:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/94/bc947fab2750cf67a80c9861a0fc7ec6/0118008324.jpeg "Seit dem Dezember-2023-Patchday gibt es ein Problem mit ICS-Dateien und Outlook; jetzt kommt endlich der Patch. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/7e/127ed288ed400b6001762c506429ab17/0118038698.jpeg "Die Bekämpfung von Bestätigungsbetrug bei Finanztransaktionen erfordert den Übergang von veralteten, papierbasierten Verfahren hin zu einem integrierten technologischen Ansatz. (Bild: meeboonstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/cd/31cda64794e57178563d6220178f5833/0117705366.jpeg "Wer täglich mehr als 5.000 Mails versenden will, kommt ab sofort um die Implementierung neuer Verfahren gegen Spam und Phishing nicht herum. (Bild: frei lizenziert, geralt / Pixabay)")
:quality(80)/p7i.vogel.de/wcms/ee/3b/ee3b647f1547624b404339c71fbc7f8f/0118037983.jpeg "Auch wenn Ladesäulen mitunter recht futuristisch wirken: Die verbaute Security wird dem modernen Look nicht unbedingt gerecht. (Bild: Dr. Wilhelm Greiner)")
:quality(80)/p7i.vogel.de/wcms/7b/69/7b6994c4f26dc5077fa985d8092bbbc7/0118038240.jpeg "Die OWASP Machine Learning Security Top Ten analysiert die häufigsten Schwachstellen im Zusammenhang mit ML. (Bild: Aghavni - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/04/5e04a741d1efccd38b6297dba18b54dc/0117352053.jpeg "Continuum von Edgeless Systems sorgt beim Einsatz von KI-Diensten für den Schutz sensibler Daten. (Bild: Edgeless Systems)")
:quality(80)/p7i.vogel.de/wcms/5d/92/5d923b1250ffeeda6d93887bbef003e7/0117906448.jpeg "Damit Mitarbeiter nicht der Risikofaktor Nummer eins für KMU sind, müssen sie umfangreich geschult sein. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/7a/f17a79abfbf000f5ad34bfc92686aa4d/0117931419.jpeg "Lacework hat seine Enterprise-Funktionen ausgebaut und sorgt dafür, dass Sicherheitsexperten die nötigen Informationen schnell und verständlich aufbereitet erhalten. (Bild: Screenshot / Lacework)")
:quality(80)/p7i.vogel.de/wcms/85/b2/85b2d933e941860b1db2fddf8b3f6a6c/0118005341.jpeg "Microsoft blockiert Anwendungen in Windows 11 24H2. (Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/2f/a12f9615db0fcc73a1cc52c499add940/0117729006.jpeg "Durch das jüngste Update zählt Wind River Studio Developer nunmehr fünf Module, die unabhängig voneinander bereitgestellt werden können. (Bild: Wind River)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/04/4c04eddbad878ef9eb3ef187a961d82c/0117769262.jpeg "Je höher man die Hürde legt, desto schwieriger wird der Identitätsdiebstahl. (Bild: elenabsl - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/96/98/96982ab9f4a44baa89b969394ccd3bf9/0118028885.jpeg "Unternehmen müssen sich zusammenschließen, um gemeinsam eine möglichst resiliente Infrastruktur aufzubauen, fordert Dominik Bredel, Practice Leader Security & Resiliency Germany bei Kyndryl Deutschland. (Bild: REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/01/be011999d4574029c4de0e2244a3c7a1/0117904124.jpeg "Unternehmen sollten interne IT-Sicherheit beliebter und verständlicher machen; das Sicherheitsbewusstsein der Mitarbeiter entscheidet letztendlich über die wahre Stärke der IT-Abwehr. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/05/870581eaf29e310a4752460578581c42/0117933089.jpeg "Patchwork funktioniert für Familien. In der IT-Sicherheit „reicht Flicken nicht aus“, so das Motto der Eset-NIS2-Kampagne. (Bild: dimbar76 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/66/446693e667237b7ae6352a9d7dc55d6e/0116955905.jpeg "Die Zero Day Initiative (ZDI) ist das weltweit größtes, herstellerunabhängig agierendes Bug-Bounty-Programm mit dem Ziel des Ankaufs und der verantwortungsbewusste Offenlegung von Zero-Day-Schwachstellen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutz-Grundverordnung und Drittanbieter DSGVO und effektive Compliance-Berichterstattung
Im Mai 2018 wurde die Datenschutz-Grundverordnung der EU verbindlich und noch immer haben viele Unternehmen ihre DSGVO-Vorbereitungen nicht abgeschlossen. Dabei müssen Verantwortliche für die DSGVO und die Compliance-Maßnahmen im Unternehmen eigentlich kontinuierlich sicherstellen, dass die Bestimmungen eingehalten werden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Wie Umfragen und Untersuchungen zeigen, waren zahlreiche Firmen im Vorfeld der Deadline nicht DSGVO-konform. Deloitte konstatierte, dass nur 15 Prozent der Unternehmen vor dem 25. Mai vollständig vorbereitet sein würden; 62 Prozent hatten Maßnahmen getroffen, um die wichtigsten Compliance-Anforderungen abzudecken und ihre Vorgehensweisen im Hinblick auf die restlichen Erfordernisse abgestimmt. Eine Untersuchung von Neustar im gemeinnützigen Sektor ergab, dass nur 31 Prozent der dortigen Einrichtungen meinten, vorbereitet zu sein – obwohl die Informationen, die in diesem Bereich gespeichert werden, zu den sensibelsten personenbezogenen Daten überhaupt gehören. Und einen Monat nach der Deadline erfüllen viele Unternehmen und Organisationen ihre Compliance-Verpflichtungen immer noch nicht.
Ein Teil des Problems ist hier allerdings, dass die DSGVO kein Einzelziel ist, das es zu erreichen gilt. Vielmehr sollte die DSGVO als ein Katalog laufender Anforderungen an die Handhabung, Verwaltung und Speicherung von Daten im gesamten Unternehmen verstanden werden.
Compliance – langfristige Strategien und kurzfristige Nachweise
Die meisten Unternehmen werden bereits verschiedene Prüfungen durchgeführt haben, um sich auf die DSGVO vorzubereiten. Einschätzungen zur Ermittlung wichtiger Bereiche, in denen betriebliche Veränderungen hinsichtlich der Datenverwaltung notwendig sind, können dazu genauso zählen wie detailliertere Analysen der bestehenden Datenprozesse im Unternehmen.
Diese Bestandsaufnahme und Darstellung der Daten sollte dazu beigetragen haben, alle Ströme DSGVO-geschützter Daten im Unternehmen zu ermitteln, zu lokalisieren, zu klassifizieren und abzubilden – von einfachen Vorgängen wie der Weitergabe eines Dokuments bis hin zur umfangreichen Nutzung von Daten für Personalisierung, Marketing und Empfehlungsdienste. Zugleich sollten im Rahmen dieser anfänglichen Maßnahmen die Rechenschaftspflichten und Zuständigkeiten geklärt worden sein, sodass klar wird, wer jeweils für die einzelnen Prozesse verantwortlich ist.
Unternehmen verändern sich jedoch im Lauf der Zeit. Neue Prozesse, neue Projekte, Personalwechsel und andere Entwicklungen im Unternehmen können dazu führen, dass einmal erstellte Berichte nach und nach an Genauigkeit – und folglich an Wert – verlieren. Unternehmen sollten deshalb planen, diese Einschätzungen in regelmäßigen Abständen auf ihre Genauigkeit zu überprüfen. Die Zeitabstände sollten im Rahmen eines umfassenderen Datenschutzplans auch dokumentiert werden.
Diese übergreifenden Berichte zum Compliance-Management sollten den Unternehmen eine Roadmap zum Schutz der Kundendaten an die Hand gegeben haben und ihnen zeigen, wie dieser Schutz auch künftig aufrechterhalten werden kann. Darüber hinaus gibt es jedoch noch eine weitere Gruppe von Berichten, die regelmäßig erstellt werden sollten. Diese zeigen, was aktuell vor sich geht und liefern Nachweise, ob die Vorschriften und Verfahrensweisen tatsächlich befolgt werden.
Diese Berichte sollten auf drei Bereiche fokussieren: die betrieblichen Maßnahmen, die Unternehmen treffen sollten; Drittanbieter-Management für alle Unternehmen, denen personenbezogene Daten anvertraut werden; sowie die Verfahrensweisen, die bei Datenschutzverstößen und deren Meldung anzuwenden sind.
Regelmäßige Kontrollen gewährleisten die Einhaltung von Richtlinien
Der erste Bereich, der eine reguläre Berichterstattung erfordert, sind die operativen Rahmenkonzepte, die darauf geprüft werden müssen, wie Daten tagtäglich verarbeitet werden. Die Ergebnisse sollten in die organisatorischen und technischen Maßnahmen einfließen, die getroffen werden, um die personenbezogenen Daten von Bürgern in der EU vor Verlust, unbefugten Zugriffen oder unbefugter Offenlegung zu schützen.
Dies sind die Berichte, die am stärksten auf die Implementierung von IT-Sicherheit und Datenschutz sowie die Prozesse fokussieren, mit denen die langfristige Nutzung der IT-Assets verwaltet werden. Herrscht Bewusstsein darüber, über welche IT-Assets Unternehmen verfügen und wie sicher diese sind, kann das Risiko von Datenverlusten minimiert werden – gleich, ob es durch die Kompromittierung eines einzelnen Laptops entsteht oder durch einen umfassenderen Angriff auf Anwendungen und Infrastrukturen, in denen kritische personenbezogene Daten gespeichert sind. Für viele Unternehmen wird dies eine Chance sein, dafür zu sorgen, dass alle ihre IT-Assets lückenlos inventarisiert werden.
Dieses anfänglich erstellte Inventar aller Geräte, Software und anderer IT-Assets wird sich im Lauf der Zeit weiterentwickeln. Software-Installationen werden aktualisiert, neue Geräte ins Netzwerk aufgenommen und ältere Rechner außer Dienst gestellt. All dieses Assets können jedoch möglicherweise personenbezogene Daten enthalten oder auf solche zugreifen. Deshalb müssen sie stets auf dem neuesten Stand gehalten werden. Werden alle Veränderungen in den IT-Beständen laufend verfolgt, können Datenschutzbewertungen leichter durchgeführt werden.
Der zweite Bereich, der eine regelmäßige Compliance-Berichterstattung erfordert, ist die laufende Kontrolle der Drittanbieter und deren Umgang mit den Daten, die sie von den Unternehmen erhalten. Viele Unternehmen lassen heute externe Dienstleister mit ihren Daten arbeiten, und es muss gewährleistet sein, dass diese die gleichen Sicherheits- und Datenschutzstandards einhalten wie die internen Teams. Dienstleister sind zwar für ihre Sicherheit selbst verantwortlich, doch das bedeutet nicht, dass die Unternehmen selbst keine Verantwortung mehr tragen, wenn Daten an Dienstleister weitergeben werden. Vielmehr wird jeder Verlust personenbezogener Daten, die ein Drittanbieter für erhoben oder verarbeitet hat, auch auf das Unternehmen zurückfallen.
Um diese Risiken zu minimieren, ist ein neuer Ansatz zur Bewertung von Drittanbietern erforderlich, mit dem erfasst wird, wie es bei jedem einzelnen Dienstleister um Sicherheitsmaßnahmen, Richtlinien und Verfahren rund um sensible Daten bestellt ist. Regelmäßige Kontrollen der Dienstleister sind somit eine notwendige Investition.
Alle Unternehmen sollten ihre untereinander bestehenden Verträge bewerten und feststellen, inwieweit dort verbindliche Standards für Datensicherheit festgelegt sind. Die Prüfung dieser Verträge kann eine gute Gelegenheit sein, sich zu vergewissern, dass alle Dienstleister das Thema Sicherheit und Datenschutz bereits ernst nehmen und die Standards anwenden, die erwartet werden. Sollte dies nicht der Fall sein, besteht die Möglichkeit bei den Dienstleistern Auskunft darüber einfordern, wie die Lücken geschlossen wurden oder in welche Maßnahmen sie investieren werden, um diese zu schließen.
Wenn die vertragliche Seite ins Spiel gebracht wird, haben Unternehmen etwas in der Hand, um die langfristige Einhaltung der eigenen Anforderungen durchzusetzen. Falls ein Dienstleister die Sicherheit nicht ernst nimmt, kann die Geschäftsbeziehung mit ihm beenden und stattdessen ein anderer Anbieter beauftragt werden.
Neben der Klärung dieser rechtlichen und geschäftlichen Fragen muss auch geprüft werden, ob die nötigen Maßnahmen in der Praxis tatsächlich durchgeführt werden. Mithilfe von Drittanbieter-Audits und Fragebögen zu den Sicherheitsprozessen ist es möglich zu ermitteln, ob alle Anforderungen erfüllt werden, die an die Sicherheit gestellt wurden.
Früher wäre man dabei manuell vorgegangen, mit Formularen, die ausgefüllt und nachverfolgt werden müssen. Solche Verfahren sind jedoch oft unzulänglich, weil sie voraussetzen, dass die Dienstleister ihre Tests auch wirklich durchführen und korrekte Informationen liefern. Aufgrund der DSGVO müssen jetzt mehr Unternehmen Audits dieser Art durchlaufen, was bewirkt, dass vermehrt technische Dienste genutzt und die nötigen Prozesse stärker automatisiert werden. Solche Dienste vereinfachen regelmäßige, maßgerechte Prüfungen und klären zuverlässig, ob wirklich alle erforderlichen Prozesse eingehalten werden.
Planen für Erfolg und Misserfolg
Neben diesen regelmäßigen Abläufen ist es auch wichtig, die Reaktion auf einen Sicherheitsvorfall vorzubereiten. Da Unternehmen ständig angegriffen werden und Menschen laufend Fehler machen, besteht selbst in optimal gerüsteten Unternehmen die Gefahr, dass es irgendwann zu einem Sicherheitszwischenfall kommt. Wenn Unternehmen darauf vorbereitet sind, können sie im Ernstfall leichter reagieren.
Mit einer Analyse der Verfahren zur Behandlung und Meldung von Datenschutzverletzungen kann gewährleistet werden, dass die landesspezifischen Auslegungen der DSGVO-Bestimmungen zur Anzeige von Verstößen verstanden wurden und entsprechend vorgegangen werden kann. Diese Auslegungen sind je nach Standort in Europa unterschiedlich. In Großbritannien hat ein Unternehmen 72 Stunden Zeit, um Vorfälle zu untersuchen, bevor es das Information Commissioner’s Office (ICO) verständigen und die betroffenen Personen kontaktieren muss. In den Niederlanden muss die Meldung sofort erfolgen; in anderen Ländern wiederum gelten 48-Stunden-Fristen.
Doch ganz gleich, wie viel Zeit bleibt – wichtig ist, dass Vorgehensweisen etabliert wurden, um die Datenschutzverletzung zu untersuchen und mit den beteiligten Parteien innerhalb und außerhalb des Unternehmens zu kommunizieren. Dies hilft den Umfang der Datenschutzverletzung zu ermitteln – von der simplen Fehlkonfiguration einer Website bis hin zum großangelegten Datenbank-Einbruch – und zu gewährleisten, dass alle Akteure ständig auf dem Laufenden gehalten werden.
In Großbritannien hat das ICO bereits zu verstehen gegeben, dass die Sanktionen und Bußgelder, die die DSGVO vorsieht, in den allermeisten Fällen wohl kaum angewandt werden. Solange ein Unternehmen mit Fehlerquellen proaktiv umgeht und nachweisen kann, dass es die Handhabung personenbezogener Daten aktiv zu verbessern sucht, ist es unwahrscheinlich, dass Bußgelder verhängt werden. Stattdessen will das ICO auf eine vermehrte Anwendung von Best Practices und eine bessere Vorbereitung rund um Datenmanagement und Compliance hinwirken.
Die Unternehmensverantwortlichen für die DSGVO und die Compliance-Maßnahmen stehen vor der Herausforderung, kontinuierlich sicherstellen zu müssen, dass die Bestimmungen eingehalten werden und die Richtlinien stets so präzise und adäquat bleiben wie zu dem Zeitpunkt, zu dem sie entwickelt wurden. Durch eine effektive Berichterstattung, bei der Informationen automatisiert erfasst und den beteiligten Akteuren auf einfache Weise zur Verfügung gestellt werden, kann ein Nachweis erfolgen, dass eine DSGVO-Konformität besteht und demonstriert werden, dass das auch in Zukunft so bleiben soll. Und mit Fragebögen zur Sicherheit und automatisierten Diensten kann die Kontrolle über externe Dienstleister gewahrt werden.
Über den Autor: Jörg Vollmer ist General Manager Field Operations DACH bei Qualys.
(ID:45462452)
:quality(80)/p7i.vogel.de/wcms/9e/9b/9e9ba81c45b650d7c5879c9a2068d72e/0113101946.jpeg "Der Digital Operational Resilience Act der EU bietet die Gelegenheit, die Sicherheit und Stabilität der Finanzsysteme zu stärken. (Bild: mixmagic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")