Suchen

Datensicherheit Datenlecks und die DSGVO

| Autor / Redakteur: Robert Arandjelovic / Peter Schmitz

Die EU-Datenschutz-Grundverordnung (DSGVO) verschärft die Regeln bei der Verarbeitung personenbezogener Daten und setzt striktere Datenschutzstandards durch. Sie verpflichtet bspw. Unternehmen dazu, ihre Kunden über Datenschutzverletzungen zu informieren. Des Weiteren drohen bei Nichtbeachtung empfindliche Strafen. Gleichzeitig wird der Schutz der Daten für Unternehmen im Cloud- und Mobile-Zeitalter immer anspruchsvoller. Wie lässt sich diese Herausforderungen bewältigen?

Firmen zum Thema

Ein Diebstahl von Personal- oder Kundendaten kann für Unternehmen aufgrund der neuen DSGVO schnell graviuerende Folgen haben. Die Cloud verbessert das Problem nicht.
Ein Diebstahl von Personal- oder Kundendaten kann für Unternehmen aufgrund der neuen DSGVO schnell graviuerende Folgen haben. Die Cloud verbessert das Problem nicht.
(Bild: VIT)

Unternehmen verlieren immer leichter den Überblick und die Kontrolle über ihre Daten. Das ist mit Blick auf die Möglichkeiten der Cloud und der mobilen Endgeräte wenig überraschend. In einer Gartner-Umfrage gaben fast 70 Prozent der Befragten an, dass sie private Smartphones zu Arbeitszwecken nutzen. Ihre jeweiligen Arbeitgeber haben in der Regel keine Kontrolle über diese Geräte und damit auch nicht über die genutzten Daten. Dadurch passiert es schnell, dass sensible Daten unkontrolliert weitergegeben werden und auch Personen außerhalb der Firma auf sie zugreifen können.

Dazu kommt, dass Mitarbeiter oder sogar ganze Abteilungen häufig ohne Wissen und Genehmigung der IT eigenständig Cloud-Lösungen nutzen. Das kann zwar für die tägliche Arbeit praktisch sein, birgt für die jeweilige Organisation aber erhebliche Risiken. Denn sobald Daten in einen Cloud-Email-Service, eine Filehosting-Cloud oder Online-CRM-Tools geladen worden sind, hat das Unternehmen wenig oder keine Kontrolle und Kenntnis mehr darüber, wer auf die Daten zugreifen kann und wie sie geteilt oder modifiziert werden. Zudem hat das Unternehmen bei unkontrollierter Nutzung keine Garantie, dass der externe Cloud-Anbieter die Daten entsprechend den nationalen Datenschutzgesetzen schützt.

Diese Faktoren sorgen gemeinsam mit dem immer größeren Datenvolumen und der enormen Geschwindigkeit, mit der diese zirkulieren, dafür, dass Unternehmen das Thema Datenschutz so ernst wie nie zuvor nehmen sollten. Im ersten Schritt benötigen sie dafür einen Überblick, welche ihrer Daten sensibel sind, wie diese übertragen werden und wie sie diese Daten schützen können. Sie müssen darüber hinaus wissen, wie man ein Datenleck überhaupt erkennt und angemessen darauf reagiert. Zudem sollten sie die Risiken und möglichen Konsequenzen so gut wie möglich kennen.

Unternehmen müssen ihren Daten überall hin folgen

Mithilfe von Verzeichniszugriffsprotokollen wie Active Directory oder LDAP lässt sich nachverfolgen, wie und welche User im Netzwerk auf Daten zugreifen, sie editieren und teilen. Das war eine gute Absicherung – allerdings nur solange die Daten das Netzwerk nicht verlassen haben und nur zwischen autorisierten Benutzern geteilt wurden. Heute reicht diese Technologie nicht mehr aus, da Daten nun genauso mobil wie die Endgeräte der Mitarbeiter geworden sind.

Um Dokumente ausreichend zu sichern, sind heute stattdessen intelligente Sicherheitslösungen notwendig, die ähnlich mobil sind wie die zu schützenden Daten und dafür sorgen können, dass die Daten auch bei externen Anbietern oder über Cloud Apps sicher gespeichert, genutzt und geteilt werden können. Denn die Zugriffs- und Bearbeitungsrechte folgen den Daten mithilfe einer solchen Lösung in die Cloud. Auch wenn Dokumente weitläufig geteilt werden – was bereits in 20 Prozent der Fälle zutrifft – werden die Daten verschlüsselt und lassen sich nur von autorisiertem Personal mit entsprechender Berechtigung öffnen und bearbeiten.

Ohne den Einsatz entsprechender Tools riskieren Unternehmen, dass Daten in die falschen Hände geraten, interne Dokumente oder Absprachen in die Öffentlichkeit gelangen, die Reputation des Unternehmens beschädigt oder vertrauliches geistiges Eigentums bekannt wird. Damit tragen solche Sicherheitslösungen auch dazu bei, dass Unternehmen die Vorgaben der neuen Datenschutz-Grundverordnung einhalten.

Schwerwiegende Konsequenzen drohen

Und das ist auch zwingend erforderlich. Denn die Sanktionen bei Verstößen gegen die neue Regelung können wie angedeutet sehr empfindlich sein. Zudem können Datenschutzbehörden Betrieben das Sammeln und Weitergeben von Daten untersagen. Das kann speziell Unternehmen wie Online-Händler, die von Daten abhängig sind, hart treffen.

Es reicht aber nicht, bei der Risikobewertung ausschließlich rechtliche Konsequenzen zu betrachten. Auch die Reputation und das Vertrauen der Kunden können Schaden nehmen. Bei börsennotierten Unternehmen drohen im Fall von Datenpannen zudem Kurseinbrüche. So hat eine Studie von Centrify ermittelt, dass bei einem Datenleck die Aktienpreise durchschnittlich um 5 Prozent fallen und bis zu 7 Prozent der Kunden abwandern.

Um sich ausreichend gegen solche Risiken zu schützen, müssen Unternehmen also die Risiken kennen und intelligente Sicherheitssoftware verwenden, welche die sensiblen Daten identifiziert, diese absichert und ihnen auch außerhalb der Unternehmens-IT folgt.

Über den Autor: Robert Arandjelovic ist EMEA Director of Security Strategy bei Symantec.

(ID:45243996)