Ein Jahr nach Equifax – was wir aus der Mega-Datenschutzverletzung (nicht) gelernt haben

Illustration: Absmeier, Free-Photos

Vor genau einem Jahr passierte der Datensicherheits-GAU, als beim amerikanischen Credit Bureau Equifax, in etwa vergleichbar mit der SCHUFA, Datensätze von über 143 Millionen US-Amerikanern mit deren Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen und teilweise auch Führerscheindaten, in die Hände von Cyberkriminellen gefallen sind.

 

Nichts wäre mir lieber als zu konstatieren, dass Unternehmen in den letzten zwölf Monaten enorme Fortschritte bei der Datensicherheit gemacht hätten, aber dies ist eher die Ausnahme als die Regel. Der Fall Equifax zeigt deutlich, dass noch nicht allen Unternehmen der Wert ihrer (anvertrauten) Daten bewusst ist und welches Risiko diese Daten bergen.

 

Es wäre aber falsch, nur auf die Unternehmen zu zeigen. Auch bei den Verbrauchern hat sich – erschreckenderweise – seitdem kaum etwas verändert. Nach wie vor scheint das Thema Datensicherheit für sie kaum Relevanz zu haben. Sie verlangen offensichtlich immer noch nicht von den Unternehmen einen besseren Schutz ihrer Daten beziehungsweise ziehen kaum Konsequenzen aus Datenvorfällen – genauso wenig wie die meisten Unternehmen ihrerseits proaktive Maßnahmen für mehr Datensicherheit ergreifen.

 

Stellen wir uns vor, diese Datenpanne wäre vor zehn Jahren passiert: Wie schockiert wären die Verbraucher gewesen?! Mit welcher Vehemenz hätten sie Änderungen gefordert?! Jetzt wirken sie eher abgestumpft und müde angesichts der Reihe von Datendiebstählen und Datenschutzvorfällen der letzten Monate und Jahre. Die meisten sind offensichtlich der Meinung, dass ihre persönlichen Daten ohnehin schon in den falschen Händen sind. Und es ist genau diese Art Akzeptanz, die uns zeigt, wie gleichmütig die Gesellschaft in dieser Hinsicht geworden ist, wenn Unternehmen es mangels effektiver Sanktionierungsmöglichkeiten möglich ist, die Daten wie Nebensächlichkeiten zu behandeln.

 

Genau diesen anscheinend nötigen Druck schafft die DSGVO. Wenn man sie ernst nimmt (und Angesicht der oft thematisierten Sanktionsmöglichkeiten sollten Unternehmen sie ernstnehmen), wird man alles daransetzen, die notwendigen Veränderungen vorzunehmen und den Schutz personenbezogener Daten zur Priorität zu machen.

 

Selbstverständlich kann man nicht mit Bestimmtheit sagen, dass der Equifax-Breach nicht passiert wäre, hätte die DSGVO gegolten. Aber es ist durchaus bemerkenswert, dass gerade in den USA zahlreiche gesetzgeberische Initiativen in Gang gesetzt wurden, die die DSGVO zum Vorbild nehmen. Hoffen wir also, dass wir in zwölf Monaten echten Grund zur Freude haben werden.

 

Thomas Ehrlich, Country Manager DACH von Varonis

 

 

 

 


 

Kommunikation ist alles oder: wie wollen Sie von einer Datenschutzverletzung erfahren?

Mehr Datenschutzverletzungen als je zuvor – investieren Unternehmen an der richtigen Stelle?

Gesundheitswesen: die Anzahl an Datenschutzverletzungen in der Branche steigt

Die meisten der Datenschutzverletzungen werden nicht geahndet

Datenschutzverletzung: Kein Vertrauen in eigene Fähigkeit zum Schützen von Daten

Investitionen in die Cybersicherheit

 

 

Weitere Artikel zu