:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Stichtag 25. Mai 2018 DSGVO setzt unter Handlungsdruck
Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt viele Unternehmen unter Zugzwang. Bis zu ihrem Gültigkeitsdatum am 25. Mai 2018 müssen Unternehmen einen Weg finden, die neuen Anforderungen an den Datenschutz zu erfüllen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
Ab 25. Mai 2018 gelten auch für Unternehmen die Bestimmungen der EU-Datenschutz-Grundverordnung. Erfüllen Unternehmen diese Anforderungen nicht, drohen nicht nur empfindliche Bußgelder bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro. Behörden werden laut EU-DSGVO auch Datenschutzüberprüfungen in Unternehmen vor Ort durchführen, Zugang zu deren Geschäftsräumen verlangen, bei Datenschutzverletzungen auch Verarbeitungen von Daten einschränken können und vieles mehr. Um den anstehenden Veränderungen Sorge zu tragen, müssen Unternehmen sich ausführlich und ganzheitlich mit dem Thema Datenschutz beschäftigen.
DSGVO betrifft fast alle
Zahlreiche Unternehmen sind der Meinung, vom Thema Datenschutz nicht betroffen zu sein, beispielsweise wenn weil sie nur Kontakte mit Partnerunternehmen pflegen. Diese Annahme ist falsch. Nahezu alle Unternehmen haben beispielsweise Informationen über ihre Mitarbeiter und neue Bewerber gespeichert oder horten in sonstigen Datenhalden personenbezogene Daten. So umfasst der Begriff der Verarbeitung aus der EU-DSGVO auch die bloße Erhebung oder Speicherung von personenbezogenen Daten. Damit können auch Unternehmen, die via Webseite technische Daten von Besuchern erheben, betroffen sein. Vor wenigen Monaten hatte der Europäische Gerichtshof (EuGH) entschieden, dass selbst dynamische IP-Adressen regelmäßig als personenbezogene Daten einzuordnen sind. Somit hat nahezu jedes Unternehmen mit personenbezogenen Daten zu tun, die unter die EU-DSGVO fallen.
Für eine Verarbeitung personenbezogener Daten gilt der sogenannte Erlaubnisvorbehalt, nach dem jede Verarbeitung dieser Daten grundsätzlich verboten ist, solange nicht eine gesetzliche Erlaubnis oder eine explizite Einwilligung des Betroffenen in die konkrete Datenverarbeitung vorliegt. Selbst eine Einwilligung des Betroffenen muss stets strengen Grundsätzen folgen; Wurden diese Grundsätze bei Erhebung der Einwilligungen nicht beachtet, sind sämtliche bereits erteilten Einwilligungen ungültig und Datenverarbeitungen damit rechtswidrig.
Datenschutz-Herausforderungen im Betriebsalltag
Die Relevanz des Themas im Alltag zeigt sich bereits an einfachen Beispielen. Mitarbeiter tauschen im Team mit Dritten über eine WhatsApp-Gruppe Daten aus. Da WhatsApp das Adressbuch des Telefons ausliest, auf dem die App installiert ist, stehen somit auch personenbezogene Daten von Dritten über deren Kontakte im Telefonadressbuch im Zugriff. Diese Personen haben aber weder einer Weitergabe personenbezogener Daten zugestimmt, noch müssen sie Vertragspartner von WhatsApp sein.
Speichert das Unternehmen personenbezogene Daten in der Cloud (Dropbox, iCloud, Microsoft OneDrive & Co.), ist die Ausgangslage ebenso problematisch. Zwar hat beispielsweise Dropbox erst kürzlich angekündigt, Daten von deutschen Nutzern zukünftig in Deutschland zu speichern, um deutschen Nutzern beim Datenschutz entgegenzukommen. Allerdings ist alleine die Tatsache, dass personenbezogene Daten auf fremden Servern liegen, problematisch. Zudem sind viele Cloud-Dienste unverschlüsselt, was auch aus dem Blickwinkel der Datensicherheit sehr bedenklich ist.
Und was, wenn die Mitarbeiter den geschäftlichen E-Mail-Account auch privat nutzen dürfen? Fällt dann ein Mitarbeiter länger aus und greift zwischenzeitlich ein anderer Mitarbeiter des Unternehmens auf seine Nachrichten im E-Mail-Postfach zu, kann dies datenschutzrechtliche Konsequenzen haben. Falls berufliche und private Nachrichten im selben Postfach liegen, können Zugriffe auf das Postfach eine Verletzung des Fernmeldegeheimnisses darstellen. Sie wären somit strafbar.
Wie sich der Herausforderung stellen?
Um sich für die anstehenden Änderungen im Datenschutz zu wappnen, ist es unumgänglich, sich im Unternehmen zunächst einen Überblick über sämtliche Prozesse, Systeme und Datenflüsse zu verschaffen und zu prüfen, ob darüber personenbezogene Daten verarbeitet werden. Mit Blick auf die Datensicherheit sollte in diesem Zusammenhang frühzeitig die IT-Sicherheitsabteilung in die Risikoanalysen einbezogen werden.
Aus diesen Informationen ist ein Verfahrensverzeichnis zu erstellen, indem jeder Prozess, über den personenbezogene Daten verarbeitet werden, zu dokumentieren ist. Neben den gesetzlichen Anforderungen sollten darin auch andere Risiken und Maßnahmen aufgelistet werden. Sollte es später zu einer Überprüfung durch die Behörden kommen, wird ein vorliegendes, stets aktuelles Verfahrensverzeichnis von fundamentaler Bedeutung sein.
Der Weg zur Erfüllung der bereits bestehenden und hinzukommenden Datenschutzanforderungen ist mit vielen Stolpersteinen gepflastert. Eine Aufsichtsbehörde wird aber nicht sofort die höchsten Bußgelder verhängen, wenn ein Unternehmen aufzeigen kann, dass es sich mit dem Thema Datenschutz beschäftigt hat und zumindest die grundsätzlichen Maßnahmen getroffen hat.
* Frank M. Esser ist Consultant bei BridgingIT.
(ID:45064787)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954391/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")