:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Datenschutz-Grundverordnung der EU Sichere Datenverarbeitung und Meldepflicht bei Datenpannen
Oft wurde die Europäische Kommission für die geplante Datenschutz-Grundverordnung kritisiert. Früher oder später wird das EU-weite Regelwerk zur Verarbeitung personenbezogener Daten aber wohl durchgesetzt. In diesem Beitrag beleuchten wir, was der Vorschlag für die Datenschutz-Grundverordnung für Unternehmen weltweit bedeutet.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Mit der Datenschutzrichtlinie 95/46/EG wurde zuletzt im Jahr 1995 eine wichtige europäische Rechtsvorschrift zum Datenschutz verabschiedet wurde. Seitdem hat sich viel verändert: Mobile Geräte zum Beispiel sind aus unserem Alltag mittlerweile nicht mehr wegzudenken und manch einer trägt sogar zwei oder drei mit sich herum.
Gleichzeitig verlassen sensible Geschäftsdaten die traditionell sicheren vier Wände des Unternehmens. Mitarbeiter schicken Dokumente per E-Mail an sich selbst, greifen mit privaten Smartphones und Tablets auf Daten zu und speichern Daten in der Cloud. Datenmissbrauch ist heute keine Seltenheit mehr, so dass Kunden jederzeit mit Identitätsdiebstahl und finanziellem Verlust rechnen müssen und Unternehmen Gefahr laufen, Kunden und Investoren zu verlieren.
Viele Länder der Europäischen Union (EU) haben ihre eigenen Datenschutzgesetze eingeführt, um dieser neuen Realität der verschwimmenden Netzwerkgrenzen Rechnung zu tragen. Die europäischen Datenschutzgesetze sind von Land zu Land verschieden und können stark voneinander abweichen. Hinzu kommt die flutartige Verbreitung von Daten über neue Medien und Technologien, was eine Modernisierung und Vereinheitlichung der EU-Datenschutzvorschriften erforderlich macht.
Der Vorschlag zur EU-Datenschutzverordnung
In den vergangenen zwei Jahren hat die EU Vorschläge zur EU-Datenschutzreform erarbeitet, mit der anstelle des bisherigen Flickenteppichs aus nationalen Gesetzen ein EU-weiter Rahmen geschaffen werden soll. Mit der neuen EU-Datenschutzverordnung sollen die Datenschutzrechte von EU-Bürgern gestärkt, das Vertrauen in Online-Aktivitäten wiederhergestellt und Kundendaten durch Einführung neuer Datenschutzprozesse und -kontrollen in Unternehmen besser geschützt werden.
Als dieser Beitrag verfasst wurde, bestand der Vorschlag aus 91 Artikeln. Wie jedes andere Gesetzeswerk wirft auch die geplante Datenschutzreform viele Fragen auf. Wir möchten nicht auf alle Einzelheiten der Reform eingehen, sondern konzentrieren uns auf den Schutz der Vertraulichkeit von Daten, deren Verletzung mit den höchsten Geldbußen geahndet werden soll. Um mehr über die Reformbemühungen zu erfahren, lesen Sie in den im ersten Kastentext genannten Ressourcen nach.
Kernelemente der Reform
Der Vorschlag für die Datenschutz-Grundverordnung stellt mit 3.999 Änderungen und Ergänzungen auf seinem Weg zum Gesetz einen neuen Rekord auf. Nachdem der Vorschlag in einem langwierigen Verfahren gründlich geprüft worden war, stellte sich das EU-Parlament hinter die Datenschutzbemühungen und segnete die Datenschutz-Neuregelung im März 2014 nahezu einstimmig mit 621 Ja-Stimmen, 10 Gegenstimmen und 22 Enthaltungen ab.
Auch wenn jetzt eine neuerliche Prüfung und Billigung durch den Rat der Europäischen Union ansteht, ist es wahrscheinlich, dass die zukünftige Gesetzgebung dem jetzigen Vorschlag folgt. Wir greifen im Folgenden einige Artikel heraus, um beispielhaft zu erläutern, was der Vorschlag für den Schutz sensibler Daten vorsieht.
Artikel 30 betrifft die Sicherheit der Datenverarbeitung:
1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter treffen unter Berücksichtigung des Stands der Technik und der Implementierungskosten technische und organisatorische Maßnahmen, die geeignet sind, ein Schutzniveau zu gewährleisten, das den von der Verarbeitung ausgehenden Risiken unter Berücksichtigung der Ergebnisse der Datenschutz-Folgenabschätzung gemäß Artikel 33 angemessen ist.1a. Eine solche Sicherheitspolitik umfasst – unter Berücksichtigung des Stands der Technik und der Implementierungskosten – folgendes:a) die Fähigkeit zu gewährleisten, dass die Vollständigkeit der personenbezogenen Daten bestätigt wird;b) die Fähigkeit, die Vertraulichkeit, Vollständigkeit, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit und den Zugang zu Daten rasch im Falle eines physischen oder technischen Vorfalls (...) wiederherzustellen (...)2. Die in Absatz 1 genannten Maßnahmen bewirken zumindest, dassa) sichergestellt wird, dass nur ermächtigte Personen für rechtlich zulässige Zwecke Zugang zu personenbezogenen Daten erhalten,b) gespeicherte oder übermittelte personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, unbeabsichtigtem Verlust oder unbeabsichtigter Veränderung und unbefugter oder unrechtmäßiger Speicherung oder Verarbeitung, unbefugtem oder unberechtigtem Zugang oder unbefugter oder unrechtmäßiger Weitergabe geschützt werden undc) die Umsetzung eines Sicherheitskonzepts für die Verarbeitung personenbezogener Daten gewährleistet wird.
Kurzum: Dieser Artikel schreibt vor, dass Unternehmen dem aktuellen Stand der Technik entsprechende technische Kontrollmechanismen zum Schutz von Daten einführen müssen. Der Artikel schreibt nicht vor, welche Technologien für diese Mechanismen verwendet werden sollen, aber in einem dritten Abschnitt heißt es, dass der Europäische Datenschutzausschuss das Recht hat, zu einem späteren Zeitpunkt „den aktuellen Stand der Technik für bestimmte Sektoren und Datenverarbeitungssituationen zu bestimmen“.
Bei einer Verletzung des Schutzes personenbezogener Daten schreibt Artikel 31 des Vorschlags vor, dass das Unternehmen unverzüglich die Aufsichtsbehörde benachrichtigt. Das Unternehmen ist unter Umständen verpflichtet, die von einer Verletzung des Schutzes ihrer personenbezogenen Daten betroffenen Personen zu benachrichtigen.
In Artikel 32 der EU-weiten Richlinie heißt es:
1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.2. (...)3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.
Was bedeutet das für Unternehmen?
Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, muss das Unternehmen die Personen, deren Daten von dem Verlust oder Diebstahl betroffen sind, nicht benachrichtigen.
Erfüllt ein Unternehmen diese Vorschriften nicht (d. h. Einführung interner Richtlinien und Umsetzung geeigneter Maßnahmen, um die Einhaltung der Bestimmungen zu gewährleisten und nachzuweisen, oder Benachrichtigung der Aufsichtsbehörde und gegebenenfalls der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person), dann sieht Artikel 79 („Verwaltungsrechtliche Sanktionen“) vor, dass die Aufsichtsbehörde befugt ist, mindestens eine der folgenden Sanktionen zu verhängen:
a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes,
b) regelmäßige Überprüfungen betreffend den Datenschutz,
c) eine Geldbuße von bis zu 100.000.000 EUR oder im Fall eines Unternehmens bis zu 5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.
Kurz zusammengefasst: Wenn Sie nicht über die geeignete Technologie zum Schutz sensibler Daten verfügen, müssen Sie unter Umständen zahlen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen und Geschäftswerts und des Vertrauens der Kunden. Unternehmen hingegen, die ihre Daten verschlüsseln, schützen ihre Kunden – und sich selbst.
Der zweite Teil dieses Beitrags wird kommende Woche erscheinen und sich mit der eigentlichen Umsetzung der EU-Datenschutzverordnung beschäftigen. Dabei stellen wir folgende Fragen: Wann könnte die Reform kommen? Wer ist davon betroffen? Und wie können Unternehmen dafür sorgen, dass sie den Anforderungen gerecht werden?
(ID:43029430)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1926200/1926211/original.jpg "Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Denn Betroffene sind sich oft nicht möglichen Folgen bewusst. (peterschreiber.media - stock.adobe.com)")