:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Folgenabschätzung Erste Konkretisierungen zur DSGVO im Juni
Von den deutschen Aufsichtsbehörden für den Datenschutz und von dem Europäischen Datenschutzausschuss (EDPB) kommen erste Konkretisierungen für Vorgaben der Datenschutz-Grundverordnung (DSGVO / GDPR). Dazu gehört eine Liste von Verfahren, bei denen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. Es gibt also Handlungsbedarf für Unternehmen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Nach ungezählten E-Mails, die den Empfänger um eine (in aller Regel) unnötige erneute Einwilligung ersuchten, nach den großen Sorgen vor hohen Bußgeldern und ersten, wenigen Fällen von Datenschutzbeschwerden scheint etwas Ruhe bei dem Thema DSGVO einzutreten. Ist dies die sprichwörtliche Ruhe vor dem Sturm? Oder ist es vielmehr so, wie zum Beispiel Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, erklärt: „Während es Druck geben wird, zu zeigen, dass die DSGVO-Gesetze Zähne haben, ist nicht zu erwarten, dass gegen Unternehmen sofort Geldstrafen verhängt werden. Die Auswirkungen der Durchsetzung der DSGVO sind wahrscheinlich noch viele Monate entfernt.“
Ganz gleich, ob nun ein DSGVO-Sturm kommt oder nicht: „Die DSGVO ist da. Sie ist eine Revolution in der Art und Weise, wie Unternehmen und andere Organisationen mit persönlichen Daten in ihrer täglichen Arbeit umgehen. Um die Risiken und Herausforderungen der DSGVO anzugehen, müssen wir alle in intelligenter Art und Weise mit dem Schutz von Daten verfahren“, so Trevor Hughes, Präsident und CEO der International Association of Privacy Professionals. „Wir müssen sicherstellen, dass unsere Mitarbeiter gezielt geschult werden, um die Folgen dieser neuen Verordnung zu verstehen. Das wird ein fortlaufender Prozess sein.“
:quality(80)/images.vogel.de/vogelonline/bdb/1388500/1388521/original.jpg "Unternehmen sollten nicht auf Prüfungen der Datenschutz-Aufsichtsbehörden warten, sondern aktiv deren Angebote zur Unterstützung nutzen. (bakhtiarzein - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Mit Datenschutz-Aufsichtsbehörden richtig kooperieren
„Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, meint auch Thomas Spaeing, Vorstand des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD).
Der BvD hofft, dass die Aufsichtsbehörden mit dem Start der DSGVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.
Offene Punkte zur DSGVO werden schrittweise geklärt
Für die konkrete Umsetzung der DSGVO erhoffen sich viele Unternehmen zu Recht Unterstützung durch weitere Empfehlungen und Vorgaben, denn die DSGVO nennt selbst zahlreiche Themenbereiche, die der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) nun näher klären soll.
:quality(80)/images.vogel.de/vogelonline/bdb/1342600/1342665/original.jpg "Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren. (BillionPhotos.com - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was man bei der DSGVO erst später richtig angehen kann
Für erste, bisher offene Punkte gibt es nun bereits Empfehlungen oder Vorgaben, teils von dem EDPB, teils von den Datenschutzaufsichtsbehörden in Deutschland, die ebenfalls verschiedene Themenbereiche haben, die sie laut DSGVO näher spezifizieren sollen. Ein besonders wichtiges Beispiel sind die Datenschutz-Folgenabschätzungen (Artikel 35 DSGVO).
Aufsichtsbehörden veröffentlichen Positivliste
Die Aufsichtsbehörden in Deutschland haben eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellt und veröffentlicht. Die Aufsichtsbehörden können später noch eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung (DSFA) nötig ist.
Zuerst ist wichtig zu verstehen, dass die Liste keinen Anspruch auf Vollständigkeit ergeben will, so die Aufsichtsbehörden. Zudem können Unternehmen daraus, dass eine bestimmte Verarbeitungstätigkeit in der Liste nicht aufgeführt wird, nicht den Schluss ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 DSGVO erfüllt, so die Aufsichtsbehörden, sprich: Jeder Verantwortliche muss grundsätzlich selbst prüfen, ob eine DSFA notwendig ist oder nicht.
Trotzdem ist die Liste der Aufsichtsbehörden (pdf) sehr wertvoll und wichtig, zeigt sie doch auf, wann eine DSFA erfolgen soll und zwar an konkreten Beispielen, die viele Unternehmen bei sich selbst vorfinden werden. An dieser Stelle seien einige dieser Beispiele genannt, um zu zeigen, dass eine DSFA eher kein seltener Fall in nur wenigen Unternehmen ist, sondern dass es erforderlich ist, im Unternehmen einen eigenen Prozess für DSFA zu etablieren.
:quality(80)/images.vogel.de/vogelonline/bdb/1383000/1383028/original.jpg "Beim Schutz personenbezogener Daten verlangt die DSGVO generell einen risikobasierten Ansatz. Viele Unternehmen unterschätzen jedoch massiv die damit teilweise verbundene Datenschutzfolgenabschätzung. (BillionPhotos.com - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Risiken und Probleme bei der Datenschutzfolgenabschätzung
Beispiele für den Bedarf einer DSFA
Anwendungsfälle gibt es genug, wie diese Beispiele zeigen, darunter auch Bereiche, die die IT-Sicherheit betreffen:
- Fraud-Prevention-Systeme
- Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen
- Geolokalisierung von Beschäftigten
- Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
- Telefongespräch-Auswertung mittels Algorithmen
- Einsatz von RFID/NFC durch Apps oder Karten
- Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatte
- Fahrzeugdatenverarbeitung - Umgebungssensoren
- Fahrzeugdatenverarbeitung - Car Sharing / Mobilitätsdienste
- Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
- Scoring durch Auskunfteien, Banken oder Versicherungen
- Betrieb von Bewertungsportalen
- Inkassodienstleistungen - Forderungsmanagement
- Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind
Auch wenn man immer mit einem Anwendungsfall anfangen muss, sollte die Liste der Aufsichtsbehörden nicht so verstanden werden, dass man sich davon etwas „aussuchen“ kann, sondern die Liste der Aufsichtsbehörden muss intern geprüft und im positiven Fall mittels DSFA bearbeitet werden. Die Umsetzung der DSGVO geht also weiter.
(ID:45363686)
:quality(80)/p7i.vogel.de/wcms/21/41/21416a22094050a42523321b4cae1941/0113384447.jpeg "Als Unternehmen sollte man zurückhaltend bei der Nutzung eines Dienstes wie ChatGPT sein. Es empfiehlt sich, die weiteren Ergebnisse der Datenschutzaufsichtsbehörden genau zu beachten. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/89/2289bdc0480d6c821ace319a2b98f084/0111034551.jpeg "Viele Datenschutzbeauftragte sind nur in Teilzeit in diesem Bereich tätig und brauchen dringend mehr Unterstützung in ihren Unternehmen. (Bild: thodonal - stock.adobe.com)")