Globale Unternehmen sind nicht bereit für die DSGVO

Illustration: Absmeier, Garageband

Mehr als zwei Drittel der großen internationalen Unternehmen werden nach Ansicht ihrer Sicherheitsverantwortlichen im Mai 2018 nicht konform zur neuen Datenschutzgrundverordnung (DSGVO) der EU operieren können. Das ist das Ergebnis einer globalen Umfrage unter Führungskräften im Sicherheitsbereich, die das Marktforschungsinstitut Ponemon im Auftrag von Radware durchgeführt hat.

Nach dieser Umfrage sind lediglich knapp 60 % der Verantwortlichen potenziell betroffener Unternehmen nach eigener Einschätzung gut oder sehr gut über die Anforderungen der DSGVO informiert. Doch selbst von diesen ist nur jeder dritte sehr zuversichtlich, zum Stichtag im Mai 2018 DSGVO-konforme Prozesse implementiert zu haben. Besonders betroffen sind Finanzdienstleister und große Einzelhändler, die sehr viele persönliche Daten ihrer Kunden und Interessenten verarbeiten und speichern. In beiden Branchen glauben nur jeweils 17 % der Sicherheitsverantwortlichen daran, die Anforderungen bis Mai 2018 erfüllen zu können.

Ein Viertel der Befragten ist der Ansicht, dass ihre Unternehmen signifikante Änderungen an ihren Prozessen werden vornehmen müssen, während gut die Hälfte glaubt, mit kleineren Änderungen auszukommen. 57 % sehen zusätzliche Investitionen in Sicherheitssysteme als einen Teil der Lösung, und 60 % wollen zusätzliche Sicherheitsexperten einstellen.

»Alle diese Maßnahmen benötigen viel Zeit«, kommentiert Georgeta Toth, Regional Director DACH bei Radware. »Zunächst müssen die Unternehmen ihre Probleme genau identifizieren, dann Lösungen spezifizieren, Produkte evaluieren, testen und implementieren. Zudem sind Sicherheitsexperten rar und teuer. Spezialisierte externe Managed Service Provider können in vielen Fällen hilfreich sein, aber auch dann gilt es, möglichst schnell aktiv zu werden.«

APIs als Problem

Ein wesentliches Problem in der Sicherheitsarchitektur der Unternehmen stellen nach der Untersuchung die Application Programming Interfaces (APIs) dar, über die Unternehmen Daten mit anderen austauschen. So sind 52 % der befragten Unternehmen derzeit nicht in der Lage, die über diese APIs ausgetauschten Daten zu inspizieren, bevor sie ins Unternehmensnetz gelangen beziehungsweise es verlassen. Dabei handelt es sich vielfach um persönliche Daten von Name und Adresse bis hin zu Kreditkartendaten, IP-Adressen oder gar Arztberichte.

Bots sind ein weiterer Schwachpunkt bei vielen Unternehmen. So kann ein Drittel nicht zwischen Verkehr von gutartigen und bösartigen Bots unterscheiden, obwohl solche Bots bis zu 75 % des gesamten Netzwerk-Traffics ausmachen und knapp die Hälfte davon bösartiger Natur sind.

Anwendungen stärker gefährdet

Fast drei Viertel der Befragten gaben zudem an, dass sie nicht ausreichend über die häufigen Veränderungen an Applikationen und APIs informiert sind. In 40 % der Unternehmen erfolgen solche Änderungen mindestens einmal pro Woche; in vielen Fällen und insbesondere bei mobilen Anwendungen auch deutlich häufiger. Dabei ist in zwei Drittel der Unternehmen die Sicherheit nicht in die Entwicklungsprozesse integriert. Hinzu kommt, dass 62 % kein Vertrauen in ihre Prozesse zum schnellen Patchen bekannter Schwachstellen haben. In der Folge ist die Furcht vor DDoS-Attacken auf Anwendungsebene deutlich höher als die vor Angriffen auf die Netzwerkinfrastruktur. Nur 33 % der Befragten sind davon überzeugt, dass sie Angriffe auf Anwendungsebene entschärfen können, im Vergleich zu 50 %, die sich gegen DDoS-Angriffe auf Netzwerkebene schützen können. Moderne Web Application Firewalls (WAF) können hier sehr hilfreich sein, aber nur, wenn sie auch fortlaufend mit aktuellen Informationen über bekannte Schwachstellen aktualisiert werden. Zudem muss eine solche WAF auch für die Abwehr von Brute-Force-Attacken gegen Webanwendungen gerüstet sein, von denen 36 % der Befragten berichten, und auch die zunehmende Zahl von verschlüsselten Angriffen sicher erkennen können.

Allerdings nutzen nur gut die Hälfte (55 %) der befragten Unternehmen solche WAFs, und etwas weniger setzen auf API-Gateways, um den Austausch von Daten zu sichern. Dieser Mangel an automatisierten Sicherheits- und Schwachstellen-Tests ist besonders beunruhigend, da 75 % dieser Unternehmen die DSGVO oder andere Compliance-Vorschriften einhalten müssen, etwa HIPAA (Gesundheitswesen) und PCI (Handel und Finanzdienstleistungen). Trotz dieser hohen Compliance-Anforderungen verfolgen fast 60 % der Befragten keine sensiblen Daten, die sie an Dritte weitergeben, sobald diese Daten das Unternehmensnetzwerk verlassen.

 

[1] Radware hat die Umfrage in Zusammenarbeit mit Ponemon durchgeführt und 644 Antworten von CISOs, CIOs und Sicherheitsverantwortlichen großer multinationaler Unternehmen (von 500 Mio. $ bis 25 Mrd. $ Jahresumsatz) weltweit gesammelt. Diese herstellerunabhängige Umfrage zielte darauf ab, mehr über ihre Bedürfnisse bezüglich Web-Anwendung Sicherheitslösungen zu erfahren. Die Umfrage konzentrierte sich auf drei Branchen: Einzelhandel (202 Befragte), Gesundheitswesen (183 Befragte) und Finanzdienstleistungen (259 Befragte). Geografisch gesehen waren 60 % der Befragten in den USA ansässig, während die restlichen 40 % der Befragten weltweit unterschiedlich verteilt waren (davon 18 % aus Europa).

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

DSGVO: Der Countdown läuft – ist Ihr Unternehmen auf die neue Datenschutz-Grundverordnung vorbereitet?

DSGVO 2018 birgt große Nachteile für kleine Unternehmen

Die meisten Unternehmen werden bei der rechtzeitigen Umsetzung der DSGVO scheitern

DSGVO: umfassende Bestandsaufnahme schützt vor neuen Investitionen

Studie zur EU-DSGVO zeigt: Vorgabe »Stand der Technik« verwirrt IT-Entscheider

EU-DSGVO: Compliance-Check testet Datenschutzpraxis von Unternehmen auf Herz und Nieren

DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt

EU-DSGVO fordert auch das IT Service Management heraus