:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
EU-DSGVO - Stand der Technik IT-Sicherheit und die Datenschutz-Grundverordnung
Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist für viele Unternehmen eine besondere Herausforderung verbunden, müssen sie doch ihre IT-Systeme entsprechend dem Stand der Technik absichern. So will es der Gesetzgeber. Doch was ist eigentlich der „Stand der Technik“? Hier scheiden sich die Geister.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die neue EU-DSGVO regelt europaweit den Schutz und die Verarbeitung personenbezogener Daten. In Artikel 32 der Verordnung heißt es: „Unter Berücksichtigung des Stands der Technik […] treffen der Verantwortliche und ggf. der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Wie gerade solche Unternehmen mit einer derart schwammigen Formulierung umgehen sollen, die nicht aus der IT-Branche kommen, bleibt freilich ungeklärt. Denn was genau ist der „Stand der Technik“? Die Gesetzesmacher scheinen sich auf den ersten Blick selbst nicht darüber im Klaren zu sein. Zumindest lassen sie viele Unternehmen ratlos zurück. Und die wichtigste Frage bleibt unbeantwortet: Was genau ist jetzt zu tun?
Für Betroffene mag es überraschend klingen, doch die vage Formulierung vom „Stand der Dinge“ hat der Gesetzgeber ganz bewusst gewählt. Zum einen entzieht sich die Politik auf diese Weise einer potentiellen Haftung oder Anfechtbarkeit. Zum anderen weiß auch die Politik, dass die technologische Entwicklung heutzutage rasend schnell voranschreitet und durch eine einfache Verordnung nicht adäquat abgebildet werden kann. So sind bestimmte Maßnahmen schon wieder veraltet, wenn die Verordnung denn tatsächlich in Kraft tritt. Es bleibt abzuwarten, ob sich der Gesetzgeber im Rahmen eventueller Novellierungen der Vorordnung künftig anders auszudrücken weiß. Trotzdem entbindet diese Schwammigkeit in der sprachlichen Formulierung die Unternehmen nicht von ihrer vorgeschriebenen Pflicht, ihre IT-Systeme auf den neuesten Stand zu bringen und moderne Sicherheitsstandards umzusetzen.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336565/original.jpg "Über die Datenschutz-Grundverordnung (DSGVO) existieren viele Mythen und falsche Informationen. (BillionPhotos.com - stock.adobe.com)")
Klarheit bei der Datenschutz-Grundverordnung
9 DSGVO-Mythen enttarnt!
Schlussendlich lässt sich der Stand der Technik in drei Stufen unterteilen. Die erste Stufe beruht auf Technologien und Konzepten, die in der Vergangenheit bereits erfolgreich erprobt und umgesetzt wurden. So entsteht ein Konsens, der auf bewährten Maßnahmen beruht. Das Problem dieser Ebene ist, dass sie Innovationen und den Blick auf Technologien von morgen gänzlich ausschließt. Die zweite Ebene verzichtet auf einen Konsens und konzentriert sich von vornherein auf innovativere Technologien. Doch eine ausschließliche Konzentration auf schnellere Innovationen ist gerade für Unternehmen aus IT-fremden Industriesegmenten häufig ein Problem. Schließlich gibt es eine dritte Ebene. Hier stehen jene Technologien im Mittelpunkt, die sich noch in der Forschung und Entwicklung befinden, also Technologien von morgen, die sich in der Praxis noch nicht ausreichend bewährt haben. Ideal für die EU-Datenschutzgrundverordnung wäre eine Konzentration auf einen Platz zwischen der ersten und zweiten Ebene, also eine Nutzung bewährter Technologien unter fortwährender Bereitschaft, diese auf dem neuesten und sichersten Stand zu halten. Auf diese Weise sind Unternehmen in der Lage, in der Praxis einen größtmöglichen Datenschutz zu garantieren.
Orientierungshilfen
Folgerichtig sollten sich Unternehmen daher kontinuierlich selbst über aktuelle technische Entwicklungen informieren. Hilfe finden sie beispielsweise beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI gibt sein IT-Grundschutz-Kompendium sowie technische Richtlinien heraus, welche es regelmäßig aktualisiert. Hier werden Mindeststandards etwa zu kryptografischen Verfahren erläutert, die im Business-Kontext zu beachten sind. Auch die Aufsichtsbehörden für Datenschutz sowie Fachverbände geben regelmäßig Informationsmaterialien heraus, die als Überblick und Ratgeber für neueste Sicherheitstechnologien dienen. Zumindest in der Theorie erhalten Unternehmen dann eine gute Vorstellung davon, was in puncto IT-Sicherheit und Datenschutzverordnung zu tun ist.
Die konkrete Umsetzung muss dann freilich noch erfolgen. Dies beinhaltet auch die Suche nach einem geeigneten Hersteller der notwendigen Systeme. Eine weitere Orientierungshilfe bilden Zertifikate zur Informationssicherheit nach ISO 27001. Die EU-DSGVO verfügt derzeit über keinen einheitlichen zertifizierbaren Standard. Lediglich Teilbereiche werden über verschiedene Modelle abgedeckt. Weitere Möglichkeiten zur Orientierung erhalten Unternehmen über den Anforderungskatalog des BSI „Cloud Computing Compliance Controls Catalogue“ (C5). Auch das Datenschutz-Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD) von Schleswig-Holstein hat praktische Guidelines zum Thema Datenschutz veröffentlicht. Dabei gilt es jedoch zu beachten, dass ein Zertifikat nur den aktuellen Sicherheitsstatus ablichtet. Wie bereits erwähnt, entwickelt sich die Technik allerdings rasend schnell weiter.
:quality(80)/images.vogel.de/vogelonline/bdb/1342600/1342665/original.jpg "Unternehmen sollten sich nicht darauf ausruhen, dass bei der DSGVO noch Informationen fehlen. Sie sollten die Umsetzung so weit wie möglich vorantreiben und dokumentieren. (BillionPhotos.com - stock.adobe.com)")
Fragen zur Datenschutz-Grundverordnung
Was man bei der DSGVO erst später richtig angehen kann
Viele Unternehmen sind nicht vorbereitet
Insgesamt mag es nicht überraschen, dass sich ein Großteil der Unternehmen in Deutschland als nicht ausreichend vorbereitet auf die neue DSGVO bezeichnet. Dies besagt zumindest eine Umfrage des Branchenverbandes Bitkom. So gaben lediglich 13 Prozent der Befragten an, bereits konkrete Maßnahmen in Angriff genommen zu haben – und immerhin 49 Prozent beschäftigen sich mit dem Thema. Viele Unternehmen haben Mühe damit, den Ausführungen der neuen Verordnung zu folgen. Die Anforderungen sind umfangreich und die konkrete Umsetzung in vielen Fällen schwierig, so ehrenwert sie auch sein mögen. Über 30 Prozent der Unternehmen bemängeln denn auch laut Bitkom konkrete Umsetzungshilfen. Abhilfe schafft die Zusammenarbeit mit erfahrenen Dienstleistern, die sich tagtäglich mit Risikoszenarien, Abwehrmechanismen und ganzheitlicher Sicherheit auseinandersetzen. Trotzdem bleibt das auftraggebende Unternehmen gegenüber dem Gesetzgeber in der Verantwortung. Kommt es zu einer Datenpanne, sind IT-Dienstleister in der Beweispflicht, sich von einer gewissen Mitschuld zu befreien. Ein solcher Vorgang ist dann schnell ein Fall für die Versicherung – oder ein Gericht. Denn ab dem Stichtag sind IT Service Provider ebenso in einer höheren Informations- und Beratungspflicht gegenüber ihren Kunden.
Ziel: Ganzheitlicher Datenschutz „by Design“
Die neue EU-DSGVO beinhaltet eine umfassende Modernisierung der Systeme, die insbesondere auf den „Privacy by Design“-Ansatz abzielt. Er beruht auf einem grundlegenden und ganzheitlichen Sicherheitskonzept für personenbezogene Daten. Umso mehr gilt es, bei der Zusammenarbeit mit Providern ein entsprechendes Vertrauen aufzubauen. Beispielsweise muss ein Provider schon dann Alarm schlagen, wenn die Gegebenheiten eine Datenpanne ermöglichen, auch wenn diese faktisch noch gar nicht stattgefunden hat. Ziel ist es, das Risiko schon im Vorfeld zu minimieren, bevor der eigentliche Ernstfall eintritt. Zu diesem Vorgehen passen ebenso die strengeren Meldepflichten. IT-Dienstleister müssen diesbezüglich gegenüber ihren Auftraggebern maximale Transparenz einräumen. Geschieht dies nicht und verstößt ein Unternehmen gegen die Auflagen der EU-Verordnung, werden, wie eingangs erwähnt, zum Teil empfindliche Bußgelder für die Unternehmen fällig.
:quality(80)/images.vogel.de/vogelonline/bdb/1336500/1336577/original.jpg "Meldepflichten bei der Verletzung personenbezogener Daten gibt es nicht erst seit der DSGVO. Diese bietet Unternehmen aber die Gelegenheit, sich des Themas noch einmal anzunehmen. (kebox - stock.adobe.com)")
Meldepflichten bei IT-Sicherheitsvorfällen
Meldepflichten gibt es nicht nur bei der DSGVO
Fazit
Die Uhr tickt! In wenigen Monaten endet die Übergangsfrist für die EU-Datenschutz-Grundverordnung. Die Vorgaben zu verstehen und umzusetzen, fällt vielen Unternehmen in Deutschland nicht leicht. Doch gibt es Abhilfe in Form von Guidelines und Empfehlungen sowie erfahrene IT-Dienstleister, die mit Rat und Tat zur Seite stehen. Unternehmen sollten daher außerbetriebliche Hilfen in Anspruch nehmen und eruieren, welche Maßnahmen sinnvoll und notwendig sind, um den Missbrauch sensibler Daten zu verhindern. Im eigenen Interesse sollten Unternehmen den Aufwand nicht scheuen. Denn so kompliziert die neue Verordnung auf den ersten Blick auch scheinen mag, die Erfüllung der damit vorhandenen Vorgaben ist Pflicht.
Über den Autor: André Neumann ist Director Supplier Management & Data Privacy bei Nexinto.
(ID:45150304)
:quality(80)/p7i.vogel.de/wcms/e1/c0/e1c02be51df506b7edb3c44224a76dee/0106122545.jpeg "Die Umsetzung der KritisV ist komplex und stellt betroffene KRITIS-Betreiber vor Herausforderungen. (Bild: Rosenberger OSI)")
:quality(80)/p7i.vogel.de/wcms/9f/ac/9faca201431447da5e7b91ef47fc677b/0110984493.jpeg "Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst. (Bild: DOC RABE Media - stock.adobe.com)")