:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-Datenschutz-Grundverordnung Fünf Schritte zur Einhaltung der EU-DSGVO-Gesetzesvorgaben
Die EU-Datenschutz-Grundverordnung ist beschlossen und erstmals drohen empfindliche Geldstrafen bei Nichtbeachtung. Mit den folgenden Empfehlungen bereiten sich Organisationen auf die Neuerungen 2018 vor.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Am 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten und anwendbar ab dem 25. Mai 2018. Bei der DSGVO geht es im Wesentlichen um die Regeln, die Unternehmen befolgen müssen, um sicherzustellen, dass persönlich identifizierbare Informationen (PII) geschützt werden. Besonders schwierig in einer Umgebung, die zunehmend mobil und Cloud-basiert ist, denn schützenswerte Daten sind immer schwerer zu verfolgen. Da viele Daten nicht mehr hinter einer Firewall geschützt werden, steigt das Risiko, dass sie gefährdet sind und kompromittiert werden.
Die jetzt im Gesetz festgeschriebenen Regeln warten mit grundlegenden Veränderungen auf, um den Schutz personenbezogener Daten auf ein EU-einheitliches Niveau zu bringen. Datenschutz als Grundrecht wirkt sich dabei auch auf die Unternehmensstrategie aus, weil nun Compliance-Vorgaben einzuhalten sind. Erstmals kann ein Verstoß gegen die Bestimmungen durch ein Unternehmen zu Geldstrafen und strafrechtlicher Verfolgung führen.
Datensicherungsanbieter wie Druva haben ihre Backuplösungen auf die Einhaltung der erweiterten Datenschutz- und Backup-Anforderungen vorbereitet. So können Unternehmen beispielsweise Datenbestände auf den Geräten und in der Cloud (Office 365, Salesforce, Google-Works, Box) von zentraler Stelle aus einsehen. Mögliche Datenlecks lassen sich so schneller identifizieren und nachverfolgen, Daten auf Mobilgeräten verschlüsseln oder ganz löschen.
Mit den folgenden Schritten können sich Organisationen auf die regulatorischen Anforderungen vorbereiten:
1. Datenverwaltung und Datenschutzprozesse überprüfen
Jetzt ist die Zeit für Unternehmen, ihre aktuelle Position und Prozesse rund um den Datenschutz kritisch zu überprüfen. Eine Prüfung aller Kundendatensätze im gesamten Unternehmen hilft dabei, die eigenen Geschäftsprozesse besser zu verstehen, die Kundendaten erzeugen oder verwenden. Die Einführung neuer Prozesse oder die Stärkung des bestehenden Verfahrens ist nur dann möglich, wenn alle PII-Instanzen bekannt sind. Auf diese Weise wird auch sichtbar, welche Kundendaten gegenwärtig nicht ausreichend geschützt oder verwaltet werden, beispielsweise bei einzelnen IT-Assets der Mitarbeiter.
2. Führungskräfte für Einhaltung des Datenschutzes
Unternehmen sollten Verantwortliche für Datenschutz und Sicherheit benennen, welche die Zusammenarbeit zwischen IT-Gruppen innerhalb der IT-Abteilung sowie anderen Business-Teams und Geschäftseinheiten koordinieren. Ihre Aufgabe wäre es, die Einhaltung von Richtlinien zu überwachen und die Umsetzung von Backup-, Disaster-Recovery-und Archivierungsprozessen sicherzustellen. Auf der technischen Seite empfiehlt sich dabei der Einsatz einer Gesamtlösung, die einen zentralen Blick auf alle Datenquellen ermöglicht und an verschiedenen Standorten gespeicherte Daten synchronisiert.
3. Unternehmensleitfaden veröffentlichen
Damit interne Teams gleichermaßen ihre Verantwortung wahrnehmen können, müssen die bestehenden Business-Continuity-Richtlinien DSGVO-konform aktualisiert werden. Dieses Richtliniendokument richtet sich natürlich auch an den Rest des Unternehmens, um das Bewusstsein und die Akzeptanz für neue (technologische) Prozesse zu verbessern. Insbesondere geht es um die Erfüllung der DSGVO-Vorgabe, dass Nutzer das Recht haben, „vergessen zu werden“. Auf Kundenwunsch müssen Daten gelöscht, bei Umzug oder Nichtnutzung gesetzeskonform aufbewahrt werden. In regulierten Branchen ist es Vorschrift, dass Nutzerdaten zum Teil jahrelang verwahrt werden, auch wenn der Kunde keine Waren mehr gekauft oder Dienstleistungen nicht mehr in Anspruch genommen hat.
4. Konsolidierung zur Vereinfachung des Schutzes
Viele Daten gehen über die geschäftlichen Aktivitäten hinaus und sind teilweise nur über bestimmte IT-Ressourcen abrufbar. Rund 40 Prozent der Unternehmensdaten befinden sich gar nicht auf den zentralen IT-Plattformen. Die DSGVO-Anforderungen schreiben indes vor, wie diese Informationen zu verwalten sind, sofern sie Kundendaten beinhalten. Auf mobilen Endgeräten und in dezentralen Büros gespeicherte Daten müssen also in der gleichen Weise geschützt werden wie zentral aufbewahrte Informationen. Wichtig ist beispielsweise die Verschlüsselung von Daten auf mobilen Geräten. Gehen Geräte verloren oder werden sie gestohlen, sollten die Datenbestände sich auch über einen Remote-Befehl löschen lassen. Bei der Speicherung von Daten in der Cloud darf nur das Unternehmen die relevanten Dateien entschlüsseln können. Durch eine Zentralisierung der Verwaltung wird dabei gewährleistet, dass alle einzuhaltenden Schritte automatisch befolgt werden.
5. Plan für regelmäßige Kommunikation
Ab 2018 ist die Einhaltung der DSGVO verbindlich. Dann muss die Kommunikation stimmen zwischen der für Datenschutz und Sicherheit verantwortlichen IT-Abteilung und anderen Teams, die geschäftliche Aufgaben wie Compliance, Rechtsfragen und Auditierung verantworten. Nicht nur Fachexperten, sondern die Mitarbeiter im gesamten Unternehmen müssen ihre Aufgaben und Verantwortlichkeiten beim Umgang mit Kundendaten kennen. Organisationen sollten deshalb eine Kommunikationsstrategie für Daten und den Datenschutz definieren, der Mitarbeiter von Anfang an über ihre Verantwortlichkeiten informiert und auf dem aktuellen Stand hält. Auch für den Fall von Datenmissbrauch oder Datenverlust sollte ein Kommunikationsplan vorbereitet sein, um die lokale Datenschutzbehörde über den Verstoß schnellstmöglich zu informieren und gegenüber Kunden sowie Öffentlichkeit aktiv zu werden.
* Andreas Sturm, Regional Sales Director CE der Druva GmbH
(ID:44275680)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934620/original.jpg "Die Nutzung CISPE-Kodex-konformer Dienste soll den Kunden mehr Sicherheit in Bezug auf Einhaltung der Datenschutzgrundverordnung bringen. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904700/1904755/original.jpg "Es ist nicht zu erwarten, dass der Datenschutz einmal abschließend geregelt ist, er kann es auch gar nicht, da sich die Verarbeitung und der Schutzbedarf der personenbezogenen Daten fortlaufend ändern. (Bernulius - stock.adobe.com)")