Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Illustration: Absmeier, TheDigitalArtist

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.

Anzeige

 

Anzeige

Die DSGVO gibt Verbrauchern das Recht, zu kontrollieren, wie ihre persönlichen Daten von Unternehmen verwendet werden. Das Gesetz verpflichtet Unternehmen, die persönlichen Daten von Interessenten, Kunden und Mitarbeitern zu schützen, und wird durch ein System von Sanktionen für den Fall der Nichteinhaltung dieser Verpflichtung ergänzt. Die Regulierungsbehörden können Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen die persönlichen Daten von Personen in Europa nicht vor Missbrauch, Diebstahl oder Verlust schützt.

Seit der Einführung der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von über 114 Millionen Euro gegen Unternehmen wegen mangelnden Datenschutzes verhängt. Weitere hohe Geldstrafen dürften folgen. Ein Unternehmen hat eine Abgabe von mehr als 90 Millionen Euro, drei Prozent seiner Jahreseinnahmen, angefochten. Einem anderen Unternehmen droht eine Geldstrafe von mehreren Hunderte Millionen Euro für eine größere Datenschutzverletzung bei seinen Kundendaten.

Die Verordnung betrifft jedes Unternehmen, das mit Daten von Einzelpersonen in Europa umgeht, so dass auch die meisten globalen Unternehmen davon betroffen sind. Während viele Vorstände und Geschäftsführer den Datenschutz ernst nehmen und strenge Maßnahmen zur Einhaltung der Vorschriften eingeführt haben, überlassen es zu viele noch dem Zufall oder üben keine angemessene Aufsicht aus.

Anzeige

Die Regulierungsbehörden werden eher mit Unternehmen nachsichtig sein, die nachweisen können, dass sie alle Anstrengungen unternommen haben, um die DSGVO einzuhalten, selbst wenn sie einen Verstoß erleiden, vermutet Palo Alto Networks. Allerdings könnten diejenigen, von denen man annimmt, dass sie dem Datenschutz nur wenig Aufmerksamkeit gewidmet haben, schwer bestraft werden.

 

Von Haus aus integrierter Datenschutz ist der beste Ansatz

Was sollte der Vorstand also tun, um die persönlichen Daten im Unternehmen zu schützen und sicherzustellen, dass die DSGVO eingehalten wird? Vor allem verlangen die Regeln, dass Unternehmen »Privacy by Design« umsetzen. Das bedeutet, dass Datenschutz und Datensicherheit von Anfang an in die technologische Infrastruktur der Unternehmen eingebaut werden müssen, anstatt sie später als nachträglichen Aspekt hinzuzufügen.

Für jede Aktivität oder jedes Projekt muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen auf die persönlichen Daten zu prüfen. Wenn möglich, sollten die Unternehmen eine Pseudonymisierung in Betracht ziehen, die das Risiko für personenbezogene Daten verringert. Unternehmen sollten nur die Daten verarbeiten, die zur Erreichung ihrer legitimen Geschäftsziele notwendig sind, und dürfen Daten nur so lange speichern, wie es für solche legitimen Zwecke erforderlich ist.

Die Datenhygiene sollte ebenso Teil der Unternehmens-DNA sein wie die Lebensmittelhygiene in einem Restaurant. Um den Datenschutz zu erreichen, muss der Vorstand sicherstellen, dass das Unternehmen eine vollständige Transparenz aller Daten, die es besitzt, hat und über klare Richtlinien für den Umgang mit den Daten verfügt.

Ein Unternehmen muss immer wissen, wo persönliche Daten gespeichert sind, welche Mitarbeiter und Dritte Zugang zu ihnen haben und wie sie verwendet werden. Es muss eine klare Unterscheidung zwischen persönlichen und nichtpersönlichen Daten getroffen werden. Das System sollte sicherstellen, dass die Daten nicht unbefugt zugänglich sind und nicht für Zwecke verwendet werden können, die den betroffenen Personen nicht bekannt sind.

 

Wichtige Fragen müssen geklärt werden

Um sicherzustellen, dass »Privacy by Design« in die Geschäftsprozesse eingebettet ist, müssen die Vorstände der Unternehmen regelmäßige Aktualisierungen von den Mitarbeitern anfordern, die für die Umsetzung der DSGVO verantwortlich sind. Dies kann der Datenschutzbeauftragte, der Chief Data Officer, der Chief Risk Officer oder der Chief Information Security Officer sein.

 

Zu den Fragen, die geklärt werden müssen, gehören nach Meinung von Palo Alto Networks:

 

  • Wer ist für den Datenschutz in unserem Unternehmen verantwortlich?
  • Wie ist der Stand der Einhaltung des Datenschutzes bei uns?
  • Haben wir die richtigen Prozesse eingeführt?
  • Wie sieht unsere Politik zur Datenverarbeitung aus? Wie gut ist sie entwickelt?
  • Ist bekannt, wo sich alle persönlichen Daten in unseren Systemen befinden?
  • Sind die Daten sicher, auch was die Anbieter betrifft?
  • Wie stellen wir sicher, dass die Datenverarbeitung mit DSGVO und anderen anwendbaren Gesetzen übereinstimmt?
  • Wie hoch ist die Wahrscheinlichkeit einer Datenschutzverletzung?
  • Wie schwerwiegend könnte sie sein?
  • Sind wir bereit zu reagieren, wenn der Ernstfall eintritt?
  • Was sind die konkreten Schritte, die wir unternehmen können, um diese Risiken zu mindern?

 

Wie bei jeder Risikofrage müssen die Vorstände die Kosten für die Einhaltung der DSGVO gegen die möglichen Verluste durch Bußgelder und den Betriebs- und Reputationsschaden, der durch eine Datenverletzung verursacht wird, abwägen.

Compliance ist nicht billig. Dazu gehört die Bezahlung von Fachpersonal für die Überwachung des Datenschutzes, vielleicht auch die Investition in Technologie, die alle Daten des Unternehmens abbildet und anzeigt. Der Datenschutzbeauftragte kann dann zentral einsehen, wo sich welche Daten befinden, und Risiken und Schutzmaßnahmen für wichtige persönliche Daten identifizieren.

 

Was wird das alles kosten?

Wie viel sollte ein Unternehmen in den Datenschutz investieren? Das hängt davon ab, wie das Unternehmen persönliche Daten verwendet und welchen Risiken sie ausgesetzt sind. CISOs sollten in der Lage sein, die Risiken einer Datenschutzverletzung und die voraussichtlichen Kosten zu beurteilen. Sie können dies tun, indem sie eine Risikobeurteilung durchführen und Bewertungen vergeben, zum Beispiel zwischen eins und fünf.

Besteht beispielsweise ein hohes Risiko einer Verletzung, weil die Daten weit verbreitet sind und die Aufmerksamkeit von Hackern auf sich ziehen oder von Mitarbeitern missbraucht werden können, kann die Risikobewertung eine Fünf sein. Dann sollte dem potenziellen Schaden, den eine Verletzung verursachen könnte, eine andere Bewertung zugewiesen werden.

Im Falle eines Unternehmens, das mit den Kreditkartendaten seiner Kunden umgeht, könnte er hoch sein – zum Beispiel eine Vier. Durch Multiplikation dieser beiden Zahlen würde der Risiko-Score 20 betragen. Dies ist ein hohes Risiko, so dass das Unternehmen stark in das Personal, die Instrumente und die Folgenabschätzungen investieren sollte, die zum Schutz dieser persönlichen Daten erforderlich sind.

Ein großer Vorteil einer solchen Investition besteht darin, dass sie sich nahtlos in einen effektiven Ansatz für die Cybersicherheit einfügt. Unternehmen, die die Cybersicherheit ernst nehmen und Strategien für »Security by Design« entwickeln, werden auch bei der Einhaltung der DSGVO erfolgreich sein.

Die Datenschutzbehörden haben ihre Muskeln spielen lassen und gezeigt, dass sie bereit sind, Unternehmen, die es versäumen, die modernsten Datenschutzrichtlinien umzusetzen, mit Strafen zu belegen. Jedes Unternehmen muss darauf achten und sicherstellen, dass seine Systeme und Prozesse der Aufgabe gewachsen sind.

Die DSGVO ist generell zu begrüßen, weil sie die Unternehmen zwingt, mit Daten sorgsam umzugehen. Die Best Practices zur Einhaltung der DSGVO sind auch die Bausteine einer glaubwürdigen Cybersicherheitsstrategie. Der Schutz der Privatsphäre und »Security by Design« sind nach Meinung von Palo Alto Networks die Grundvoraussetzungen für die Geschäftstätigkeit im Datenzeitalter.

 

315 Artikel zu „Security by Design“

Keine mobile Sicherheit ohne Security by Design

Bei der Softwareentwicklung von Desktop-, Web- und Mobil-Anwendungen kommt niemand mehr an Security by Design vorbei. Software muss von Grund auf und von Anfang an sicher sein. Nur so ist sie optimal vor Cyberattacken, Datenmanipulation und Datendiebstahl geschützt. Die Anzahl von Cyberattacken steigt weiter rasant und die Angriffe werden zunehmend komplexer. Statt im Nachhinein immer…

»Security by Design« wird wichtiges Kriterium beim Datenmanagement

Cloud Data Management im Umfeld der DSGVO. Die zentrale Aufgabe von Cloud Data Management ist es, Daten unabhängig von ihrem Standort auf flexible, sichere und verantwortungsvolle Weise zu verwalten und zu nutzen. Diese Fähigkeit gewinnt mit den gesetzlichen Änderungen im Rahmen der Datenschutz-Grundverordnung (DSGVO/GDPR), die am 25. Mai 2018 in Kraft tritt, zunehmend an Bedeutung…

Security by Design – IT-Sicherheit: Nie war sie so wertvoll wie heute

Cloud, Internet-Technologie und künstliche Intelligenz bestimmen in immer stärkerem Maße das private, öffentliche und kommerzielle Leben. Ständige Cyberattacken schaffen jedoch Verunsicherung und hemmen wichtige Entwicklungen. Sicherheitsaspekte waren daher noch nie so wichtig. »manage it « sprach über IT-Sicherheit mit Thorsten Höhnke, Chief Cyber Security Strategist bei Fujitsu und Lehrbeauftragter an der Hochschule Augsburg.

Verpflichtung zu Security by Design für IKT-Anbieter

Anlässlich des Jahreskongresses des Vereins Deutschland Sicher im Netz (DSiN) 2016 forderte Dr. Hans-Joachim Popp, Mitglied des Präsidiums von VOICE – Bundesverbandes der IT-Anwender e.V., eine Verstärkung der Anstrengungen zur technischen Absicherung der IT-Systeme gegen Missbrauch und eine stärkere Verpflichtung der IT-Anbieter. In einer Podiumsdiskussion auf dem Kongress des DSiN empörte sich Popp: »Es ist…

Security-by-Design – Direkt in Chips eingebettete Geräteidentitäten speziell für IoT-Anwendungen

Security-by-Design, also Sicherheit schon in der Entwicklungsphase zu berücksichtigen, ist kein neues Konzept. Dabei werden Sicherheitsüberlegungen und bewährte Verfahren so früh wie möglich im Entwicklungsprozess eines IoT-Produkts, einer Anwendung oder einer Netzwerkentwicklung bedacht um Schwachstellen zu vermeiden. Mit diesem Konzept werden Geräteidentitäten erstellt und die Datenintegrität ebenso geschützt wie die Kommunikationsprozesse. So arbeiten IoT-Nutzer, seien…

IT-Trends des Jahres 2019: DSGVO-Compliance, Privacy by Design, Multi-Faktor-Authentifizierung, BYOx-Security und Security-Automation

Studie: Digitalisierung ausbaufähig, intelligente Technologien im Kommen. Ihren Erfolg bei der Digitalisierung stufen Unternehmen in Deutschland, Österreich und der Schweiz wie im Vorjahr durchschnittlich als mittelmäßig ein [1]. Angesichts der großen Anstrengungen in diesem Bereich und der hohen Ausgaben für die Digitalisierung ist diese Bilanz ernüchternd. Als technologischer Trend zeigt sich, dass mehr als zwei…

Mobile Security offenbart entscheidende Rolle der eSIM-Technologie für das IoT

Die neue Studie im Auftrag von G+D Mobile Security zeigt: eSIM-Technologie ist einer der zentralen Enabler des IoT. Von Smartphones, Tablets und Wearables über Verkaufsterminals und Smart Meters bis hin zu Connected Cars: Das IoT ist die größte Maschine, die die Menschheit jemals erschaffen hat – und sie wird täglich größer. Welche Rolle eSIM-Technologie dabei…

OT-Security: Wo soll man anfangen?

Fünf Maßnahmen zum Schutz der Operational Technology. Die Operational Technology (OT) war lange strikt getrennt vom IT-Netzwerk und dank proprietärer Protokolle und veralteter Technologien vergleichsweise sicher vor Cyberangriffen. Mit der zunehmenden Verbreitung von IoT wachsen die beiden Welten immer stärker zusammen und geraten damit ins Visier von Hackern. NTT Ltd.’s Security Division nennt fünf Maßnahmen…

Cybersecurity im Kontext von Industrie 4.0: Herausforderungen und Lösungen der Cloud- und IoT-Sicherheit

In der vernetzten Industrie 4.0 wird Cloud-Sicherheit zum Rückgrat des Internets der Dinge. Cloud Computing und das Internet der Dinge sind zwei Technologien, die zu Industrie 4.0 gehören. Martin Schauf, Senior Manager Systems Engineering bei Palo Alto Networks, erörtert die Herausforderungen bei der Sicherung von Cloud und IoT, wenn es darum geht, die Umstellung auf…

Cyber-Security: Sicherheitsprognosen für das Jahr 2020

  Die Sicherheitsforscher von Malwarebytes geben ihre Sicherheitsprognosen für das Jahr 2020 bekannt. Dabei prognostizieren die Experten zunehmende Gefahren für Unternehmen durch Ransomware-Angriffe, erwarten vermehrt Exploit-Kit-Aktivitäten und VPN-Skandale. Im Folgenden werden sechs Sicherheitsprognosen vorgestellt und in die Entwicklungen der jüngsten Zeit eingeordnet.   Ransomware-Angriffe auf Unternehmen und Regierungen werden dank neu gefundener Schwachstellen zunehmen. Bereits…

IT-Profis unterschätzen Endpoint Security häufig 

Kritische Geräte wie PCs und Drucker sind weiterhin eine Sicherheitslücke. Nur bei einem von drei Unternehmen ist Endpoint Security ein zentraler Bestandteil der eigenen Cyber-Security-Strategie. Gerade einmal 28 Prozent der Unternehmen decken Sicherheit in ihren Anforderungskatalogen ab. Bei fast der Hälfte aller Unternehmen sind Drucker nicht Teil der Endpoint Security – für 62 Prozent bieten…

Cyber-Security-Risiken werden größer

Studie von Deloitte und dem Institut für Demoskopie Allensbach beleuchtet zum neunten Mal die Cyber-Risiken in Deutschland. Nach Einschätzung von Top-Entscheidern aus Politik und Wirtschaft haben die Gefahren erneut zugenommen: Erstmals wird die Manipulation der öffentlichen Meinung durch Fake News als höchstes Sicherheitsrisiko für die Bevölkerung eingestuft. Cyber-Risiken für Unternehmen steigen: 28 Prozent werden täglich…

IT-Security: Angreifer tarnen sich immer besser

Cyberkriminelle nutzen vermehrt Ausweichstrategien und Antianalysen; Fortinet Threat Landscape Index erreicht bisher höchsten Stand.   Die Ergebnisse des vierteljährlichen Global Threat Landscape Report zeigen, dass Cyberkriminelle weiterhin nach immer neuen Schwachstellen auf der gesamten digitalen Angriffsfläche von Unternehmen suchen. Mit Ausweich- und Antianalyseverfahren werden ihre Ansätze dabei immer ausgefeilter. Zudem hat der Threat Landscape Index in diesem…

Cyber-Security: So vermeiden Unternehmen ihr eigenes »Baltimore«

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyberangriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Ransomware ist eine perfide Kryptografie-Anwendung:…

MailStore V12: Security auf neuem Level und vereinfachte Archivierung von Cloud-Services

Die MailStore Software GmbH, der deutsche Spezialist für rechtssichere E-Mail-Archivierung, veröffentlicht heute Version 12 seiner Software. Nutzer von MailStore Server und der MailStore Service Provider Edition (SPE) profitieren von einer erhöhten Sicherheit durch leichtere Handhabung sowie von einer vereinfachten Möglichkeit, Journal-E-Mails von Cloud-Diensten, wie zum Beispiel Microsoft Office 365, mit Hilfe des MailStore Gateways zu…

UI/UX-Design-Grundsätze machen auch BPM-Tools attraktiv – Das Runde im Eckigen

Kann man über die Nutzbarkeit von Softwareprogrammen reden, ohne gleich den warnenden Zeigefinger des Nutzers zu sehen, diese müsse sich deutlich verbessern? User Experience Design ist der spannende Prozess hin zu leicht verständlicher und schnell benutzbarer Software unter den gebotenen technischen Möglichkeiten und unter der Einhaltung definierter beziehungsweise empirisch entstandener Standards und Styleguides. Dabei ist die Mensch-Computer-Interaktion das wissenschaftliche Fundament, und im Kern soll das Nutzererlebnis beziehungsweise die User Experience auf allen Ebenen optimal stimuliert werden. Dem Nutzer gefällt, was einfach zu bedienen und schön anzusehen ist.

Erfolgsfaktoren für Security-Manager

Die gestiegenen Anforderungen haben eine lähmende Wirkung auf Security-Manager. Wie können Security-Manager wieder handlungsfähig werden? Relevant sind hierbei insbesondere folgende Fragen: Was besitzt Priorität? Auf welche Herausforderung könnte man stoßen? Was ist machbar?   »Schon wenige Key-Practices können dazu beitragen, Herausforderungen zu meistern,« erklärt Katell Thielmann, Research Vice President bei Gartner. »Zuerst ist es wichtig,…

Hyperkonvergenz, Virtualisierung und Security: Weniger ist mehr

Die Vorteile von Hyperkonvergenz und Virtualisierung im Security-Management nutzen. Das Hauptziel der Virtualisierung – nach wie vor einer der treibenden Trends im Rechenzentrum – ist das Minimieren der Betriebskosten bei gesteigerter Leistung und Effektivität. Das Aufkommen des Software-Defined Data Centers (SDDC) und von hyperkonvergenter Infrastruktur (HCI) mit einer zusätzlichen Abstraktionsebene, ermöglicht zudem eine schnellere Bereitstellung…

Industrial Security – Cybersicherheit auch im Mittelstand

Hochgradig vernetzte Produktionsabläufe, intelligente Maschinen, eine sich selbst steuernde Fertigung: Industrie 4.0 ist längst keine Zukunftsvision mehr. Dieses Erfolgsmodell der Digitalisierung kann nur dauerhaft gewinnbringend sein, wenn die vernetzten Abläufe gegen Angriffe aus dem Cyberraum geschützt sind. Auf dem 21. Cybersicherheitstag der Allianz für Cybersicherheit haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und…