:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/06/8306e6732e1cdfca7c3c5f7667d0a31a/0129631503v2.jpeg "Das aktuelle Ransomware-Ökosystem zeichnet sich durch einen kontinuierlichen Anstieg an Angriffen in der DACH-Region aus, der durch eine arbeitsteilige Struktur unter Cyberkriminellen und Millionen kompromittierter Accounts im Darknet gefördert wird. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/f3/00f3f095e4dc67b02c6e7b7a6b37211f/0129860435v2.jpeg "Eine Analyse von Datadog Security zeigt, wie Angreifer NGINX-Konfigurationen missbrauchen, um sich in Live-Traffic einzuklinken. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/20/16206132726f712c72dbe82f73faf383/0129606410v2.jpeg "Angreifer könnten laut Palo Alto Networks LLMs ausnutzen, indem sie die Art und Weise, wie diese auf API-Aufrufe reagieren, manipulieren, um dynamisch schädlichen JavaScript-Code zu generieren. Diesen könnten sie auf scheinbar harmlosen Webseiten zur Erstellung von Phishing-Seiten einsetzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a5/9a/a59ab62029350d6d43ebe09ef9ad4797/0129861758v1.jpeg "Zero Trust kann nur gelingen, wenn ein umfassendes, risikobasiertes Identitätsmanagement vorhanden ist. (Bild: © Vogel IT-Medien / Strive Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/65/3d65dcec21534995555cc3e6d1162102/0129290787v1.jpeg "Mit mehr als 180.000 Besuchern in 2025 ist die VivaTech eines der größten Start-up- und Tech-Event Europas. Der Veranstalter, Viva Technology, gibt jedes Jahr vorab eine internationale Umfrage in Auftrag. (Bild: VivaTech)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/1c/2c/1c2c56c2cb8fe952631e9741158f7c7f/0125129708v1.jpeg "Shai-Hulud kompromittierte über 25.000 GitHub-Repositories im NPM-Ökosystem. Im Deep-Dive-Video mit Mondoo zeigen wir, wie man Supply-Chain-Angriffe rechtzeitig erkennen kann und welche Schutzmethoden es gibt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/bd/eb/bdebce8b595a259020d21d00a9282ae3/0129678262v2.jpeg "Bei erfolgreicher Ausnutzung der Sicherheitslücke CVE-2026-26119 im Windows Admin Center könnten Angreifer unter bestimmten Bedingungen vollständige Administratorrechte im Netzwerk ihrer Opfer erlangen und so eine umfassende Kompromittierung der gesamten Domäne ermöglichen. (©sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/7d/f37dc8c76ed53109bcb9f0685833b476/0129556118v1.jpeg "Die neue App soll Unternehmen helfen, die eigene Krisen-Resilienz zu überprüfen. (Bild: © Wanan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cc/83cc8ef3d0201c8a899011eb2428a3a4/0129633537v1.jpeg "Bei einem amerikanischen Unternehmen, das sich auf KI-basierte Identitätsverifikation spezialisiert hat, kam es zu einem massiven Datenleck. Dabei wurden drei Milliarden Datensätze, darunter rund eine Milliarde sensible Daten, aus 26 Ländern offengelegt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/75/b9/75b947d0d652fabc454a61cb164dbbb6/0129898446v2.jpeg "Evrotrust, Anbieter für digitale Identitäts- und qualifizierte Vertrauensdienste mit Hauptsitz in Sofia, gründet mit der Evrotrust Technologies GmbH eine Niederlassung in Deutschland. (Bild: Evrotrust)")
:quality(80)/p7i.vogel.de/wcms/0d/81/0d81f7414f52130803e1a8f78882fa6a/0129861540v1.jpeg "NIS-2 und das KRITIS-Dachgesetz betreffen besonders die Lebensmittelindustrie, wenn Produktionsanlagen oder Logistikzentren als kritische Infrastruktur gelten. (Bild: © Daniel & Halfpoint - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/cc/09cc37748484f938ee165ec6d525831e/0129861754v2.jpeg "Der Cyber Resilience Act verpflichtet IT-Hersteller zu Security by Design und macht sie für Cybersicherheit verantwortlich. Die DSGVO hingegen sieht weiterhin das Anwenderunternehmen in der Pflicht. (Bild: © miss irine - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b1/9c/b19ccd8ab4cac6cef1ff7a428eb1fcdf/0126593157v1.jpeg "Data Sanitization verhindert Datenlecks durch irreversibles Unbrauchbarmachen oder Löschen von Daten auf Speichermedien. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
Verschlüsseln, Daten verfolgen, Klartext reden
Was heißt dies nun für Software? In vielen Anwendungen stecken auch heute schon starke Verschlüsselungstechniken, zumindest hier muss sich an diesen Applikationen nichts ändern. Neu oder strikter geregelt sind das „Recht auf Vergessen“, Datenportabilität und konsequentes Einholen des Einverständnisses.
Das „Recht auf Vergessen“ bezieht sich auf alle gespeicherten persönlichen Daten von Individuen, sogar auf solche, die bereits an Dritte verkauft wurden. Daher empfiehlt es sich, von vornherein nur das absolut Notwendige zu speichern. Jede Bewegung der gespeicherten Daten sollte man nachverfolgen und aufzeichnen, so dass immer klar ist, wo sich alle Daten befinden. Dies gilt auch dann, wenn in sozialen Medien oder über das Web erhobene Daten in nachgelagerten strukturierten Datenbanken gespeichert werden.
Die Verordnung gilt für sämtliche unstrukturierten Datentypen wie PDF-Files oder XML-Dateien; betroffen sind auch jene Daten, die der Anwender selbst erstellt hat, die aber nun beim Unternehmen lagern, zum Beispiel Fotos oder Filme, sofern sie persönliche Informationen enthalten. Auch Logfiles von User-Aktivitäten sind vom Recht auf Vergessen betroffen.
Wie bereits erwähnt müssen alle gespeicherten persönlichen Daten auf Nachfrage exportierbar sein, wobei die Formate nicht vorgegeben werden. Texte und Tabellen sollten in gut transportierbaren und allgemein verbreiteten Formaten wie .CSV, .XML oder.JSON gespeichert und exportiert werden. Medien- und Binärdaten liegen am besten in den Formaten vor, in denen sie bereitgestellt wurden, im Zweifel in De-facto-Standardformaten wie .JPG bei Bildern. Keinesfalls sollten Unternehmen wegen mangelnder Exportfähigkeiten proprietäre Speicherformate verwenden.
Zweck und Art der Datenerhebung präzisieren
Besonders genau sollte man es mit der Einwilligung zur Datenspeicherung persönlicher Daten nehmen. Ein Auswahlkästchen für die Einwilligung am Bildschirm ist immer dann erforderlich, wenn Unternehmen mehr Daten erfassen wollen, als sie für den unmittelbaren Zweck der Transaktion brauchen. So ist bei einer Lieferung auf Rechnung keine Kreditkartennummer oder Kontonummer nötig, bei einer digitalen Lieferung und Abrechnung möglicherweise keine Postadresse, sondern nur die E-Mail und für Nachfragen die Telefonnummer.
Wer mehr Daten will, muss in der Ankreuzbox klar benennen, welche Daten zusätzlich erfasst werden und zu welchem Zweck. Wie konkret der Zweck benannt sein muss, dürfte auf lange Sicht Stoff für Debatten und Prozesse liefern. Reicht es, „Marketing“ anzugeben, oder müssen auch die einzelnen Marketing-Aktionen in der Tick Box aufgeführt werden? Keinesfalls gestattet sind Generalklauseln wie „Mit Bestellung des Produkts erkläre ich mich einverstanden, dass alle Daten fürs Marketing verwendet werden“ oder verwirrende Formulierungen, etwa mit Mehrfach-Verneinungen.
Der Zugriff auf persönliche Daten sollte auf diejenigen beschränkt werden, die sie tatsächlich benötigen. Jeder Zugriff sollte nachvollziehbar erfasst werden. Grundsätzlich empfiehlt es sich, persönliche Daten, am besten aber alle Daten bereits auf der Festplatte zu verschlüsseln.
Selbstverständlich sind diese Aspekte auch zu bedenken, wenn ein Unternehmen Daten bei Dritten einkauft oder eingekauft hat. Dass die Daten von woanders stammen, enthebt ihren aktuellen Nutzer nicht der Einhaltung der EU-Verordnung. Zudem müssen Unternehmen, die bereits heute persönliche Daten auswerten und für ihre Zwecke nutzen, ihre Verfahren und Datenbestände auf Compliance mit den neuen Regulierungen prüfen und gegebenenfalls daran anpassen.
Manch aggressivem Marketingmodell dürften die neuen, verschärften Regulierungen wohl das Licht auspusten. Unternehmen, die es nicht genau nehmen mit der Datenschutz-Compliance, drohen Reputationsverluste und empfindliche finanzielle Einbußen. Die Einhaltung der Regeln könnte sich langfristig aber positiver auswirken als aufdringliche Marketingaktionen, die die Adressaten eher als Belästigung denn als relevantes Angebot betrachten.
(ID:43724832)
:quality(80)/p7i.vogel.de/wcms/47/38/47382c57200aedd5e99dcfe458d920ec/0127790278v1.jpeg "Microsoft 365 Education verstößt gegen die DSGVO, stellt die österreichische Datenschutzbehörde fest. (Bild: © ekim - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/8c/dc8cc0dcac5934ca78062a93913ba528/0123960652v2.jpeg "Verbraucher sollten keinesfals in den Handel mit den eigenen Standortdaten einwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann. (Bild: Sergey Nivens - stock.adobe.com)")