:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
DSGVO und das BDSG (neu) Einfache Datensicherheit trotz DSGVO und BDSG (neu)
Auch wenn Deutschland traditionell ein Land des strikten Datenschutzes ist, ist es alles andere als immun gegen die Risiken. Die Einführung von BDSG-neu und DSGVO verschärft die Situation nun noch einmal. Wie können Unternehmen durch die veränderte Datenlandschaft navigieren, wie können Kosten vermieden und Mitarbeiter zu Datenexperten ausgebildet werden?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Deutschland zählt zu den Ländern mit dem geringsten Risiko einer Datenschutzverletzung. Das ist angesichts der strengen Gesetzgebung kaum überraschend. Das Land nimmt bei der Datensicherheit seit den 1970er-Jahren eine Vorreiterrolle ein. Letztes Jahr hat es als erster EU-Mitgliedstaat die Datenschutz-Grundverordnung (DSGVO) auf nationaler Ebene umgesetzt.
Dies bedeutet jedoch nicht, dass Unternehmen gegenüber Datenrisiken immun sind. Internationale Studien zeigen, dass Datenschutzverletzungen in Deutschland die dritthöchsten Pro-Kopf-Kosten weltweit verursachen: 130 Euro. Zusätzlich bringt die Novelle des Bundesdatenschutzgesetzes („BDSG-neu“) härtere Strafen mit sich, sodass es noch wichtiger wird, über eine robuste Datenschutzlösung zu verfügen.
Wenn Unternehmen in der heutigen, immer komplexer werdenden Datenlandschaft erfolgreich sein wollen, ist eine gründliche Untersuchung interner Verfahren und eine unvoreingenommene Analyse der Anbieter wichtig. Hierbei geht es nicht nur um die Umsetzung der Vorgaben des BDSG-neu, sondern auch um die Ermittlung und Bewältigung potenzieller Probleme.
Diese fünf Schritte helfen Unternehmen dabei, ihre Wettbewerbsposition zu sichern:
Schritt 1: Datenrisiken gering halten
Nach dem Inkrafttreten des BDSG-neu erhöht sich der Preis, den Unternehmen für Mängel bei der Datensicherheit zahlen müssen. Die Strafen für Verstöße liegen bei bis zu 20 Mio. Euro oder 4 Prozent des Gesamtumsatzes (je nachdem, welcher Betrag höher ist). Wenn nur nationales Recht gebrochen wird, beträgt die Strafe 50.000 Euro.
Für Unternehmen, die das Risiko von Verstößen senken möchten, müssen ihr Datenmanagement genau unter die Lupe nehmen, um die größtmögliche Kontrolle bezüglich Nutzung und Speicherung der Daten sowie dem entsprechenden Zugriff sicherzustellen. Dazu gehören das Erstellen eines Protokolls der gespeicherten Daten mit Informationen über den Datenflusses innerhalb und außerhalb des Unternehmens, über den Zugriff durch Dritte und über mögliche Risiken. Auf diese Weise lassen sich potenzielle Probleme im Blick behalten und schnell angehen. Darüber hinaus wird es leichter, Auskunftsersuchen von Betroffenen nachzukommen.
Das BDSG-neu ist nicht der einzige Grund, über die Einführung flexibler Sicherheitstools nachzudenken. Im Zuge der vierten industriellen Revolution werden Daten immer wertvoller und damit interessanter für Hacker. Unternehmen müssen über Sicherheitsmechanismen verfügen, die sich ständig auf neue Bedrohungen einstellen, um diese direkt erkennen und bekämpfen zu können.
Schritt 2: Kenntnisse der Mitarbeiter stärken
Die Bestimmungen zum Datenschutz waren schon immer kompliziert. Mit einer Mischung aus DSGVO, Polizeirichtlinie und Bundesgesetzgebung ist das BDSG-neu allerdings noch unübersichtlicher. Daher ist es leicht verständlich, warum 38 Prozent der IT-Entscheidungsträger erwarten, dass mit dem BDSG-neu große Probleme auf sie zukommen.
Eine bessere Kenntnis ist erforderlich. Der Text des Datenschutz-Anpassungs- und -Umsetzungsgesetzes eignet sich als Ausgangspunkt. Theoretisches Wissen reicht jedoch nicht aus, um einen verlässlichen Datenschutz zu gewährleisten: Unternehmen müssen ein Verständnis dafür entwickeln, wie sich das BDSG-neu auf den Geschäftsbetrieb auswirkt und wie sich die Vorgaben erfüllen lassen. Dies kann durch Schulungen und Neueinstellungen geschehen.
Durch Kompetenzentwicklung in Bereichen wie Data Science und Cyber-Sicherheit und die Anwerbung einer neuen Generation an Datenexperten können Unternehmen einen Talentpool aufbauen und die Herausforderungen bewältigen, vor die sie das BDSG-neu stellt. Darüber hinaus profitieren Unternehmen bei der Bewältigung künftiger Hindernisse so von den vorhandenen Fertigkeiten, der Kreativität und der Kompetenz seines Teams bei der Problemlösung.
Schritt 3: Auf die Einwilligung konzentrieren
Das deutsche Datenschutzgesetz setzt auf Einwilligung. Bereits seit 1990 müssen Unternehmen eine Erlaubnis einholen, bevor personenbezogene Daten verwendet werden dürfen. Das BDSG-neu präzisiert und erweitert ältere Vorschriften. Außerdem enthält es Bestimmungen zum Umgang mit spezifische Kategorien personenbezogener Daten sowie Einschränkungen im Hinblick auf deren Nutzung für bestimmte Zwecke wie beispielsweise Werbung.
Unternehmen müssen jetzt sicherstellen, dass sie über eine rechtliche Grundlage (vorherige Zustimmung oder Erforderlichkeit für die Bereitstellung von Dienstleistungen) zur Speicherung von Daten verfügen, und dies auch nachweisen können. Auskunftsersuchen von Betroffenen muss nachgekommen werden: Die DSGVO räumt betroffenen Personen das Recht ein, Informationen bezüglich der Datenweitergabe einzuholen und die Löschung von Daten einzufordern. Einmal mehr beruht die Fähigkeit, dieser Vorschrift nachzukommen, auf den Kenntnissen der Unternehmen hinsichtlich der eigenen Datenverarbeitung. Sie müssen also umfassend überprüfen, wie Daten erfasst und im gesamten Unternehmen genutzt werden.
Selbstverständlich handelt es sich hierbei um eine Herausforderung. Diese bringt jedoch auch erhebliche Vorteile mit sich. Durch die Offenlegung, wie und warum Daten verwendet werden, können sich Unternehmen einen Ruf als transparentes Unternehmen verschaffen und das Kundenvertrauen stärken.
Schritt 4: Datenerfassung mit „Kindersicherung“
In der digitalisierten Gesellschaft sind auch Minderjährige online. Was folgt daraus für den Datenschutz? Unternehmen können zwar ein Mindestalter von 18 Jahren für eine Registrierung vorgeben, dürfen sich jedoch nicht darauf verlassen, dass diese Vorgabe befolgt wird. Aus aktuellen Daten geht hervor, dass bereits 51 Prozent der in Deutschland lebenden Minderjährigen über ein Profil in einem sozialen Netzwerk verfügen. Das BDSG-neu bringt einige Neuerungen zu diesem Thema mit sich. Laut dem Gesetz dürfen nur Personen über 16 Jahren ihre direkte Einwilligung erteilen. Bei einem Alter darunter ist die Zustimmung zur Datennutzung von einem Elternteil oder rechtlichen Vertreter einzuholen. Die Unternehmen müssen jedoch selbst entscheiden, wie sie das Alter überprüfen, die entsprechende Einwilligung einholen und mögliche Schlupflöcher schließen. Dieser Fall eines nicht volljährigen Gamers aus den USA zeigt, wie viel Schaden eine fehlende Einwilligung verursachen kann.
Die Einführung strenger Altersbeschränkungen sowie Einverständniserklärungen, in denen eindeutig erklärt wird, worum es sich bei der Datenweitergabe handelt, haben bei der Einhaltung der Vorschriften des BDSG-neu höchste Priorität. Kinder – und Unternehmen – sollen sich sicher im digitalen Umfeld bewegen können.
Schritt 5: Datenzentralisierung und -anonymisierung
Die wachsende Anzahl an Geräten und Plattformen hat eine zunehmende Fragmentierung der generierten Daten zur Folge, die einen Abgleich unmöglich macht, da die Daten in unterschiedlichen Abteilungen gespeichert werden. Unternehmen können daher kaum ein Profil mit allen Aktivitäten eines Verbrauchers zusammenstellen, das einen besseren Service ebenso gewährleisten würde wie den vollständigen Schutz der Daten und die Einhaltung gesetzlicher Vorschriften.
Die Zusammenführung dezentral gespeicherter Daten sollte höchste Priorität haben. Durch die Bereitstellung intelligenter Tools, die unterschiedliche Datenströme zusammenführen und in einem zentralen Hub speichern, können Unternehmen Datenschutzmaßnahmen umsetzen und erhalten zudem ein vollständiges Verbraucherprofil, mit dem sich das eigene Angebot optimieren lässt. Darüber hinaus müssen im Rahmen der Datenschutzbestimmungen möglicherweise Verfahren zur Verbesserung des Datenschutzes eingeführt werden, ohne dass die Nutzung der angebotenen Services eingeschränkt wird: z. B. Pseudonymisierung, bei der Erkennungsmerkmale innerhalb eines Datensatzes durch anonyme Bezeichner ersetzt werden, die sich keiner Einzelpersonen zuordnen lassen.
Auch wenn die Wahrscheinlichkeit von Datenschutzverletzungen in Deutschland niedriger als anderswo ist, können sich Unternehmen nicht einfach zurücklehnen. Die Datenlandschaft verändert sich immer weiter und wird täglich komplexer. Datensicherheit ist jedoch möglich. Von der Überarbeitung und Erneuerung der Datenschutzrichtlinien bis hin zur Konsolidierung und Einholung der ausdrücklichen Einwilligung – es gibt zahlreiche Wege, die neuen Vorschriften einzuhalten und sich sicher im neuen Umfeld zu bewegen.
Über den Autor: Martin McDonald ist Country Manager für Deutschland, Österreich und die Schweiz bei Tealium, einem Anbieter von Realtime-Kundendaten-Lösungen und Enterprise Tag Management.
(ID:45369503)
:quality(80)/images.vogel.de/vogelonline/bdb/1954300/1954391/original.jpg "Direktwerbung ist nach DSGVO nicht grundsätzlich verboten, auch wenn man in der Datenschutz-Grundverordnung keine spezifischen Vorgaben zum Thema Werbung findet. (Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/64/b464260cf1091db12fcb6e65cf56224a/0104024676.jpeg "Schon wenige personenbezogene Daten können in den falschen Händen eine ernsthafte Bedrohung für die Privatsphäre darstellen. (Bild: Angelov - stock.adobe.com)")