fast 60.000 Verstöße gemeldet. Dies wiederum führte dazu, dass Verstöße bei personenbezogenen Daten stärker zu einem öffentlichen Thema geworden sind. Dies ist eine sehr gute Sache und unterstützt das Ziel der DSGVO: die Stärkung des Datenschutzes für EU-Bürger.
Einige Marktbeobachter sagen zwar, dass nicht genügend Bußgelder verhängt wurden, aber immerhin gab es seit Mai 2018 etwa 90 Geldbußen. Die größte und bedeutendste Strafe wurde in Frankreich gegen Google ausgesprochen – in einer Höhe von 57 Millionen US-Dollar.
Wer die eigenen Prozesse zur Einhaltung der DSGVO verbessern möchte, sollte folgende Schritte durchführen:
- Wiederholen Sie eine gründliche Folgenabschätzung zum Datenschutz. Stellen Sie deutlich dar, wo personenbezogene Daten gespeichert sind und wer Zugriff darauf hat. Zudem sollten Sie gewährleisten, dass diese Daten wiederhergestellt werden können.
- Weniger ist mehr. Reduzieren Sie die Menge der personenbezogenen Daten, die Ihr Unternehmen speichert. Gleichzeitig ist zu prüfen, ob die Gründe, aus denen die personenbezogenen Daten verarbeitet werden, rechtmäßig sind.
- Ist Ihr Datenschutzbeauftragter auf Kurs? Wenn nicht: Ernennen Sie einen neuen Datenschutzbeauftragten, der dafür sorgt, dass die Einhaltung der Vorschriften für Ihr Unternehmen hohe Priorität genießt.
- Aktualisieren Sie Ihr Data-Governance-Framework. Möglicherweise haben Sie im vergangenen Jahr Änderungen vorgenommen und planen darüber hinaus, neue Dienste, Anwendungen und Technologien einzuführen. Das Data-Governance-Framework steuert, wie Ihr Unternehmen das Datenmanagement durchführt.
- Implementieren Sie neue Compliance-Systeme. Die DSGVO ist zwar keine technologische Herausforderung, aber Software kann bei der Verwaltung der Compliance helfen. Zudem ermitteln Sie damit, was noch benötigt wird, um Ihre Ziele zu erreichen – seien es Training, Risikomanagement oder Reporting.
- Überprüfen Sie Ihre Lieferantenverträge und SLAs auf DSGVO-Konformität. Dies gilt insbesondere für die Verpflichtungen bei gemeinsamer Datenverarbeitung.
- Prüfen Sie Ihre Richtlinien für Lieferanten im Hinblick auf den Umgang mit persönlichen Daten der Kunden. Müssen Sie neue Verträge abschließen, um Kunden vor rechtswidriger Verwendung ihrer personenbezogenen Daten zu schützen?
- Überprüfen Sie einerseits den Inhalt aller Dokumente, die nach außen gehen, und andererseits Ihre Prozesse zur Erfassung personenbezogener Daten. Arbeiten Sie dabei mit der Marketingleitung zusammen. Denn sowohl die von Ihnen produzierten Materialien als auch die Daten, die Sie von außen erhalten, müssen konform sein.
- Bewerten Sie Ihre internationalen Datenübertragungen und überprüfen Sie die Compliance anhand der aktualisierten Leitlinien, die von der ICO Ende vergangenen Jahres veröffentlicht wurden.
- Im Zweifelsfall konsultieren Sie Rechtsexperten mit Erfahrung bei internationalen Themen der Datensicherheit und des Datenschutzes. Holen Sie sich dabei den besten Rat, den Sie sich leisten können.
:quality(80)/images.vogel.de/vogelonline/bdb/1564000/1564062/original.jpg "Trotz der DSGVO wird der Datenschutz von vielen Unternehmen weiterhin vor allem als Hindernis gesehen. (Bernulius - stock.adobe.com)")
Neues eBook „DSGVO – ein Jahr danach“
Bilanz und Evaluierung der Datenschutz-Grundverordnung
Das Problem: Mass-Data-Fragmentation
Eine große Herausforderung bei der DSGVO-Compliance entsteht durch die so genannte Mass-Data-Fragmentation. Darunter versteht man die zunehmende Verbreitung von Daten über eine Vielzahl von verschiedenen Standorten, Infrastruktursilos und Managementsystemen. Das hindert Unternehmen nicht nur daran, den Wert dieser Daten voll auszuschöpfen. Im Kontext der DSGVO bedeutet dies auch Komplikationen bei der Lokalisierung, Verarbeitung, Zugriffskontrolle und Gewährleistung der Sicherheit ihrer Daten.
Untersuchungen von Vanson Bourne im Auftrag von Cohesity zeigen eine Reihe von Faktoren, die dieses Problem verstärken.
- Es gibt eine Fragmentierung der Daten sowohl in mehrere als auch innerhalb von Silos. Dieses Problem wird noch verschärft durch die Vielzahl an Einzelprodukten, die zur Verwaltung von nicht geschäftskritischen Workloads wie Backups, Fileshares, Object-Stores, Test und Entwicklung sowie Analysen verwendet werden.
- Einzelprodukte erhöhen die Komplexität. 35 Prozent der Befragten nutzen sechs oder mehr verschiedene Lösungen zur Verwaltung aller nicht geschäftskritischen Prozesse. Über zehn Prozent der Unternehmen verwenden sogar elf oder mehr Lösungen.
- Es gibt überall Kopien der gleichen Daten, da Einzelprodukte den Austausch oder die Wiederverwendung nicht zulassen. 63 Prozent der Unternehmen besitzen vier bis 15 Kopien der gleichen Daten.
- Die Daten sind über mehrere Standorte verteilt. 85 Prozent der Befragten speichern Daten in zwei bis fünf Public-Clouds. Davon erstellen 74 Prozent eine alternative oder redundante Kopie und speichern sie entweder in derselben oder einer anderen Public-Cloud. Eine einheitliche Verwaltung dieser Daten oder eine Entfernung personenbezogener Daten aus all diesen Kopien lassen sich kaum sicherstellen.
:quality(80)/images.vogel.de/vogelonline/bdb/1561100/1561159/original.jpg "Verhaltensregeln sind ein zu unrecht „vergessenes“ Datenschutz-Instrument. (Coloures-Pic - stock.adobe.com)")
Tools und Tipps zur DSGVO
Verhaltensregeln nach DSGVO in der Praxis
Genug getan?
Die meisten Unternehmen haben trotzdem das Gefühl, dass sie „genug“ für die DSGVO getan haben. Allerdings sind sich einige nicht sicher, was „genug“ wirklich bedeutet. Dies liegt zum Teil daran, dass sich die Bestimmungen der DSGVO in gewisser Hinsicht offen auslegen lassen. Das beunruhigt Unternehmen, die es vorgezogen hätten, wenn die Vorgaben detaillierter festgelegt worden wären. Dies hätte aber wiederum eine gewisse Besorgnis darüber ausgelöst, ob ein Unternehmen trotz aller Bemühungen tatsächlich vollständig konform wäre oder nicht.
Insgesamt gilt: Wer Schritte unternommen hat, um den Schutz personenbezogener Daten wirklich sicherzustellen, befindet sich auf einem guten Weg. Aber das ist noch nicht alles. Unternehmen müssen weiterhin gewährleisten, dass sie die DSGVO-Anforderungen einhalten und regelmäßig Datenberichte und Reaktionszeiten bewerten, hinterfragen und verbessern. Es gibt zwar Lösungen und Anwendungen, welche die Compliance optimieren können, doch auch in Zukunft müssen Menschen sicherstellen, dass die richtigen Prozesse genutzt und die richtigen Fragen gestellt werden.
*Der Autor: Thomas Boele, Senior Director Systems Engineering EMEA bei Cohesity.
(ID:45950512)
:quality(80)/p7i.vogel.de/wcms/3d/6f/3d6f169d46e0d22aa0ed9ca33f1022af/0111695837.jpeg "„Cohesity Turing“ ist eine auf Wachstum ausgelegte Sammlung von KI-Technologien für Datensicherheit und -management. (Bild: vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")