Extrahierte Daten kosten doppelt

Unzureichender IT-Schutz führt zu Datenverlust und DSGVO-Verstoß.

Illustration: Geralt Absmeier

IT-Security-Maßnahmen konzentrieren sich zu sehr auf den Schutz der Unternehmensdaten, im Fokus steht die Abwehr von Angriffen durch Malware oder Viren. Die Überwachung des ausgehenden Datenverkehrs und der Schutz persönlicher Daten werden vernachlässigt, was Unternehmen doppelt teuer zu stehen kommen könnte. Dabei sind gerade Arbeitende im Home Office ein leichteres Ziel für Phishing und Cyberangriffe. Das sagt Christian Ullrich, Head of Sales bei Red Eagle, einem Value Added Distributor für IT-Sicherheitslösungen.

Anzeige

 

Nach Angaben des Experten können gehackte IT-Systeme, wie jüngst zahlreiche Beispiele beweisen, zum einen als teure Erpressungsgrundlage dienen. Zum anderen richten vor allem im Home Office extrahierte, persönliche Arbeitnehmerdaten auch für Arbeitgebende einen großen Schaden an. Aus allen einzelnen digitalen Fußabdrücken wie unter anderem Browserhistorien, Cache-Dateien, Suchkriterien, Lesezeichen, Cookies oder Favoriten entsteht ein großes Gesamtbild des Nutzers. Gewonnene Daten werden dann nicht nur für kommerzielle Zwecke genutzt, wie Cambridge Analytica 2016 eindrucksvoll demonstrierte. Betroffen ist jeder: Auszubildende, Vertriebsleitende, die Assistenz der Geschäftsleitung oder CEOs selbst.

Anzeige

 

Nicht umsonst hat der Gesetzgeber mit der Einführung der DSGVO geregelt, dass der Schutz auch privater Daten zur Fürsorgepflicht der Unternehmen zählt. Da mögliche Verstöße rechtliche Konsequenzen nach sich ziehen können, wird Datendiebstahl nicht nur brisant für die IT oder die Datenschutzbeauftragten, sondern auch ein Fall für die Rechtsabteilungen. Ullrich: »Auch vor der aktuellen Home-Office-Situation hat jedes Unternehmen über die TOM (Technischen organisatorischen Maßnahmen) Kunden, Lieferanten oder Partnern gegenüber zugesichert, alles für einen optimalen Schutz der Daten zu unternehmen.

 

Dieses Risiko kann mit der Kontrolle des Outbound-Traffics minimiert werden. Denn das Blocken von unerwünschtem Outbound-Traffic verhindert die Aktivierung von Schadsoftware. Damit bietet die Überwachung des ausgehenden Datenverkehrs nicht nur eine signifikante Erhöhung und Ergänzung der Sicherheit von Endgeräten. »Als angenehm empfundene Nebenerscheinung werden auch zahlreiche Werbeeinspielungen unterbunden. Outbound-Safety On-Device-Software arbeitet besonders effektiv mit vorhandenen Firewalls und Anti-Virus-Lösungen zusammen und erhöht nahezu jedes vorhandene Sicherheitsniveau nochmals deutlich. Das macht sie zu einem Missing-Piece und Must-Have für jedes Endgerät«, sagt Ullrich.

Anzeige

 


Datenschutz – Zunehmende DSGVO-Geldbußen rücken »Privacy by Design« ins Interesse

Illustration: Absmeier, TheDigitalArtist

Der Datenschutz hat sich seit der Einführung der Datenschutzgrundverordnung (DSGVO) in der Europäischen Union im Jahr 2018 zu einem der heißesten Themen in den Vorstandsetagen entwickelt. Einige Unternehmen haben dennoch immer noch damit zu kämpfen, die richtigen Strategien zum Schutz der Daten ihrer Kunden zu finden, wie Palo Alto Networks beobachtet.

 

Die DSGVO gibt Verbrauchern das Recht, zu kontrollieren, wie ihre persönlichen Daten von Unternehmen verwendet werden. Das Gesetz verpflichtet Unternehmen, die persönlichen Daten von Interessenten, Kunden und Mitarbeitern zu schützen, und wird durch ein System von Sanktionen für den Fall der Nichteinhaltung dieser Verpflichtung ergänzt. Die Regulierungsbehörden können Geldstrafen von bis zu vier Prozent des weltweiten Jahresumsatzes verhängen, wenn ein Unternehmen die persönlichen Daten von Personen in Europa nicht vor Missbrauch, Diebstahl oder Verlust schützt.

Seit der Einführung der DSGVO haben die Aufsichtsbehörden Bußgelder in Höhe von über 114 Millionen Euro gegen Unternehmen wegen mangelnden Datenschutzes verhängt. Weitere hohe Geldstrafen dürften folgen. Ein Unternehmen hat eine Abgabe von mehr als 90 Millionen Euro, drei Prozent seiner Jahreseinnahmen, angefochten. Einem anderen Unternehmen droht eine Geldstrafe von mehreren Hunderte Millionen Euro für eine größere Datenschutzverletzung bei seinen Kundendaten.

Die Verordnung betrifft jedes Unternehmen, das mit Daten von Einzelpersonen in Europa umgeht, so dass auch die meisten globalen Unternehmen davon betroffen sind. Während viele Vorstände und Geschäftsführer den Datenschutz ernst nehmen und strenge Maßnahmen zur Einhaltung der Vorschriften eingeführt haben, überlassen es zu viele noch dem Zufall oder üben keine angemessene Aufsicht aus.

Die Regulierungsbehörden werden eher mit Unternehmen nachsichtig sein, die nachweisen können, dass sie alle Anstrengungen unternommen haben, um die DSGVO einzuhalten, selbst wenn sie einen Verstoß erleiden, vermutet Palo Alto Networks. Allerdings könnten diejenigen, von denen man annimmt, dass sie dem Datenschutz nur wenig Aufmerksamkeit gewidmet haben, schwer bestraft werden.

 

Von Haus aus integrierter Datenschutz ist der beste Ansatz

Was sollte der Vorstand also tun, um die persönlichen Daten im Unternehmen zu schützen und sicherzustellen, dass die DSGVO eingehalten wird? Vor allem verlangen die Regeln, dass Unternehmen »Privacy by Design« umsetzen. Das bedeutet, dass Datenschutz und Datensicherheit von Anfang an in die technologische Infrastruktur der Unternehmen eingebaut werden müssen, anstatt sie später als nachträglichen Aspekt hinzuzufügen.

Für jede Aktivität oder jedes Projekt muss eine Folgenabschätzung durchgeführt werden, um die Auswirkungen auf die persönlichen Daten zu prüfen. Wenn möglich, sollten die Unternehmen eine Pseudonymisierung in Betracht ziehen, die das Risiko für personenbezogene Daten verringert. Unternehmen sollten nur die Daten verarbeiten, die zur Erreichung ihrer legitimen Geschäftsziele notwendig sind, und dürfen Daten nur so lange speichern, wie es für solche legitimen Zwecke erforderlich ist.

Die Datenhygiene sollte ebenso Teil der Unternehmens-DNA sein wie die Lebensmittelhygiene in einem Restaurant. Um den Datenschutz zu erreichen, muss der Vorstand sicherstellen, dass das Unternehmen eine vollständige Transparenz aller Daten, die es besitzt, hat und über klare Richtlinien für den Umgang mit den Daten verfügt.

Ein Unternehmen muss immer wissen, wo persönliche Daten gespeichert sind, welche Mitarbeiter und Dritte Zugang zu ihnen haben und wie sie verwendet werden. Es muss eine klare Unterscheidung zwischen persönlichen und nichtpersönlichen Daten getroffen werden. Das System sollte sicherstellen, dass die Daten nicht unbefugt zugänglich sind und nicht für Zwecke verwendet werden können, die den betroffenen Personen nicht bekannt sind.

 

Wichtige Fragen müssen geklärt werden

Um sicherzustellen, dass »Privacy by Design« in die Geschäftsprozesse eingebettet ist, müssen die Vorstände der Unternehmen regelmäßige Aktualisierungen von den Mitarbeitern anfordern, die für die Umsetzung der DSGVO verantwortlich sind. Dies kann der Datenschutzbeauftragte, der Chief Data Officer, der Chief Risk Officer oder der Chief Information Security Officer sein.

 

Zu den Fragen, die geklärt werden müssen, gehören nach Meinung von Palo Alto Networks:

 

  • Wer ist für den Datenschutz in unserem Unternehmen verantwortlich?
  • Wie ist der Stand der Einhaltung des Datenschutzes bei uns?
  • Haben wir die richtigen Prozesse eingeführt?
  • Wie sieht unsere Politik zur Datenverarbeitung aus? Wie gut ist sie entwickelt?
  • Ist bekannt, wo sich alle persönlichen Daten in unseren Systemen befinden?
  • Sind die Daten sicher, auch was die Anbieter betrifft?
  • Wie stellen wir sicher, dass die Datenverarbeitung mit DSGVO und anderen anwendbaren Gesetzen übereinstimmt?
  • Wie hoch ist die Wahrscheinlichkeit einer Datenschutzverletzung?
  • Wie schwerwiegend könnte sie sein?
  • Sind wir bereit zu reagieren, wenn der Ernstfall eintritt?
  • Was sind die konkreten Schritte, die wir unternehmen können, um diese Risiken zu mindern?

 

Wie bei jeder Risikofrage müssen die Vorstände die Kosten für die Einhaltung der DSGVO gegen die möglichen Verluste durch Bußgelder und den Betriebs- und Reputationsschaden, der durch eine Datenverletzung verursacht wird, abwägen.

Compliance ist nicht billig. Dazu gehört die Bezahlung von Fachpersonal für die Überwachung des Datenschutzes, vielleicht auch die Investition in Technologie, die alle Daten des Unternehmens abbildet und anzeigt. Der Datenschutzbeauftragte kann dann zentral einsehen, wo sich welche Daten befinden, und Risiken und Schutzmaßnahmen für wichtige persönliche Daten identifizieren.

 

Was wird das alles kosten?

Wie viel sollte ein Unternehmen in den Datenschutz investieren? Das hängt davon ab, wie das Unternehmen persönliche Daten verwendet und welchen Risiken sie ausgesetzt sind. CISOs sollten in der Lage sein, die Risiken einer Datenschutzverletzung und die voraussichtlichen Kosten zu beurteilen. Sie können dies tun, indem sie eine Risikobeurteilung durchführen und Bewertungen vergeben, zum Beispiel zwischen eins und fünf.

Besteht beispielsweise ein hohes Risiko einer Verletzung, weil die Daten weit verbreitet sind und die Aufmerksamkeit von Hackern auf sich ziehen oder von Mitarbeitern missbraucht werden können, kann die Risikobewertung eine Fünf sein. Dann sollte dem potenziellen Schaden, den eine Verletzung verursachen könnte, eine andere Bewertung zugewiesen werden.

Im Falle eines Unternehmens, das mit den Kreditkartendaten seiner Kunden umgeht, könnte er hoch sein – zum Beispiel eine Vier. Durch Multiplikation dieser beiden Zahlen würde der Risiko-Score 20 betragen. Dies ist ein hohes Risiko, so dass das Unternehmen stark in das Personal, die Instrumente und die Folgenabschätzungen investieren sollte, die zum Schutz dieser persönlichen Daten erforderlich sind.

Ein großer Vorteil einer solchen Investition besteht darin, dass sie sich nahtlos in einen effektiven Ansatz für die Cybersicherheit einfügt. Unternehmen, die die Cybersicherheit ernst nehmen und Strategien für »Security by Design« entwickeln, werden auch bei der Einhaltung der DSGVO erfolgreich sein.

Die Datenschutzbehörden haben ihre Muskeln spielen lassen und gezeigt, dass sie bereit sind, Unternehmen, die es versäumen, die modernsten Datenschutzrichtlinien umzusetzen, mit Strafen zu belegen. Jedes Unternehmen muss darauf achten und sicherstellen, dass seine Systeme und Prozesse der Aufgabe gewachsen sind.

Die DSGVO ist generell zu begrüßen, weil sie die Unternehmen zwingt, mit Daten sorgsam umzugehen. Die Best Practices zur Einhaltung der DSGVO sind auch die Bausteine einer glaubwürdigen Cybersicherheitsstrategie. Der Schutz der Privatsphäre und »Security by Design« sind nach Meinung von Palo Alto Networks die Grundvoraussetzungen für die Geschäftstätigkeit im Datenzeitalter.

 

1103 Artikel zu „Daten Schutz DSGVO“

Datenschutzkonformität: Schnell Klarheit zur EU DSGVO mit Self-Assessment

Ein neu entwickeltes, webbasiertes Self-Assessment von TÜV SÜD hilft Unternehmen bei der Einschätzung ihrer aktuellen Datenschutzkonformität gemäß der EU DSGVO. Die Online-Analyse wird ergänzt durch eine kostenlose Erstberatung und einen frei erhältlichen Praxisleitfaden, speziell für kleine und mittelständische Unternehmen (KMU). »Besonders kleine und mittelständische Unternehmen sind oft unsicher, ob sie die Anforderungen der mit Frist…

DSGVO steigert das Vertrauen der Mitarbeiter in die Datensicherheit – Datenschutz ist keine Einmalaufgabe

Seit Mai 2018 ist die DSGVO anzuwenden, um den Schutz der personenbezogenen Daten zu verbessern und die Privatsphäre der Menschen zu gewährleisten. Die Umsetzung der DSGVO zeitigt einen erheblichen Vertrauenszuwachs bei den Beschäftigten. Qualitätsorientierte Unternehmen streben eine Maximallösung an, um eine belastbare Datenverarbeitungsgrundlage für die Zukunft zu schaffen.

DSGVO: Ein Jahr Datenschutzgrundverordnung

Fast 150.000 Anfragen und Beschwerden mit DSGVO-Bezug sind seit Mai 2018 bei Datenschutzbehörden in Europa aufgelaufen – davon rund 90.000 Benachrichtigung über Datenschutzverletzungen. Zum ersten Jahrestag der neuen europäischen Datenschutzvorschriften ziehen Andrus Ansip, Vizepräsident der Kommission und Kommissar für den digitalen Binnenmarkt‚ und Věra Jourová, Kommissarin für Justiz, Verbraucher und Gleichstellung, eine positive Bilanz: »Durch…

DSGVO und umfassender Datenschutz – wann wird ein Schuh daraus?

Statement zum Europäischen Datenschutztag 2019.   Liviu Arsene, Leitender Bedrohungsanalyst bei Bitdefender Vor einem Dreivierteljahr trat die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Eine wichtige Verordnung, um die Daten von Verbrauchern besser zu schützen. Man könnte annehmen, damit wähnt sich der jährlich mahnende Europäische Datenschutztag an seinem Ziel, erinnert er doch schon zum 13. Mal an das…

DSGVO: Umsetzung der Datenschutzregeln an vielen Stellen weiterhin unklar

■  100 Tage Datenschutzgrundverordnung: Bitkom zieht Bilanz. ■  Dehmel: »Die DSGVO hat die Unternehmen viel Zeit und Geld gekostet.«    Die Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom hatten drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. »Auch jetzt noch…

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutzgrundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem Stichtag am 25. Mai herrscht in vielen Unternehmen immer noch Unklarheit. Laut einer aktuellen Bitkom-Studie haben 75 % der deutschen Unternehmen die Frist der DSGVO verfehlt [1]. Lediglich ein Viertel haben ihre Datenverarbeitungsprozesse bereits vor Gültigkeit der Verordnung vollständig an die neuen Datenschutzregeln angepasst. Doch…

US-Cloud Act vs. EU-DSGVO – Steht unser Datenschutz auf dem Spiel?

  Seit dem Inkrafttreten der DSGVO vor knapp vier Wochen könnte man meinen, wir befänden uns datenschutzrechtlich auf der Insel der Glückseligen. Nach jahrelangem Hin und Her hat die Europäische Union klar geregelt, ob, wann und wie personenbezogene Daten künftig erhoben, gespeichert und verarbeitet werden dürfen. Im Tagesgeschäft höchst bürokratisch, aber ein notwendiger Schritt in…

Die DSGVO als Chance zur Verbesserung von Datenschutz und Sicherheit

Regulierung und Verbrauchererwartungen führen dazu, dass Unternehmen ihre Sicht auf Datenhaltung überdenken; 80 Prozent der befragten Unternehmen planen Verringerung der Menge an gespeicherten personenbezogenen Daten. Eine neue Studie von IBM zeigt, dass fast 60 Prozent der befragten Unternehmen die Datenschutzgrundverordnung (DSGVO) als Chance zur Verbesserung der Privatsphäre, Sicherheit, Datenverwaltung und Katalysator für neue Geschäftsmodelle ansehen…

Datenschutzgrundverordnung: Deutsche Unternehmen überwiegend nicht DSGVO-Ready

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Mit der DSGVO soll die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Datenschutzverstöße können nach Inkrafttreten der Verordnung mit Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes pro Verstoß bestraft werden. Eine realistische Gefahr für…

DSGVO gilt auch für stoffliche Dokumente: Toxische Papiere gefährden Datenschutz

Die »Europäische Datenschutzgrundverordnung« (DSGVO) hat in Marketing-, Vertriebs- und Rechtsabteilungen von Unternehmen ein mittleres Erdbeben ausgelöst. Die Herausforderungen sind immens. Und die Uhr tickt: In wenigen Wochen tritt die DSGVO in Kraft. Die meisten Unternehmen konzentrieren sich jedoch bei der Umsetzung der neuen Verordnung auf ihre digitalen Daten. Völlig außer Acht gelassen wird dabei, dass…

DSGVO: Datenschutz und Datensicherheit

  Ob Datenschutztag, Data Protection Day oder Data Privacy Day – gemeint ist stets der 28. Januar. Das Datum steht für einen 2007 vom Europarat initiierten, jährlich wiederkehrenden Tag, der das Bewusstsein für Datenschutz und Datensicherheit schärfen soll. Selten aber kam dem Datenschutztag eine so besondere, aktuelle Bedeutung zu wie dieses Jahr. Denn ab dem…

Gestärkte Rechte der Betroffenen und neue Datenschutzerklärung nach DSGVO: Was Unternehmen jetzt tun müssen

Am 25. Mai 2018 startet europaweit mit der EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära. Ihr Ziel: Die Rechte der von der Datenverarbeitung betroffenen Personen zu stärken und Unternehmen bei Datenschutzverstößen empfindlich zu treffen.   Die neuen oder gestärkten Betroffenenrechte sowie die Neuregelungen zur Datenschutzerklärung sind allerdings riesige Bausteine der DSGVO und für viele Unternehmen eine echte…

Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO

Der Countdown läuft: Bis zum 25. Mai 2018 müssen Unternehmen die Neuerungen der seit 2016 geltenden Datenschutz-Grundverordnung (DSGVO) umgesetzt haben. Die Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit personenbezogenen Daten sowie die Meldepflicht im Fall von Datenpannen. Gleichzeitig steigt auch die Höhe möglicher Bußgelder deutlich. Um auch in Zukunft rechtskonform aufgestellt…

Privacy Shield versus DSGVO: Zweierlei Maß beim Datenschutz

Gerade hat die Artikel-29-Datenschutzgruppe, ein unabhängiges Beratergremium der Europäischen Kommission eine Evaluation des Privacy Shield veröffentlicht [1]. Die Experten sind im Großen und Ganzen zufrieden mit dem Nachfolger des Safe-Harbor-Abkommens, das die Daten von EU-Bürgern in den USA schützen soll. Größter Kritikpunkt ist, dass die geplante Ombudsmann-Stelle noch nicht besetzt wurde. Dieses vorsichtig optimistische Fazit…

DSGVO: Der Countdown läuft – ist Ihr Unternehmen auf die neue Datenschutz-Grundverordnung vorbereitet?

In fünf Monaten, am 25. Mai 2018, wird die neue Datenschutz Grundverordnung (DSGVO) der Europäischen Union in Kraft treten, und die alte EU-Datenschutzrichtlinie aus dem Jahre 1995, die längst überholt ist, ersetzen. Die EU-Bezeichnung zum gleichen Thema lautet General Data Protection Regulation (GDPR). Viele Unternehmen haben sich mit dem Thema noch nicht oder wenig befasst.…

EU-DSGVO: Compliance-Check testet Datenschutzpraxis von Unternehmen auf Herz und Nieren

Testergebnis gibt individuelle Handlungsempfehlungen und Praxishilfen. Der europäische Security-Hersteller ESET stellt ab sofort Organisationen und Unternehmen einen umfassenden Compliance-Check zum Datenschutz kostenlos unter dsgvo.eset.de zur Verfügung. Das Online-Tool dient als Praxishilfe zur Umsetzung der kommenden EU-Datenschutz-Grundverordnung. Damit können Verantwortliche und Entscheider ihren Status Quo in puncto Sicherheit und Unternehmensrichtlinien bestimmen und so prüfen, ob sie…

DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt

  Aktuell haben erst 13 Prozent erste Maßnahmen angefangen oder umgesetzt.   Nur eine Minderheit glaubt, die EU-Verordnung fristgerecht umzusetzen.   Größte Hürden sind unklarer Umsetzungsaufwand und Rechtsunsicherheit.   September 2017: Der großen Mehrheit der Unternehmen in Deutschland drohen in wenigen Monaten Millionen-Bußgelder. Am 25. Mai 2018 müssen nach einer zweijährigen Übergangsfrist die Vorgaben der…