:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/a4/7f/a47fcac710f298a6a0b02668e48e2849/0111560285.jpeg "Die ersten 72 Stunden nach einem Cyberangriff sind entscheidend für die Schadensbegrenzung und Einhaltung der DSGVO. (Bild: HNFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/78/ac78d9314d428c4d1179c0729c0f2ff2/0111550886.jpeg "Das Ziel des OT-Security Events „Securing the Future“ ist es, den Teilnehmern einen guten Überblick über relevante Maßnahmen, sowie Problemstellungen und mögliche Lösungen zu geben. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Grundverordnung, Artikel 32 DSGVO sorgt mit „Stand der Technik“ für Verwirrung
Die Datenschutz-Grundverordnung sorgt bei vielen Unternehmen ohnehin schon für reichlich Stress, aber eine spezielle Anforderung der DSGVO sorgt für besondere Verwirrung: Artikel 32 verpflichtet Unternehmen, ihre Daten dem „Stand der Technik“ entsprechend zu schützen. Das Problem dabei: IT-Entscheider und Hersteller sind sich in der Interpretation dieser Vorgabe alles andere als einig.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Die Formulierung „Stand der Technik“ findet sich bereits in § 8a des Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) von 2015. Dieses schreibt vor, dass kritische Infrastrukturen (KRITIS) entsprechend geschützt werden. Mit Artikel 32 der DSGVO ist der Gesetzgeber nun noch einen Schritt weitergegangen und hat den „Stand der Technik“ zur allgemeinen Richtschnur für IT-Sicherheit zum Schutz personenbezogener Daten erklärt. Für viele IT-Entscheider stellt das eine enorme Herausforderung dar. Schließlich kommen Datenverluste leider noch immer regelmäßig in deutschen Unternehmen vor und können ab Mai 2018 empfindliche Strafen nach sich ziehen.
Was bedeutet also der „Stand der Technik“ für Unternehmen und warum verwendet der Gesetzgeber diesen Begriff anstatt klar zu definieren, was er sich darunter vorstellt? Hierzu muss zunächst die Natur von Sicherheitslösungen allgemein betrachtet werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336565/original.jpg "Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (BillionPhotos.com - stock.adobe.com)")
Klarheit bei der Datenschutz-Grundverordnung
9 DSGVO-Mythen enttarnt!
Präzise Formulierungen schaden mehr als sie nützen
In den ersten Gesetzen im IT-Bereich verwendete der Gesetzgeber noch den Begriff „Antivirus“ und schrieb vor, dass dieses auf allen Endpunkten installiert sein müsse. Diese klare Vorgabe war für die betroffenen Unternehmen einfach einzuhalten. Das Problem an solchen präzisen Formulierungen ist allerdings, dass sie auch auf der „anderen Seite“ bekannt und dementsprechend leicht zu umgehen sind. Wenig überraschend kam die Antivirus-Technologie, die damals hauptsächlich aus Pattern-gestützten Updates bestand, schnell an Ihre Grenzen und war in puncto Sicherheit bereits nach wenigen Jahren obsolet. Daran wird deutlich, dass Sicherheit und Zuverlässigkeit einer Schutztechnologie in der Regel mindestens genauso sehr von ihrem Verbreitungsgrad abhängt wie von der Technik selbst.
Häufige Anpassungen nötig
Ein Blick auf die letzten 30 Jahre Endpunktsicherheit verdeutlicht, dass etwa alle zwei bis drei Jahre eine neue Technologie auf den Markt kommt, die wirkungsvoller ist als alles zuvor Bekannte. Vor etwa vier Jahren war das Sandboxing eine solche revolutionäre Technologie, seit etwa einem Jahr ist maschinelles Lernen das bestimmende Thema. In der Regel dauert es nicht lange bis Cyberkriminelle erste Gegenmaßnahmen entwickelt haben und auch die neueste Technik nicht mehr wirkungsvoll funktioniert. So arbeiteten bereits 2016 viele Ransomware-Varianten mit sogenannten Sandbox-Evasion-Technologien. Für rechtliche Regelungen bedeutet dies: Würde der Gesetzgeber genaue Technologien vorschreiben, müsste er diese etwa alle zwei bis drei Jahre aktualisieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336577/original.jpg "Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen. (kebox - stock.adobe.com)")
Meldepflichten bei IT-Sicherheitsvorfällen
Meldepflichten gibt es nicht nur bei der DSGVO
Nicht allgemein gültig
Zudem hat jedes Unternehmen bei der IT-Sicherheit ein eigenes Anforderungs- und Gefährdungsprofil. Was in größeren Unternehmen hervorragend funktioniert, scheitert beim Mittelstand oft an den verfügbaren Ressourcen. Während eine vorgeschriebene Technologie für das eine Unternehmen nicht ausreicht, kann sie für ein anderes bereits zu komplex sein.
„Stand der Technik“ in der Praxis
Aus diesen Gründen erscheint es durchaus zweckmäßig, dass sich der Gesetzgeber für die allgemeine Formulierung „Stand der Technik“ entschieden hat. Doch was bedeutet diese Vorgabe für die Praxis? Diese Fragestellung, markiert bereits den ersten Schritt zur Erfüllung der Vorgabe. Der „Stand der Technik“ erfordert eine Auseinandersetzung mit dem Thema anstatt einfach das erstbeste Produkt zu kaufen. Damit verbunden ist das Bewusstsein, dass IT-Sicherheit kein Zustand ist, der einfach erreicht werden kann und dann für immer unveränderlich ist. Vielmehr stellt IT-Sicherheit einen ständigen Prozess dar, der eine sinnvolle Strategie erfordert, um wirksam zu sein.
Schutz von Daten ernst nehmen
IT-Sicherheit war bislang vor allem ein Kostenfaktor und wurde deshalb in vielen Firmen nur im Rahmen des vorgeschriebenen Minimums eingesetzt. Ausnahmen gab es häufig erst dann, wenn tatsächlich ernsthafte Beeinträchtigungen der Geschäftsprozesse zu beobachten waren, beispielsweise bei Ransomware-Vorfällen. Damit verbunden war oftmals die Ansicht, dass der Diebstahl personenbezogener Daten für das betroffene Unternehmen nur ein geringes Problem mit vernachlässigbaren Folgen darstellte. Mit der DSGVO hat der Gesetzgeber diesen Daten einen hohen Wert verliehen und ihren Verlust mit empfindlichen Strafen belegt. Dies soll zu einem Umdenken in den Unternehmen führen.
:quality(80)/images.vogel.de/vogelonline/bdb/1342600/1342665/original.jpg "Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren. (BillionPhotos.com - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was man bei der DSGVO erst später richtig angehen kann
Schutz – Erkennung – Bereinigung
Zur Planung der IT-Sicherheit gehört nicht nur die Optimierung des Schutzes. Auch der Gesetzgeber hat erkannt, dass vollständige Sicherheit nicht erreicht werden kann. Schließlich kann heute noch niemand vorhersagen, wie die Cyberangriffe von morgen aussehen werden. Umso wichtiger ist es, eine Strategie für den Fall zu haben, dass es einem Angreifer gelingt, die Verteidigung zu überwinden. Diese sollte unter anderem folgende Fragen beantworten können: Wie kann ein erfolgreicher Angriff schnellstmöglich erkannt und auf ihn reagiert werden? Was hat der Angreifer im System gemacht? Kam es zu Datenverlust? Befindet sich der Angreifer noch immer im System? Wenn ja, wo und wie kann er wieder aus dem Netzwerk entfernt werden? Eine verbreitete Vorgehensweise in solchen Fällen ist es, externe Forensiker zu beauftragen, um diese Analysen durchzuführen. Damit werden Unternehmen zukünftig jedoch weder den kurzen Benachrichtigungsfristen noch der Forderung nach dem „Stand der Technik“ gerecht werden können. Vielmehr sind technologische Lösungen gefragt, die proaktiver sind und den Forensikern im Zweifel schnelle Antworten liefern können.
…und technologisch?
Die einzusetzenden Technologien hängen unter anderem von Unternehmensgröße und Arbeitsweise ab. Es gibt aber durchaus ein paar Grundregeln, die zu beachten sind:
Managebarkeit
Sicherheitstechnologie muss stets managebar sein. Dabei ist es unerheblich wie viele unterschiedliche Hersteller eingesetzt werden. Managebarkeit bedeutet in erster Linie, dass die produzierten Ergebnisse nicht nur einen punktuellen Einblick geben, sondern einen möglichst umfassenden Überblick über das Geschehen im gesamten System bieten. Beispielsweise kann eine ungewöhnliche Kommunikation im Netzwerk darauf hindeuten, dass einer oder mehrere Clients verseucht wurden. Ermöglicht die Sicherheitslösung nun, die Informationen beider Seiten miteinander zu kombinieren, ergibt sich ein genaueres Bild der Vorgänge, die dann effektiver bekämpft werden können. Bietet die IT-Sicherheit hingegen nur punktuellen Einblick, sind die Verantwortlichen oftmals nur damit beschäftigt, Löcher zu stopfen und übersehen wichtige Schwachstellen.
:quality(80)/images.vogel.de/vogelonline/bdb/1349100/1349167/original.jpg "Industrieunternehmen sollten bei der Vorbereitung auf die DSGVO die scheinbar rein maschinellen Prozesse auf einem möglichen Personenbezug der Daten prüfen. (BillionPhotos.com - stock.adobe.com)")
Datenschutz-Grundverordnung im Mittelstand
Was Industrieunternehmen für die DSGVO noch tun müssen
Technologischen Fortschritt einplanen
Bei der Entscheidung für einen Anbieter sollte der zu erwartende technologische Fortschritt mit eingeplant werden. Die Vergangenheit hat gezeigt, dass etwa alle zwei bis drei Jahre mit einer neuen, wirksameren Technologie zu rechnen ist. IT-Entscheider sollten sich schon heute überlegen, wie sie damit umgehen wollen: Möchten sie jede Technologie durch einen anderen, möglicherweise spezialisierten Hersteller abdecken oder entscheiden sie sich für einen Generalisten, der mit seinen Lösungen auch in einigen Jahren noch den nächsten Schritt mitgeht?
Analystenmeinungen – Fachmeinungen
Gerade im Mittelstand ist es oftmals schwer, sich selbst ein Bild zu machen und immer einen Blick auf die neuesten Entwicklungen zu haben. IT-Verantwortliche sollten sich an vertrauenswürdige Partner wenden oder die Berichte von Analysten zu Rate ziehen, die sie bei der Entscheidungsfindung unterstützen können. Analysten beurteilen Hersteller hinsichtlich ihrer Fähigkeiten. Partner bieten oft den Service, Systeme nicht nur aufzusetzen, sondern sie auch zu betreiben. Mit dieser Unterstützung fällt es meist leichter, sich für die richtigen Systeme zu entscheiden.
Mehr Datensicherheit wagen
Im direkten Gespräch mit Unternehmen ist häufig zu hören, dass die neue Datenschutzgrundverordnung als „Gängelung“ der Unternehmen verstanden wird. Man erwartet keine ernstzunehmenden Bestrafungen und wenn es doch dazu komme, werde es ohnehin zunächst die anderen treffen. Zudem werden fehlende spezifische Vorgaben bemängelt und neue erwartet, an die man sich dann halten könne. Hier ist dringend ein Umdenken nötig!
:quality(80)/images.vogel.de/vogelonline/bdb/1340700/1340763/original.jpg "Sowohl Gesetzgeber als auch Aufsichtsbehörden für den Datenschutz wissen, dass KMU auf größere Schwierigkeiten treffen können, wenn es um die Umsetzung der DSGVO geht. (bluedesign - stock.adobe.com)")
Datenschutz-Grundverordnung im Mittelstand
Was KMU jetzt für die DSGVO unbedingt noch tun müssen
Zum einen stehen bei der DSGVO weniger die betroffenen Unternehmen, als vielmehr die ihnen anvertrauten Werte, nämlich die personenbezogenen Daten von Kunden und Mitarbeitern, im Mittelpunkt. Zum anderen tut der Gesetzgeber gut daran, eben die verkrusteten Strukturen für obsolet zu erklären, die für den bisherigen, desolaten Zustand der Datensicherheit verantwortlich sind. Diese sind – so paradox es klingen mag – vor allem in den bisherigen gesetzlichen Regelungen begründet. Denn Unternehmen neigen dazu, sich möglichst genau an diese Vorgaben zu halten und sich dabei auf das gesetzlich vorgeschriebene Minimum zu beschränken. So sollen die Kosten möglichst niedrig gehalten und dennoch der reibungslose Geschäftsbetrieb gewährleistet werden. IT-Sicherheit ist nach diesem Verständnis ein reiner Kostentreiber.
Kam es in der Vergangenheit zum Verlust personenbezogener Daten, wurde der Konsument mit den Folgen oft alleine gelassen. Die Politik wird mit der DSGVO lediglich Ihrem Auftrag gerecht, den Bürger in diesem Punkt besser zu schützen. Wenn das dazu führt, dass die IT-Sicherheit spürbar verbessert und auf den „Stand der Technik“ gebracht wird, profitieren davon nicht zuletzt die Unternehmen selbst.
Über den Autor: Richard Werner ist Business Consultant bei Trend Micro.
(ID:45119272)
:quality(80)/images.vogel.de/vogelonline/bdb/1937300/1937381/original.jpg "Krankenhäuser sind eine Goldgrube für Cyberkriminelle. Seit dem ersten Januar 2022 fordert der Gesetzgeber aus diesem Grund von Kliniken ein höheres Maß an Informationssicherheit. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933800/1933872/original.jpg "Compliance als Rahmenwerk gesetzlicher- regulatorischer- und sonstigen externen Anforderungen. (Murrstock - stock.adobe.com)")