Die Zeit drängt: Am 25. Mai 2018 endet die zweijährige Übergangsfrist zur Umsetzung der Europäischen Datenschutzgrundverordnung (DSGVO). Ab diesem Stichtag ersetzt diese das Bundesdatenschutzgesetz und verschärft die bereits strengen Regelungen nochmals. Der Mittelstand droht die Umsetzung zu verschlafen – es ist höchste Zeit, sich damit auseinanderzusetzen. Mit Inkrafttreten der DSGVO steht nämlich eine deutliche Fokusverschiebung hin zum Thema Informationssicherheit bevor, die die Betrachtung von IT-Sicherheit in Unternehmen nachhaltig verändern dürfte.
Seit 2014 untersucht die Studie Security Bilanz Deutschland die Situation der IT- und Informationssicherheit in mittelständischen Unternehmen und öffentlichen Verwaltungen [1]. Jahr für Jahr zeigte die Studie auf, dass es um die IT-Sicherheit nicht gut bestellt ist und sich die Unternehmen zunehmend einer größeren Gefährdung ausgesetzt sehen.
Neben dem erwarteten Anstieg von Cyberbedrohungen, entsteht für die Unternehmen ein weiteres dringendes Handlungsfeld: Die Umsetzung der DSGVO. Diese wird im Fokus der Unternehmen stehen und auch die Anforderungen an die IT-Sicherheit im Unternehmen nachhaltig verändern. War bislang beim Thema IT-Sicherheit eher die reine technische Absicherung gegen Angriffe gefragt, sorgt die DSGVO für eine Verschiebung der Betrachtung hin zum bisher eher stiefmütterlich behandeltem, ganzheitlichen Thema Informationssicherheit.
Der Mittelstand hinkt hinterher
»Wer ist verantwortlich? Wo, wie und wann wird dokumentiert? Was passiert, wenn …?« Die Klärung solcher grundsätzlichen Fragen stellt eine große Herausforderung für den Mittelstand dar. Die Studie Security Bilanz Deutschland hat im letzten Jahr ermittelt, dass in mehr als der Hälfte der Unternehmen noch nicht einmal definiert ist, wer zu informieren ist, wenn es zu einem Datenverlust kommt. Und nur 13 Prozent der mittelständischen Unternehmen hat bereits konkrete Maßnahmen zur Umsetzung der DSGVO ergriffen. Das ist insofern beängstigend, da im Bundesdatenschutzgesetz (BDSG) bereits gewisse Pflichten wie die Erstellung von Verzeichnissen von Datenverarbeitungstätigkeiten oder auch die Meldepflicht definiert sind. An dieser Stelle scheint der Mittelstand bereits in der Vergangenheit einiges versäumt zu haben. Doch wer bereits die strengen Regeln des BDSG befolgt hat, wird mit der DSGVO wenig Probleme haben. Doch nur rund ein Drittel der in der Security Bilanz befragten Mittelständler und öffentlichen Verwaltungen hat nach eigenen Angaben Maßnahmen nach BDSG gut umgesetzt.
Erst die Prozesse, dann die Lösungen
Technische Maßnahmen und Lösungen wie Transportverschlüsselungen bei der Datenübertragung, verschlüsselte Datenspeicherung oder Zugriffsprotokollierung können erst nach einer genauen Analyse und Definition der Prozesse angegangen werden. Eine genaue Analyse der Prozesse im Unternehmen und der Abgleich mit den Anforderungen der DSGVO vereinfacht das Auffinden potenzieller Lücken und der zur Beseitigung nötigen technischen Lösungen. Doch auch die Sensibilisierung der Mitarbeiter außerhalb der IT-Abteilung darf nicht vernachlässigt werden. Denn der Mensch bleibt das schwächste Glied in der Sicherheitskette und kann mit Unachtsamkeit die Türen für Angreifer ganz weit öffnen.
Abbildung: Bisher hat noch nicht einmal die Hälfte der mittelständischen Unternehmen und öffentlichen Verwaltungen festgelegt, wer im Unternehmen zu informieren ist, wenn es zu einem Datenverlust kommt.
Reine IT-Sicherheit war gestern
Die strengen Regeln der DSGVO verändern auch die IT-Sicherheit in Unternehmen nachhaltig. Sie formuliert Grundsätze für die Datenverarbeitung, wie sie auch im Konzept der Informationssicherheit als Schutzziele definiert sind, zum Beispiel Integrität und Vertraulichkeit. Mit den steigenden Anforderungen der DSGVO in Bezug auf die Dokumentation der Grundlage der Datenverarbeitung (Rechtmäßigkeit, Einwilligung des Betroffenen) werden auch weitere Konzepte der Informationssicherheit wie die Verbindlichkeit und Zurechenbarkeit eingeführt. Die Grundsätze »Privacy by Design« und »Privacy by Default« sind analog dem Anonymitätsgebot des Informationssicherheitskonzeptes zu sehen.
Bedrohungen nehmen weiter zu
Zusätzlich zur neuen »Baustelle« DSGVO müssen Unternehmen sich 2018 auch weiterhin mit der Abwehr von Bedrohungen durch Schadsoftware & Co. befassen. Daten sind ein wertvolles Gut und Cyberkriminelle finden immer wieder neue Wege um an diese zu gelangen. »Die Gefährdungen, denen sich Unternehmen ausgesetzt sehen, werden nicht weniger werden. Eher ist davon auszugehen, dass Unternehmen eine weiterhin steigende Anzahl von Angriffen fürchten müssen, beispielsweise von IoT-Bot-Netzen oder neuen Arten von Ransomware« gibt Henrik Groß, Senior Analyst bei techconsult, zu bedenken. »Trotzdem wird die DSGVO in diesem Jahr ein beherrschendes Thema bleiben, spätestens dann, wenn die ersten Sanktionen verhängt werden oder auch Wettbewerbsabmahnungen auftreten. Unternehmen sollten daher ihre bisherigen Aktivitäten in Sachen Cybersicherheit nicht aus den Augen verlieren. Insgesamt heißt das, dass auch Ressourcen und Budgets für IT- und Informationssicherheit überprüft und gegebenenfalls aufgestockt werden müssen.«
[1] Der Bericht zur Studie »Security Bilanz Deutschland« steht auf der Webseite des Projekts unter www.security-bilanz.de zum Download bereit.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
DSGVO: Verbraucher wollen die Kontrolle personenbezogener Daten von den Unternehmen zurück